A gigante de jogos blockchain Animoca Brands revelou que a conta X do cofundador e presidente Yat Siu foi hackeada, promovendo um token fraudulento na plataforma Pump.fun da Solana.

Os atacantes se passaram por Animoca e anunciaram falsamente o lançamento de um token. O investigador de blockchain ZachXBT atribuiu o hack a um golpe de phishing que recentemente teve como alvo mais de 15 contas X focadas em criptomoedas, roubando, no final das contas, quase US$ 500.000.

Token ‘MOCA’ fraudulento

A conta hackeada de Siu compartilhou um link para um token falso chamado Animoca Brands (MOCA) na plataforma Pump.fun, que tinha o mesmo nome da empresa e de sua coleção Mocaverse NFT. Esse token MOCA fraudulento foi então rastreado de volta ao mesmo endereço por trás de outros tokens fraudulentos, confirmou ZachXBT.

Após ser promovido na conta de Siu, o token atingiu brevemente um valor de pico de quase US$ 37.000, apenas para cair momentos depois para uma capitalização de mercado de apenas US$ 5.735, de acordo com dados compilados pela Birdeye. Atualmente, há apenas 33 detentores do token.

O ZachXBT já havia descoberto esse sofisticado esquema de phishing, no qual e-mails de phishing disfarçados de mensagens urgentes da equipe X frequentemente citavam problemas de direitos autorais inventados e enganavam as vítimas para que redefinissem suas credenciais de conta.

O esquema alavancou a credibilidade de contas relacionadas a criptomoedas com grandes públicos. A maioria delas tinha mais de 200.000 seguidores. As contas afetadas incluíam Kick, Cursor, The Arena, Brett e Alex Blania. O primeiro ataque foi em 26 de novembro, envolvendo RuneMine, e o mais recente ocorreu em 24 de dezembro, afetando Kick, pouco antes do Siu.

2FA “Não é Suficiente” para Proteger Contas

Siu explicou que o hacker de alguma forma obteve sua senha e usou a página de recuperação de conta para ignorar o 2FA enviando uma solicitação com um endereço de e-mail não registrado. Ele testou esse processo e notou uma lacuna de segurança significativa: enquanto o sistema acionou uma notificação de login para o e-mail errado, o e-mail real registrado não recebeu nenhum alerta sobre ações críticas como uma solicitação de alteração de 2FA.

Ele disse que essa falta de notificação poderia ter evitado o hack. Siu também acrescentou que o hacker enviou uma identidade emitida pelo governo para contornar verificações de segurança adicionais, uma tática que ele suspeita ter sido facilitada por phishing. Ele pediu que X implementasse notificações mais fortes, particularmente para mudanças sensíveis como modificações 2FA, e recomendou melhores medidas de verificação para proteger contas.

Siu também alertou que a 2FA por si só não é suficiente para proteger uma conta e aconselhou manter uma forte higiene de senha, pois os invasores podem ignorar a 2FA quando tiverem acesso à senha.

A postagem Executivo da Animoca Brands explica como sua conta X foi hackeada apesar do 2FA apareceu primeiro em CryptoPotato.