O aumento da popularidade dos tokens não fungíveis (NFTs) está aumentando também golpes e ataques relacionados ao setor.
De acordo com o portal Kommersant, a empresa de segurança cibernética ESET descobriu que um malware para mineração ilegal de criptomoedas ou roubo de carteira de criptomoedas começou a se espalhar por meio de tokens NFT e aplicativos móveis.
“No caso de distribuição por meio de NFT, a questão é que o jogador recebe um token com registro, por exemplo, de um superpoder ou de uma arma na qual um vírus é embutido”, explicou o chefe da ESET Threat Intelligence, Alexander Pirozhkov.
Rússia lidera em ataques do tipo
Ainda segundo Pirozhkov, no final de 2021, a Rússia continuava a liderar em termos de vítimas de ataques relacionados a criptomoedas. O país respondia por 11,2% dos afetados por esses ataques, segundo a ESET.
Sendo que maior atividade ocorreu entre setembro e dezembro de 2021, com o país respondendo por 12,3% de todos os ataques globais.
Contudo, é difícil avaliar as perdas financeiras dos cidadãos. Isso porque na maioria dos casos as pessoas simplesmente não sabem que alguém obteve acesso aos seus fundos.
Especificamente sobre os ataques relacionados a NFTs, o chefe da Exantech Denis Voskvitsov destacou que esses ativos geralmente são organizados de tal forma que o conteúdo é armazenado fora do blockchain.
Então, um invasor pode cunhar tokens, que no momento da venda são imagens comuns. E, após a venda no servidor do invasor, eles serão alterados, por exemplo, para explorar vulnerabilidades em carteiras digitais.
Vulnerabilidade na OpenSea
Em outubro de 2021, a CheckPoint descobriu uma vulnerabilidade no popular mercado de NFTs OpenSea. Um invasor poderia usar uma imagem SVG especial para injetar código JavaScript arbitrário no subdomínio storage.opensea.com.
Um hacker explorou a vulnerabilidade e enviou à vítima um NFT com um exploit (um programa que implementa um ataque usando vulnerabilidades). O programa, então, conseguiu acessar sua carteira Metamask.
Assim, ao visualizar o NFT, a vítima abriu uma janela de confirmação da transação. Enquanto isso, a interface da carteira exibia o domínio OpenSea e não um site falso:
“Se a vítima confirmou a transação, todos os fundos foram transferidos para o endereço do hacker”, disse Voskvitsov.