Hackers driblam multisig e roubam R$ 282 milhões em criptomoedas

Conforme o projeto usava assinaturas múltiplas (multisig), eles destacam que ao menos três desenvolvedores foram infectados para assinar as transações. No entanto, eles nem sequer sabem o número exato.

A Radiant Capital, um projeto de DeFi, sofreu um hack avaliado em R$ 282 milhões. Em nota publicada nesta sexta-feira (18), a equipe explicou a falha de segurança, revelando que os computadores dos desenvolvedores foram infectados por um malware e suas carteiras de hardware não ajudaram em nada.

O ataque foi considerado como “altamente sofisticado”. Isso porque suas carteiras exibiam dados de transações legítimas, mas assinaram transações comprometidas em segundo plano.

Conforme o projeto usava assinaturas múltiplas (multisig), eles destacam que ao menos três desenvolvedores foram infectados para assinar as transações. No entanto, eles nem sequer sabem o número exato.

Projeto DeFi perde R$ 282 milhões após desenvolvedores serem infectados

Explorações em projetos de finanças descentralizadas (DeFi) não são uma raridade no mercado. No entanto, o hack da Radiant Capital mostra que os hackers estão cada vez mais avançados em seus ataques.

“Os atacantes exploraram carteiras de hardware de vários desenvolvedores por meio de uma injeção de malware extremamente avançada.”

“Os dispositivos foram comprometidos de maneira que a interface da Safe Wallet (anteriormente conhecida como Gnosis Safe) exibia dados de transações legítimos, enquanto transações comprometidas eram assinadas e executadas em segundo plano”, escreveu a equipe da Radiant.

“Esse ataque ocorreu durante um processo rotineiro de ajuste de emissões multiassinatura, que acontece periodicamente para se adaptar às condições de mercado e taxas de utilização.”

Detalhes mais técnicos sobre o ataque podem ser encontrados em relatórios publicados por empresas de segurança nas redes sociais. A QuillAudit, por exemplo, se aprofunda nas mudanças feitas no contrato inteligente pelos hacks.

Comentários da Safe Wallet trazem mais preocupações

Conforme a Safe Wallet foi mencionada, dando a entender que ela possui uma falha de segurança, a empresa por trás da carteira também se pronunciou sobre o assunto. Nas redes sociais, ela afirma que “a interface da Safe{Wallet} funcionou conforme o esperado durante o incidente”.

Em suma, a Safe diz que os computadores dos desenvolvedores estavam infectados, adicionando dados maliciosos à transação. Na sequência, “os signatários assinaram a transação maliciosa primeiro sem verificar o conteúdo no dispositivo de assinatura, seguida pela transação legítima”.

Dado que carteiras de hardware existem justamente para operar em um ambiente seguro, a Safe explica que a vulnerabilidade é chamada de “assinatura cega”, nome dado por não exibirem todos os dados da transação.

“Idealmente, as carteiras de assinatura deveriam exibir a mensagem completa ou até decodificar os dados da transação para fornecer mais contexto.”

“A Safe utiliza o padrão EIP-712 para fornecer dados da transação, mas as carteiras de hardware frequentemente truncam ou fazem hash dessas informações devido a limitações de tela”, continuou a empresa. “Isso força os usuários a aprovarem transações sem compreender totalmente o que estão assinando, o que introduz riscos, especialmente em contratos inteligentes complexos.”

Seguindo, eles recomendam o uso de múltiplos dispositivos de assinatura de diferentes fornecedores, incluindo seus concorrentes Ledger e Trezor, para mitigar esse risco.

“Em resposta a este incidente e ao problema mais amplo da assinatura cega, estamos explorando soluções para melhorar a experiência do usuário e ajudá-los a aprimorar seus próprios processos de segurança […] As práticas recomendadas atuais não são suficientes para mitigar completamente esse problema.”

Por fim, vale notar que existe um ataque de phishing em andamento contra usuários da Ledger no qual os golpistas focam justamente nos termos “assinatura cega” e “assinatura transparente”. Portanto, cuidado com golpes.

Empresa de segurança compartilha link que drena carteiras de usuários

Não fosse toda essa história o bastante, a empresa de segurança Ancilia acabou retuitando o link para um drenador de criptomoedas por engano nas redes sociais.

Como pode ser visto na captura de tela abaixo, o tuíte original pertence a uma conta de Twitter hackeda, com símbolo de verificado em amarelo, mas até o nome, “Radia[r]nt”, está errado.

“Para os usuários que estão perguntando como revogar, por favor, sigam o link desta mensagem oficial”

Empresa de segurança publica link para drenador de criptomoedas. Fonte: ITC/Reprodução.
Empresa de segurança publica link para drenador de criptomoedas. Fonte: ITC/Reprodução.

Mais tarde, a Ancilia se desculpou pelo incidente e apagou a postagem. Independente disso, se até uma empresa de segurança cai nesse golpe, quem dirá um usuário comum.

Por fim, as várias camadas dessa história mostram que a indústria de criptomoedas ainda tem muito o que evoluir e investidores devem permanecer vigilantes.

Ganhe um bônus de R$ 100 de boas vindas. Crie a sua conta na melhor corretora de criptomoedas feita para Traders Profissionais. Acesse: bybit.com

Entre no nosso grupo exclusivo do WhatsApp | Siga também no Facebook, Twitter, Instagram, YouTube e Google News.

Henrique HK
Henrique HKhttps://github.com/sabotag3x
Formado em desenvolvimento web há mais de 20 anos, Henrique Kalashnikov encontrou-se com o Bitcoin em 2016 e desde então está desvendando seus pormenores. Tradutor de mais de 100 documentos sobre criptomoedas alternativas, também já teve uma pequena fazenda de mineração com mais de 50 placas de vídeo. Atualmente segue acompanhando as tendências do setor, usando seu conhecimento para entregar bons conteúdos aos leitores do Livecoins.

Últimas notícias

Últimas notícias