Hacker do bem resgata US$ 117 mil em cripto de ataque de phishing à MetaMask

19/07/2021 - 12:10
Traduzido e editado por Vitória Tonetti Martini
Phishing Segurança
Um ataque de phishing ocorre quando dados são roubados por meio de links enviados a e-mails, aplicativos e sites (Imagem: Freepik)

No dia 12 de julho, um detentor de criptomoedas distraído publicou no Reddit que não somente havia mantido uma grande quantia de dinheiro em sua carteira MetaMask – cerca de US$ 240 mil –, mas que também havia sofrido um ataque de phishing (em que dados são roubados por meio do acesso a links em e-mails, aplicativos e dados) e fornecido acesso de sua conta a um golpista, que estava retirando os fundos depositados na carteira.

O autor da publicação convidou outros usuários do fórum a se juntarem a ele para assistirem à conta sendo esvaziada. 

A publicação recebeu diversas críticas com relação a manter tanto dinheiro em uma só carteira com acesso à internet (que é comumente mais arriscada que manter em uma carteira off-line) e com a ideia de dar acesso a esses fundos para um suposto assistente de suporte técnico.

Porém, entre os comentários, havia alguns usuários sugerindo uma solução que poderia ajudar a resolver o problema.

Acontece que esse método ajudou a resgatar quase metade dos fundos – US$ 117 mil – e manter essa quantia longe do alcance do golpista. Veja abaixo como isso foi possível.

Em busca de ajuda 

Phishing segurança internet
O dono das criptomoedas roubadas contou com a ajuda de um serviço de hackers do bem para conseguir resgatar parte de seu dinheiro (Imagem: Freepik/Stories)

O detentor das criptomoedas, conhecido como “007happyguy” no Reddit, foi direcionado a um formulário de hack do bem para preencher com algumas informações.

Na outra ponta do formulário, estavam alguns hackers do bem que dizem “estar felizes em ajudar pessoas aflitas”. É um serviço voluntário, em que desenvolvedores podem escolher se respondem a pedidos quando estão disponíveis.

Neste caso, Alex Manuskin respondeu ao pedido, disse ele ao The Block. Ele é um ex-pesquisador de blockchain da ZenGo, que agora faz trabalhos freelancer de desenvolvimento de blockchain.

Já era noite quando Manuskin leu a mensagem e percebeu que o caso era urgente, pois a carteira ainda estava sendo esvaziada – além de que o valor total da carteira era significativo.

A primeira coisa que Manuskin fez foi verificar se o autor da publicação no Reddit era de fato o dono da carteira e se não estava tentando obter acesso à carteira de outra pessoa.

Nesse momento, para ter acesso à carteira, Manuskin teve de perguntar quais eram as chaves privadas. Isso é irônico, porque a única coisa que qualquer especialista em segurança dirá para você não fazer – mas, neste caso, era mais uma espécie de último recurso. 

Em seguida, o hacker do bem garantiu que o golpista não conseguisse mais retirar fundos da carteira. Para fazer transações na rede Ethereum – até mesmo de tokens – é preciso ter uma quantia de ether (ETH) para pagar as taxas de transação.

Então, Manuskin garantiu que o ether enviado para a carteira do golpista não fosse automaticamente contabilizado.

Usando flashbots para resgatar os fundos

Phishing Segurança Internet
Para ajudar a solucionar o caso, Manuskin o serviço dos “flashbots”, que possibilita a comunicação entre desenvolvedores e mineradores (Imagem: Freepik/Stories)

Com a diminuição da ameaça de ter mais dinheiro sendo retirado da conta, o próximo objetivo seria resgatar os fundos restantes. 

Para isso, Manuskin usou “flashbots”, um serviço que possibilita a comunicação entre desenvolvedores e mineradores. Nesse serviço, um desenvolvedor pode usar flashbots para enviar uma “parcela” das transações a um minerador, para que essa seja diretamente incluída em um bloco, ao invés de transmitir as transações à rede e esperar que essas sejam selecionadas. 

Há dois motivos que justificam a eficácia do processo. O principal motivo neste caso é de que, sem qualquer ETH na carteira, quaisquer transações feitas sem taxa de transação não seriam selecionadas por nenhum minerador.

O que acontece com os flashbots é que uma transação complexa é realizada, em que movimenta-se os fundos para uma carteira alternativa e paga-se o minerador usando outros fundos de uma só vez.

O segundo motivo é de que é mais encoberto. Se qualquer transação é transmitida à rede pública, isso dá uma chance ao golpista de obter vantagem. (Apesar de que, neste caso, ainda seria preciso ter alguns ethers para pagar as taxas de transação). 

Manuskin explicou que levou cerca de cinco a seis horas para escrever os scripts de programação personalizados e realizar as transações. Ele disse que os tempos variam conforme a complexidade das transações – o que acontece se as transações estão em protocolos complexos, por exemplo – e se ele já viu algum caso parecido anteriormente. 

De acordo com a publicação no Reddit, Manuskin conseguiu resgatar cerca de US$ 117 mil de US$ 120 mil em tokens que haviam sido deixados na carteira, após o golpista ter dado início à remoção dos fundos. 

Geralmente, hackers do bem cobram cerca de 5% a 10% dos fundos recuperados como forma de pagamento pelo resgate, dependendo da complexidade exigida pelo serviço.

Manuskin disse que este caso específico foi interessante, porque foi uma disputa ao vivo entre ele e o golpista. Na maioria das vezes, os fundos só podem ser recuperados, porque em um momento futuro eles são desbloqueados, mas neste caso ainda havia o risco de serem tomados pelo golpista. 

Manuskin informou que o caso foi um pouco mais estressante, visto que o golpista ainda estava tentando enviar ethers à outra carteira para remover os tokens, acrescentando que aquela “não foi uma tarde tranquila”.

Novo! Receba Grátis a Newsletter
Crypto Times
Uma newsletter que minera informação para você!

Ao clicar no botão você autoriza o Money Times a utilizar os dados fornecidos para encaminhar conteúdos informativos e publicitários.
theblockcrypto.com © 2020 - The Block Crypto, Inc. All rights reserved. Todos os direitos reservados.

Última atualização por Vitória Tonetti Martini - 19/07/2021 - 12:10

Cotações Crypto
Pela Web