Notificação maliciosa aparecia em sites confiáveis para roubar NFTs

Pelo menos três grandes sites do mercado de NFTs foram atingidos, neste final de semana, por uma campanha de ataques que visava roubar itens de usuários MetaMask. O golpe aparecia na forma de uma notificação fraudulenta, que prometia a entrega de um ativo gratuito da coleção Bored Ape Yacht Club como forma de induzir as vítimas a vincularem suas carteiras e entregarem informações.

• Os 10 principais golpes de NFT e como se proteger deles
• Podcast Canaltech: Mercado de NFTs está morrendo tão rápido quanto nasceu

O alerta foi emitido pelos sites Etherscan, CoinGecko e DexTools na última sexta-feira (13), inicialmente, solicitando que os usuários não acessassem nenhum link nem aceitassem pedidos de vinculação que aparecessem em pop-ups. Depois de análise, veio a informação de que um script malicioso havia sido inserido nos serviços da Coinzilla, uma rede de anúncios voltada para o mercado de criptomoedas, que levou à aparição da notificação nos sites.

A ação dos atingidos, felizmente, foi rápida. Entre os maiores afetados, o Etherscan, voltado à análise de dados da blockchain, interrompeu a integração com serviços de terceiros em suas páginas, enquanto o DEXTools, focado no câmbio de criptomoedas, anunciou que estava desabilitando seus anúncios até a resolução do problema. Já o agregador de dados CoinGecko desabilitou sua conexão com o Coinzilla e solicitou atenção a seus usuários.

Na prática, se trata de um golpe comum no segmento de NFTs, mais uma vez usando nomes e sites conhecidos como forma de angariar o maior número possível de vítimas. A ideia é que, ao aparecer em domínios informativos certificados usando o nome de uma coleção popular, as vítimas seriam mais facilmente induzidas a vincularem suas carteiras, uma ação que permitia a manipulação de ativos pelos criminosos e o furto de itens.

A ação rápida dos sites, entretanto, pode ter coibido a ação, já que não existem relatos de perda de itens como parte da campanha. Em comunicado pelo Twitter, a Coinzilla também disse ter agido rápido para conter o problema, com os anúncios maliciosos sendo veiculados por menos de uma hora nos sites da rede antes de a conta responsável por eles ser bloqueada.

Também ao falar sobre o assunto, a plataforma disse que implementaria verificações adicionais para garantir a segurança das propagandas veiculadas e que trabalharia de forma mais próxima com anunciantes. Além disso, a Coinzilla disse estar trabalhando para identificar os responsáveis pelo ataque e também ao lado dos sites que exibiram a notificação, de forma a localizar eventuais vítimas do golpe.

O uso de vetores reconhecidos para ataques desse tipo vem se tornando comum no mercado de NFTs. Aconteceu recentemente, por exemplo, com o OpenSea, que teve seu servidor no Discord comprometido por criminosos, e com a própria coleção Bored Ape Yacht Club, cuja conta no Instagram foi usada para enviar mensagens fraudulentas. Em ambos os casos, a promessa era sempre a entrega de itens gratuitos em troca de uma conexão com certeiras que, na realidade, possibilitava o furto de ativos.

Como se proteger de golpes em NFTs?

De olho nessa dinâmica, o ideal é sempre desconfiar de promessas que envolvam a entrega de itens de graça, principalmente quando eles pertencerem a coleções conceituadas ou com itens de alto valor. Evite entregar dados e conectar carteiras, plataformas online e outros elementos próprios a tais sistemas, já que essa é a forma usada pelos bandidos para manipular os conteúdos e transferir ativos para si.

Vale sempre dar uma olhada em contas oficiais ou publicações em sites legítimos, já que ofertas de grande porte desse tipo, com certeza, serão amplamente divulgadas por estes canais. O mesmo também vale para os alertas de perigo, com o usuário, rapidamente, entendendo por tais espaços se a oferta de itens gratuitos é real ou não.

O uso de carteiras seguras, com redundâncias e versões para smartphone e navegadores também ajuda a manter o portfólio seguro de explorações desse tipo. O mesmo também vale para transações, que devem ser feitas em ambientes protegidos e reconhecidos.