Através de uma longa postagem no Twitter nesta terça-feira (18), um desenvolvedor da MetaMask chamado Tay afirma estar investigando um hack ainda desconhecido, mas que já roubou um mínimo de 5.000 ETH (R$ 52,7 milhões).
Ao contrário de golpes comuns, como em phishings, Tay alerta que os alvos são investidores antigos, que possuem um bom nível de segurança em relação às suas criptomoedas, incluindo até mesmo funcionários da carteira MetaMask.
“Este não é um site de phishing de baixo nível ou um golpista aleatório”, escreveu o desenvolvedor. “Ele não roubou um único usuário novo. Ele apenas foca em investidores da velha guarda.”
“Se você está lendo isso, você é o tipo que terá [sua carteira] drenada.”
Qual a raiz do hack?
Além de apresentar os alvos, o desenvolvedor da MetaMask aponta que o hack iniciou em dezembro de 2022. Oferecendo mais detalhes, Tay revela até mesmo o horário das transações.
“As principais transações de roubo são quase sempre entre 10h e 16h UTC”, apontou Tay. “Roubos secundários e coleta de “poeira” ocorrem a qualquer hora, mas geralmente das 16h às 22h UTC. Drenagens adicionais (para ativos perdidos na varredura inicial) geralmente ocorrem aproximadamente 4 horas após o roubo inicial ou aproximadamente às 7h UTC do dia seguinte.”
Ou seja, o hacker parece tratar seus roubos como um trabalho comum. Outra hipótese seria a divisão das tarefas entre duas ou mais pessoas, alternando horários.
Quanto a causa, Tay destaca que ninguém ainda descobriu. “Vários dispositivos foram investigados”, escreveu, notando que nada incomum foi encontrado.
“As únicas semelhanças conhecidas são: As chaves foram criadas entre 2014 e 2022. As vítimas são pessoas mais envolvidas com criptomoedas do que a maioria (por exemplo, vários endereços, trabalham no setor, etc).”
“Meu melhor palpite é que alguém conseguiu um grande cache de dados de mais de 1 ano atrás e está drenando metodicamente as chaves enquanto as analisa”, concluiu Tay, apontando que não é uma falha de criptografia/entropia.
Mais detalhes sobre a movimentação dos fundos roubados
Além do hacker parecer trabalhar em horário fixo, Tay revela outros padrões incomuns usados para limpar as carteiras das vítimas. O primeiro deles é a venda de tokens por ether (ETH) dentro da própria carteira da vítima antes dos fundos serem sacados.
“Geralmente o invasor não perceberá ativos em stake, NFTs ou tokens menos conhecidos”, aponta o desenvolvedor, notando que o hacker volta por esses fundos “horas, dias, meses depois”.
Outra curiosidade é que o hacker realiza transações de ETH entre carteiras de vítimas para pagar pelas taxas de transação da rede ou então segregar fundos antes de enviá-los a seu próprio endereço.
Em um exemplo, Tay comenta sobre uma investigação que levou a um falso suspeito.
“Isso significa que pode parecer que uma pessoa aleatória usando ENS enviou 0,0X ETH para pagar pelo gas e depois roubou todos os seus fundos”, relatou Tay. “Ou que sua carteira foi drenada para uma conta ENS.”
“O ENS aleatório NÃO é seu atacante — é outra vítima.”
Por fim, após roubar os ethers (ETH), o invasor então converte os saldos para bitcoin, posteriormente enviado para mixers e serviços de CoinJoin. Novamente, Tay aponta que o hacker possui um cronograma, realizando tais transações sempre entre às 10h e 13h UTC ou entre às 22h e 1h UTC.
O que fazer para se proteger
Como se trata de um hack avançado, Tay pede que as pessoas não zombem das vítimas, “elas não são estúpidas”. Na sequência, revela que existem diversos APTs (grupos de hackers, muitas vezes patrocinados por governos) que são “sofisticados, metódicos e insanos”.
“Realmente a ÚNICA coisa que você precisa ler é isto: POR FAVOR, NÃO MANTENHA TODOS OS SEUS BENS EM UMA ÚNICA CHAVE OU FRASE SECRETA POR ANOS. FIM.”
Seguindo, o desenvolvedor também recomenda a compra de uma carteira de hardware com urgência, novamente citando que a migração e divisão de fundos entre diversas chaves é essencial neste momento.
Por fim, além de usuários de Ethereum, o hack também está focando em mais de outras 11 redes. O relatório completo pode ser encontrado no Twitter do desenvolvedor.
