Como se não bastasse, o criminoso “agradeceu” pelo valor roubado.

Um bot, dentro do servidor oficial de Axie Infinity no Discord, foi hackeado na segunda-feira (1). O invasor, que se passou por um membro da equipe do famoso jogo, fez um anúncio falso de venda de novos NFTs para roubar fundos. Cerca de 155 membros foram lesados.

O usuário “racist”, que assumiu a autoria do golpe, publicou em seu Twitter um pedido de “agradecimento” aos usuários. O valor roubado foi de 23.89 ETH, cerca de R$ 605 mil, segundo a cotação atual.

https://twitter.com/racist/status/1455377466156068866?s=20

O endereço criado para o recebimento dos fundos das vítimas foi criado um dia antes e, infelizmente, todo o saldo foi distribuído para outros endereços. Essa é uma das formas mais utilizadas pelos golpistas para ocultar o patrimônio.

• Veja também: Nova atualização 1.1.0a do Axie Infinity bloqueia recompensas a um nível de troféus

Soluções

A equipe do Axie Infinity confirmou ontem (2) que o ataque realmente ocorreu dentro de seu servidor no Discord. Os desenvolvedores garantiram que as vítimas do golpe serão ressarcidas. Os usuários sequer precisarão informar o embuste: o caso já está sendo analisado diretamente pela equipe.

O ataque funcionou da seguinte forma: o hacker convenceu um dos membros da equipe no Discord a compartilhar sua tela e exibir sua guia de rede (network tab) no navegador. Com isso, foi possível ganhar acesso à conta do usuário, ainda que com a autenticação de dois fatores (2FA) habilitada.

Outras medidas de segurança estão sendo tomadas para evitar outros possíveis golpes dentro do servidor oficial do jogo, tais como:

• Redução do número de pessoas que podem marcar a todos (@everyone) no servidor;
• Trabalho em conjunto com o Discord para detectar as falhas de segurança;
• Revisar práticas de segurança com todos os membros da equipe.

Não é a primeira vez

O hacker também assumiu a autoria de outro ataque, desta vez realizado com o projeto Jungle Freaks, um sistema de coleção de NFTs. Assim como no caso do Axie Infinity, ele “agradeceu” em seu Twitter pelo roubo de 26.60 ETH (cerca de R$ 680 mil):

https://twitter.com/racist/status/1453924291112841217?s=20

A comunidade descobriu, no dia do ataque, que a coleção se tratava de um compilado de desenhos racistas da década de 1970. A obra foi criada por George Trosley.