O invasor de envenenamento de endereço que supostamente enganou um usuário para que lhe enviasse US$ 68 milhões em Wrapped Bitcoin (WBTC) enviou US$ 153.000 em Ether (ETH) de volta à vítima em aparente demonstração de boa fé. Na mesma transação, o invasor enviou uma mensagem concordando em negociar e solicitando à vítima um nome de usuário do Telegram onde ela pudesse ser contatada. O valor devolvido representa apenas 0,225% do total de fundos supostamente roubados.
Dados do Blockchain mostram que em 5 de maio, a vítima do ataque, cuja conta termina em 8fD5, enviou três mensagens para uma conta terminada em dA6D. O destinatário da mensagem recebeu fundos da conta atacante, denominada “FakePhishing327990” no Etherscan, através de várias contas intermediárias. Isto implica que o dA6D provavelmente foi controlado pelo invasor.
As mensagens implicavam que a vítima estava disposta a dar ao agressor 10% dos fundos como recompensa e abster-se de processar se devolvesse os outros 90%. A vítima afirmou:
“Nós dois sabemos que não há como limpar esses fundos. Você será rastreado. Também entendemos que a frase “durma bem” não se refere às suas qualidades morais e éticas. No entanto, administramos oficialmente o seu direito aos 10%. Envie 90% de volta. Você tem 24 horas antes das 10h UTC do dia 6 de maio de 2024 para tomar uma decisão que mudará sua vida, em qualquer caso.”
Às 11h37 UTC do dia 9 de maio, outra conta terminando em 72F1 respondeu enviando 51 Ether (ETH) (no valor de US$ 153.000 ao preço de hoje) para a vítima. O 72F1 também recebeu fundos do FakePhishing327990 por meio de diversas contas intermediárias, indicando que também estava sob o controle do invasor.
Na transação que enviou os 51 ETH, o invasor também postou uma mensagem dizendo “Por favor, deixe seu telegrama e entrarei em contato com você”. Eles então tentaram corrigir a pontuação incorreta às 11h43, postando uma mensagem adicional que dizia: “Por favor, deixe seu telegrama e entrarei em contato com você[.]”
Em resposta, a vítima postou um nome de usuário do Telegram onde pode ser contatada.
Endereço da vítima de envenenamento negocia com o agressor. Fonte: Etherscan.
A negociação ocorreu depois que o invasor supostamente enganou a vítima para que enviasse 1.155 Wrapped Bitcoin (WBTC) (no valor de US$ 68 milhões na época) para sua conta por engano, o que eles fizeram por meio de uma transação de “envenenamento de endereço”.
Dados do Blockchain mostram que às 09h17 do dia 3 de maio, o invasor usou um contrato inteligente para transferir 0,05 token da conta da vítima para a conta do invasor. O token transferido não tinha nome listado no Etherscan e era simplesmente chamado de “ERC-20”. Em circunstâncias normais, um invasor não pode transferir um token de outro usuário sem o seu consentimento. Mas, neste caso, o token tinha um design personalizado que permitia sua transferência de uma conta sem o consentimento do usuário.
Às 10h31 do mesmo dia, a vítima enviou 1.155 WBTC para este endereço, aparentemente por engano. O endereço pode ter parecido semelhante a um endereço usado pela vítima para depositar fundos numa bolsa centralizada ou por algum outro motivo.
Além disso, a vítima pode ter visto que enviou 0,05 token para esse endereço no passado e, portanto, presumiu que era seguro. No entanto, os tokens 0,05 foram enviados pelo invasor e pareciam ter vindo apenas da vítima.
Quando um invasor tenta confundir as vítimas enviando-lhes spam com transações que parecem vir delas, mas na verdade vêm do invasor, os especialistas em segurança chamam isso de “ataque de envenenamento de endereço”. Os especialistas recomendam que os usuários inspecionem cuidadosamente o endereço de envio de uma transação antes de confirmá-la, para evitar erros dispendiosos desse tipo de ataque.
Relacionado: Como evitar ataques de envenenamento de endereço de transferência de valor zero
