Erro em transferência de criptomoeda custa US$ 3,08 milhões a investidor
Um golpista explorou o histórico de transações de um usuário, inserindo um endereço falso e enganando-o para transferir milhões.
Um detentor de criptomoedas não identificado perdeu recentemente mais de US$ 3 milhões em tokens PYTH após transferi-los erroneamente para a carteira de um golpista.
O erro ocorreu quando a vítima, ao confiar em seu histórico de transações, copiou e utilizou um endereço de depósito falso.
O alto custo de um pequeno descuido
De acordo com uma publicação de 25 de novembro feita pelos analistas de blockchain Lookonchain, um golpista criou um endereço cujos quatro primeiros caracteres eram idênticos ao da carteira de depósito da vítima. Em seguida, o golpista enviou à vítima 0,000001 SOL, equivalente a cerca de US$ 0,00025, o que fez com que o endereço falso aparecesse no histórico de transações da vítima.
Sem verificar com cuidado, o indivíduo afetado copiou o endereço falso diretamente do histórico de transações, já que os quatro primeiros caracteres coincidiam. Em seguida, enviou 7 milhões de tokens PYTH, avaliados em cerca de US$ 3,08 milhões, ao criminoso, sem conferir o identificador único.
Especialistas em segurança chamam esse tipo de ataque de “envenenamento de endereço”. Ele explora um hábito comum entre os usuários de criptomoedas: confiar no histórico de transações para copiar os identificadores únicos das carteiras, em vez de obtê-los de fontes oficiais ou contatos confiáveis. Embora pareça conveniente, essa prática é frequentemente arriscada.
A plataforma anti-fraude Scam Sniffer recentemente destacou outro caso em que um usuário supostamente perdeu US$ 129 milhões ao copiar o endereço errado de seu histórico de transferências. Nesse caso, a conta fraudulenta tinha os mesmos seis últimos caracteres do endereço correto.
Em muitas carteiras, apenas os seis primeiros e os seis últimos caracteres de um endereço são exibidos, o que pode exigir mais do que uma verificação superficial para confirmar sua validade. Felizmente, nesse caso, o golpista devolveu os fundos roubados em menos de uma hora.
Em maio deste ano, um usuário de Ethereum perdeu 1.155 wrapped Bitcoin (wBTC) avaliados em US$ 68 milhões, enquanto diversos donos de carteiras Safe Wallet tiveram US$ 2 milhões roubados usando o mesmo truque em dezembro do ano passado.
Entendendo o envenenamento de endereços
Os golpistas geralmente utilizam dois métodos para executar o envenenamento de endereços: transferências de valor zero e tokens falsos. No método de transferências de valor zero, o golpista usa contratos de token reais, mas realiza transações de valores muito baixos para exibir atividades enganosas no histórico de transações da vítima.
Por outro lado, o método dos tokens falsos envolve a criação de contratos de token fraudulentos para imitar tokens reais, como USDT ou USDC. Os golpistas monitoram transações genuínas e, ao identificar uma, enviam seus tokens falsos para o endereço de origem da transação. Isso faz o usuário acreditar que enviou fundos para determinada conta, quando na verdade não enviou.
O usuário pode confundir a transferência do token falso com a transação real ao verificar o histórico de sua carteira ou ao usar um explorador de blockchain. Caso tente repetir a transação, ele pode acabar enviando dinheiro para a carteira do golpista ao copiar e colar o endereço falso inadvertidamente.
- Veja também: NFTs: Criadora do Axie Infinity tenta se reestruturar enquanto Shaquille O’Neal resolve processo de US$ 11 milhões
