Invasão ao Instagram do Bored Ape Yacht Club gera furtos de milhões em NFTs

Uma invasão ao Instagram oficial da coleção de NFTs Bored Ape Yacht Club levou ao furto de mais de US$ 2,5 milhões em tokens, sendo cerca de US$ 1 milhão apenas somente do prestigioso conjunto de imagens. O golpe aconteceu na manhã desta segunda-feira (25), quando criminosos enviaram links maliciosos aos seguidores do perfil, prometendo uma entrega gratuita de itens a quem vinculasse suas carteiras de ativos.

• 3 golpes comuns de NFT de que entusiastas precisam se proteger
• Instagram: roubo de identidades é usado em golpes com criptomoedas e pornografia

Trata-se de um golpe relativamente conhecido no mundo das criptomoedas e NFTs, mas que aqui, ganhou ares de legitimidade por ter vindo de um dos perfis mais prestigiosos desse mundo. Queridinho das celebridades e com tokens valendo milhões de dólares, o Bored Ape Yacht Club tem centenas de itens, mas nesta segunda, a emissão de tokens foi interrompida, com seus administradores pedindo que os usuários não cliquem em links nem associem suas carteiras a nenhum serviço.

O foco da exploração era sobre os usuários da carteira MetaMask, descentralizada e popular por seu foco em aplicações mobile. No ataque, as vítimas eram induzidas a vincularem seus dados ao de um serviço supostamente pertencente ao Bored Ape Yacht Club; na realidade, o processo permitia a manipulação de ativos, levando à transferência dos ativos para os criminosos, que ainda não foram identificados publicamente.

Uma análise de transações mostra a extensão do prejuízo. Somente no caso do Bored Ape, foram quatro tokens furtados, com o mais barato saindo por cerca de US$ 138 mil e, o mais valioso, US$ 354,5 mil. No total, como dito, foi mais de US$ 1 milhão em prejuízo aos usuários apenas quando falamos desta coleção.

No total, porém, foram mais de 134 NFTs transferidos para a carteira dos responsáveis pelo ataque durante o pouco tempo que ele permaneceu no controle do Instagram do Bored Ape Yacht Club. Fazem parte do roubo, também, outros tokens da Yuga Labs, os mesmos criadores da coleção prestigiada. O valor estimado é de mais de US$ 2,5 milhões em tokens roubados.

As ações em resposta ao incidente foram rápidas, mas não o bastante para impedir o furto. O marketplace OpenSea anunciou o banimento da conta ligada aos responsáveis, já que a obtenção de NFTs por meios fraudulentos vai contra seus termos de uso. Por outro lado, a Yuga Labs não informou ainda se os donos dos NFTs roubados serão compensados por suas perdas, já que o furto aconteceu a partir de um perfil oficial e reconhecido da coleção.

Em comunicado oficial sobre o caso, a Yuga Labs disse que usava as melhores práticas de segurança em sua conta e que está investigando como os criminosos obtiveram acesso ao perfil. Além disso, enquanto a apuração acontece, o espaço no Instagram não postará atualizações, com os usuários devendo acessar o Twitter para obter informações e novidades sobre o caso e a coleção em si.

Como se proteger de golpes com NFTs?

Aos adeptos dos tokens não fungíveis, o melhor caminho para evitar golpes é semelhante ao que envolve ataques de phishing: não clicar em links. Os usuários devem desconfiar de promoções mirabolantes ou ofertas gratuitas de itens, apenas acessando sites, preenchendo cadastros, entregando dados e, principalmente, vinculando carteiras quando tiverem certeza absoluta da veracidade da oferta.

Além disso, o uso de carteiras seguras, com redundâncias e versões para smartphone e navegadores também ajuda a manter o portfólio seguro de explorações desse tipo. O mesmo também vale para transações, que devem ser feitas em ambientes protegidos e reconhecidos.