Os últimos golpes, hacks e explorações de criptomoedas e como evitá-los: Crypto-Sec
Phish da semana: conta Symbiotic X está comprometida
De acordo com um relatório da PeckShield, a conta X para o protocolo de staking Symbiotic foi hackeada em 5 de outubro. O site oficial da equipe afirma que a conta ainda está comprometida em 7 de outubro.
A conta comprometida promove uma lista de verificação de “pontos” e pede que os usuários cliquem em um link para verificar quantos pontos eles têm. No entanto, o link leva à URL errada, network-symbiotic[.]fi, em vez da correta, symbiotic.fi.
Postagem de phishing do hacker Symbiotic X. Fonte: Symbiotic.
Quando os usuários se conectam ao site falso de phishing com uma carteira, eles são apresentados a uma página que afirma que ganharam milhares de pontos, mesmo que nunca tenham interagido com o protocolo Symbiotic antes.
A página pede que os usuários resgatem seus pontos imediatamente e alega que os pontos serão perdidos se o usuário não clicar em um grande botão verde de “resgatar” no meio da tela.
Site falso do Symbiotic supostamente usado para ataques de phishing. Fonte: network-symbiotic.fi
Clicar no botão “Resgatar pontos” com uma carteira vazia resulta em uma mensagem de erro informando que o usuário deve tentar uma carteira diferente, o que é uma mensagem de erro comum encontrada em sites de phishing que solicitam assinaturas de mensagens.
Se a carteira de um usuário contiver tokens Symbiotic, o site provavelmente pede que o usuário assine uma mensagem, que é então usada para drenar os tokens do usuário. O Cointelegraph não testou o aplicativo com uma carteira que tinha fundos nela.
Em seu site oficial, a equipe Symbiotic está alertando os usuários de que seu X foi comprometido e que eles não devem interagir com nenhum site vinculado à conta.
Aviso simbiótico de conta X comprometida. Fonte: Symbiotic.fi
Os hacks de contas X se tornaram um problema rotineiro no espaço cripto. Os usuários devem considerar marcar a URL dos aplicativos que usam com frequência, pois essa é geralmente uma maneira mais confiável de chegar ao site correto do que depender de links X, embora também não seja 100% infalível. Os usuários devem ser especialmente cautelosos quando solicitados a assinar uma mensagem escrita em código, pois isso é frequentemente, mas nem sempre, um sinal de um ataque de phishing.
Canto do malware: os invasores agora usam arquivos SVG para atrair vítimas
Os invasores agora estão usando arquivos de imagem SVG para infectar os computadores das vítimas, de acordo com um relatório de setembro da equipe Wolf Security da HP.
O novo método permite que invasores obtenham controle do computador de uma vítima por meio de um software de trojan de acesso remoto (RAT). Uma vez instalado o software, os invasores o usam para roubar as senhas do site da vítima, palavras-semente e outras informações pessoais. Se o usuário possuir criptomoeda, essas credenciais são usadas em tentativas posteriores de obter acesso à carteira do usuário e esvaziá-la.
Os pesquisadores descobriram que o malware estava disfarçado como um arquivo ZIP que era carregado quando a imagem era aberta em um navegador. Ele também apresentava um arquivo .pdf que era carregado como uma distração para a vítima enquanto o programa malicioso era baixado e instalado em segundo plano.
De acordo com a Adobe, os arquivos Scalable Vector Graphics (SVG) armazenam imagens “por meio de fórmulas matemáticas baseadas em pontos e linhas em uma grade” em vez de pixels. Isso significa que eles podem ser facilmente redimensionados sem perder a qualidade. Além disso, eles são escritos em código XML, o que permite que eles armazenem texto dentro de si mesmos.
De acordo com a Mozilla, os arquivos SVG também contêm um elemento “script” que permite que os desenvolvedores incorporem programas executáveis dentro deles. É essa habilidade de script que os desenvolvedores de malware supostamente aprenderam a abusar.
Pesquisadores da HP encontraram uma imagem que produz um arquivo ZIP quando aberta em um navegador. Se o usuário clicar no arquivo, ele abre uma janela do File Explorer e começa a baixar um arquivo de atalho.
Clicar no atalho faz com que um arquivo .pdf de isca seja carregado na tela da vítima. Enquanto isso, o dispositivo começa a copiar vários scripts e armazená-los nos diretórios Music, Photos e Startup da vítima. Isso permite que o programa persista ao longo do tempo.
Arquivo de URL malicioso em SVG infectado e .pdf decoy com a intenção de distrair o usuário. Fonte: HP Wolf Security.
Após copiar esses scripts para o dispositivo, ele os executa. O resultado é que vários programas de malware perigosos, incluindo VenomRAT, AsyncRAT, Remcos e XWORM, são instalados no dispositivo do usuário. Uma vez que o malware é instalado, o invasor pode assumir o controle total do computador da vítima, roubando quaisquer arquivos contidos nele.
Dado esse novo vetor de ataque, os usuários de criptomoedas devem ter cuidado ao interagir com arquivos de imagem SVG de fontes nas quais não confiam completamente. Quando aberta, se uma imagem carregar outros tipos de arquivos, os usuários devem considerar rejeitar esses arquivos fechando a janela do navegador.
Exploração de token de fogo ilustra riscos de novos tokens
Comprar novos tokens com novos recursos e contratos não auditados costuma ser arriscado, como ilustrado pelo que aconteceu com o token FIRE em 1º de outubro.
O pool Uniswap para o token foi drenado de quase toda a sua liquidez depois que um invasor explorou o contrato do token para vendê-lo repetidamente a um preço cada vez mais alto.
Após a exploração, a equipe do token imediatamente excluiu suas contas sociais e desapareceu, o que sugere que o projeto pode ter sido um golpe de saída ou uma enganação desde o início.
O token não é negociado desde 2 de outubro, o que significa que pode haver tão pouca liquidez que vendê-lo pode ser impossível.
A ideia apresentada aos investidores do FIRE era simples. De acordo com seu site, era um “token ultra-hiper-deflacionário”. Sempre que os detentores vendiam seu FIRE para o pool de liquidez Uniswap do token, ele seria automaticamente enviado para um endereço de queimador. Isso faria com que o fornecimento do token diminuísse, aumentando o valor do FIRE mantido por aqueles que não venderam.
Site do token Fire. Fonte: Fire.
O token foi lançado às 8:00 UTC em 1º de outubro. Aproximadamente 90 segundos após o lançamento, uma conta terminada em 1e2e drenou aproximadamente US$ 22.000 em Ether (ETH) do pool de liquidez do token.
Para fazer isso, primeiro ele pegou um empréstimo rápido de 20 ETH da plataforma de empréstimos, Spark Protocol. Então ele criou um contrato malicioso que trocou o ETH por FIRE, então trocou de volta, destruindo o FIRE recém-adquirido no processo e aumentando seu preço.
Esse processo foi repetido ao longo de 122 transferências por meio de 16 contratos inteligentes diferentes, com cada transferência sendo parte de uma única transação. Cada vez que FIRE era trocado por ETH, uma quantia ligeiramente maior de ETH era recebida em troca em comparação ao que havia sido gasto para adquiri-lo. Como resultado, o invasor conseguiu drenar o pool de aproximadamente US$ 22.000 em ETH. Além disso, essa transação destruiu 230 tokens FIRE.
O ataque foi repetido inúmeras vezes, com a transação final de exploração ocorrendo em 2 de outubro, à 1h14.
A plataforma de segurança de blockchain TenArmor relatou o ataque ao X. “Nosso sistema detectou que o token#FIRE@Fire_TokenEth no#ETHfoi atacado, resultando em uma perda aproximada de US$ 22,3 mil”, afirmou a publicação.
Fonte: TenArmor.
De acordo com dados de preço da plataforma de negociação Apespace, o preço inicial do FIRE foi definido em aproximadamente 33 ETH (US$ 81.543 a preços atuais) ou cerca de US$ 8 por 0,0001 FIRE. No momento da exploração, o preço do FIRE disparou, aumentando para 30 bilhões de ETH por moeda ou US$ 244,6 bilhões por 0,0001 FIRE. Em seguida, caiu para 4,7 bilhões de ETH por moeda nos dois minutos seguintes.
Observe que, quando esses altos preços foram atingidos, significativamente menos de uma moeda FIRE permaneceu em circulação, já que a maior parte do suprimento do token havia sido destruída na exploração.
Gráfico de um minuto do FIRE mostrando exploit aproximadamente às 8:13 da manhã. Fonte: Apespace.
Após a exploração, a equipe FIRE excluiu suas contas X e Telegram, o que sugere que o invasor pode ter sido afiliado à equipe. A página Apespace do token também apresenta um aviso de que o contrato FIRE contém um recurso de "lista negra" que permite aos desenvolvedores colocar na lista negra a conta de qualquer usuário e impedi-los de vender o token. Os desenvolvedores podem ter usado esse recurso de lista negra para permitir apenas a eles mesmos vender.
Os usuários devem ter cuidado ao interagir com tokens que tenham recursos novos que podem não ser totalmente compreendidos pela maioria dos usuários.
Neste caso, os desenvolvedores declararam explicitamente que qualquer um que vender para o pool destrói tokens, reduzindo seu suprimento. No entanto, alguns usuários podem não ter percebido que isso permite que um único trader troque repetidamente para dentro e para fora do token para aumentar artificialmente seu preço e drenar sua liquidez.
Revista: Prisão suspeita de repórter de golpe de criptomoedas, primeiro-ministro pró-cripto do Japão: Asia Express