Depois que importantes blockchains passaram por grandes atualizações – o The Merge no Ethereum e o Vasil na Cardano – o número de golpes relacionados à carteira de criptomoedas aumentou. O alvo é sobretudo a MetaMask, uma das carteiras mais visadas por golpistas e hackers.
O principal golpe nesse sentido envolve uma atualização falsa. Hackers se aproveitam de atualizações nas blockchains e alertam que as carteiras sofreram falhas de segurança. Para resolver o problema, os invasores dizem que os usuários precisam clicar em um link e atualizar suas carteiras.
No entanto, tanto o alerta de falha quanto o link enviado são falsos. Quem clicar nesses links é direcionado a um aplicativo de carteira falso controlado pelos hackers, que pedem para os usuários inserirem a chave privada da carteira. Mas ao fazer isso, o usuário corre o risco de perder seus fundos por completo.
O golpe mais recente partiu de uma conta no Twitter “@MetaMaskUpdates” que se passa por uma conta oficial de atualizações da MetaMask. Mas o que ela faz é criar uma armadilha para retirar fundos de quem acaba acreditando na suposta veracidade dos alertas.
Nesta quarta-feira (28), a conta falsa alertou os usuários sobre um problema crítico de segurança com o protocolo da MetaMask. De acordo com a mensagem, o problema permite que invasores retirem ativos da carteira de qualquer usuário sem ter uma senha ou frase de recuperação.
Além disso, o perfil aconselhou os usuários a atualizar imediatamente a MetaMask para mitigar problemas e proteger seus fundos.
Golpe com MetaMask são problemas de segurança
A conta fraudulenta do Twitter usa o nome de Jen Luker, gerente de projetos de segurança da MetaMask, para alertar os usuários sobre o problema crítico de segurança enfrentado pelo protocolo. Ele alega que os usuários que não atualizarem o aplicativo MetaMask ou o software da web correm o risco de perder todos os ativos em sua carteira MetaMask.
Conforme apurado pelo CriptoFácil, a conta falsa do Twitter tem 22,1 mil seguidores até o fechamento desta matéria. Para dar um ar de credibilidade, a conta retuitou diversas mensagens publicadas pelo perfil oficial da MetaMask. Mas o link mencionado na conta do Twitter e no site contém riscos de segurança e erros de ortografia.
Mesmo assim, vários usuários parecem ter caído no golpe, já que a MetaMask original teria recebido mais de 50 mil reclamações. Em todas elas, usuários relatam ter perdido ativos digitais, criptomoedas e NFTs, todos roubados de suas carteiras.
“No início deste mês, recebemos alertas de uma exploração que permite que atores mal-intencionados abusem do protocolo de identificação do MetaMask e retirem todos os ativos das carteiras dos usuários sem ter acesso à senha ou frase de recuperação”, disse a MetaMask.
O golpe também detalhou como os invasores usaram indevidamente duas funções dentro do código de extensão da MetaMask para retirar os ativos de qualquer usuário. No entanto, a equipe de segurança desenvolveu uma atualização para corrigir essa vulnerabilidade crítica.
Como os invasores estão explorando ativamente o problema, todos os usuários são obrigados a atualizar imediatamente suas extensões MetaMask. E essa necessidade de atualização abre brecha para golpes, de modo que a MetaMask alerta: não faça nenhum download que não seja dos sites oficiais da MetaMask.
Goles se aproveitam de atualizações
Os golpes parecem ter aumentado em meio às atualizações dos hard forks do Ethereum e Cardano. A plataforma de segurança PeckShield também alertou os usuários sobre um golpe envolvendo falsos airdrops na MetaMask, que surgiu em 22 de setembro.
Recentemente, a conta do Twitter da exchange indiana CoinDCX foi comprometida e os exploradores compartilharam links para uma distribuição de XRP. Mas tratava se outra fraude. Isso ocorreu quando o preço da XRP disparou em resposta ao caso da Ripple contra a Comissão de Valores Mobiliários dos Estados Unidos (SEC).
Leia também: Luna Foundation Guard nega ter vendido Bitcoins após pedido de prisão de Do Kwon
Leia também: OpenSea paga recompensa de R$ 1 milhão a hackers éticos por encontrarem vulnerabilidade
Leia também: MetaMask lança versão beta do portfólio Dapp para melhorar a experiência dos usuários