A Safe Wallet, que em inglês significa “carteira segura”, se mostrou não tão segura assim. Isso porque, recentemente, usuários da carteira sofreram um ataque hacker que causou perdas de US$ 2 milhões, ou cerca de R$ 10 milhões.
De acordo com relatos do perfil Scam Sniffer, os ataques começaram entre os dias 26 de novembro e 3 de dezembro e afetaram mais de 21 usuários até o momento. Os usuários foram vítimas de um ataque conhecido como envenenamento de endereço, que induz os usuários ao erro e tem causado várias perdas.
Esquema de envenenamento de endereço na Safe Wallet
A contagem total de vítimas chegou agora a 21, com o mesmo invasor supostamente roubando US$ 5 milhões desses usuários da Safe Wallet nos últimos quatro meses, de acordo com o relatório do Scam Sniffer. Um usuário com US$ 10 milhões em criptomoedas dentro de uma carteira segura perdeu US$ 400 mil no ataque.
Especula-se que o ataque de envenenamento de endereços partiu do mesmo hacker que atacou o Florence Finance, um protocolo de empréstimo de ativos do mundo real. O incidente, conforme noticiou o CriptoFácil, causou perdas de US$ 1,45 milhão em USDC do protocolo.
O engano envolveu a elaboração de endereços com caracteres iniciais e finais surpreendentemente semelhantes, levando a vítima a enviar fundos, sem saber, para o endereço fraudulento, sem examinar o endereço completo.
Confira nossas sugestões de Pre-Sales para investir agora
- Leia também: GameFi: mais de 75% dos jogos de Web3 fracassaram
O que é envenenamento de endereço?
Ao contrário dos golpes comuns que empregam táticas como aprovações ilimitadas de tokens ou phishing para frases secretas de recuperação, o “envenenamento de endereço” explora o descuido e a pressa do usuário. Os endereços blockchain, normalmente cadeias alfanuméricas complexas, variam de 25 a 40 caracteres, tornando a memorização um desafio.
Para melhorar a experiência do usuário, algumas plataformas de criptomoedas exibem apenas os caracteres iniciais e finais, omitindo os do meio. Esta prática, conhecida como encurtamento de endereço, facilita na hora de conferir os dados. Mas representa um risco de segurança.
Os invasores podem explorar as possibilidades limitadas (36 por caractere) e criar endereços com o mesmo formato abreviado do usuário, aumentando as chances de correspondência. Como muitas blockchains não diferenciam maiúsculas de minúsculas, o trabalho do invasor fica ainda mais fácil.
Os ataques de envenenamento de endereço aproveitam essa vulnerabilidade. Os invasores enviam uma transação de baixo valor de um endereço de aparência semelhante para a vítima.
Os usuários, acostumados a copiar endereços de históricos de transações, podem colar inadvertidamente o endereço do invasor ao fazer transações subsequentes. Os fundos acabam sendo enviados ao invasor e não ao destinatário pretendido.