A Radiant Capital, um projeto de DeFi, sofreu um hack avaliado em R$ 282 milhões. Em nota publicada nesta sexta-feira (18), a equipe explicou a falha de segurança, revelando que os computadores dos desenvolvedores foram infectados por um malware e suas carteiras de hardware não ajudaram em nada.
O ataque foi considerado como “altamente sofisticado”. Isso porque suas carteiras exibiam dados de transações legítimas, mas assinaram transações comprometidas em segundo plano.
Conforme o projeto usava assinaturas múltiplas (multisig), eles destacam que ao menos três desenvolvedores foram infectados para assinar as transações. No entanto, eles nem sequer sabem o número exato.
Projeto DeFi perde R$ 282 milhões após desenvolvedores serem infectados
Explorações em projetos de finanças descentralizadas (DeFi) não são uma raridade no mercado. No entanto, o hack da Radiant Capital mostra que os hackers estão cada vez mais avançados em seus ataques.
“Os atacantes exploraram carteiras de hardware de vários desenvolvedores por meio de uma injeção de malware extremamente avançada.”
“Os dispositivos foram comprometidos de maneira que a interface da Safe Wallet (anteriormente conhecida como Gnosis Safe) exibia dados de transações legítimos, enquanto transações comprometidas eram assinadas e executadas em segundo plano”, escreveu a equipe da Radiant.
“Esse ataque ocorreu durante um processo rotineiro de ajuste de emissões multiassinatura, que acontece periodicamente para se adaptar às condições de mercado e taxas de utilização.”
On October 16, 2024, Radiant Capital experienced a highly sophisticated security breach that resulted in the loss of $50 million USD. The attackers exploited multiple developers' hardware wallets through a highly advanced malware injection.
The devices were compromised in such a…
— Radiant Capital (@RDNTCapital) October 18, 2024
Detalhes mais técnicos sobre o ataque podem ser encontrados em relatórios publicados por empresas de segurança nas redes sociais. A QuillAudit, por exemplo, se aprofunda nas mudanças feitas no contrato inteligente pelos hacks.
Comentários da Safe Wallet trazem mais preocupações
Conforme a Safe Wallet foi mencionada, dando a entender que ela possui uma falha de segurança, a empresa por trás da carteira também se pronunciou sobre o assunto. Nas redes sociais, ela afirma que “a interface da Safe{Wallet} funcionou conforme o esperado durante o incidente”.
Em suma, a Safe diz que os computadores dos desenvolvedores estavam infectados, adicionando dados maliciosos à transação. Na sequência, “os signatários assinaram a transação maliciosa primeiro sem verificar o conteúdo no dispositivo de assinatura, seguida pela transação legítima”.
Dado que carteiras de hardware existem justamente para operar em um ambiente seguro, a Safe explica que a vulnerabilidade é chamada de “assinatura cega”, nome dado por não exibirem todos os dados da transação.
“Idealmente, as carteiras de assinatura deveriam exibir a mensagem completa ou até decodificar os dados da transação para fornecer mais contexto.”
“A Safe utiliza o padrão EIP-712 para fornecer dados da transação, mas as carteiras de hardware frequentemente truncam ou fazem hash dessas informações devido a limitações de tela”, continuou a empresa. “Isso força os usuários a aprovarem transações sem compreender totalmente o que estão assinando, o que introduz riscos, especialmente em contratos inteligentes complexos.”
Seguindo, eles recomendam o uso de múltiplos dispositivos de assinatura de diferentes fornecedores, incluindo seus concorrentes Ledger e Trezor, para mitigar esse risco.
“Em resposta a este incidente e ao problema mais amplo da assinatura cega, estamos explorando soluções para melhorar a experiência do usuário e ajudá-los a aprimorar seus próprios processos de segurança […] As práticas recomendadas atuais não são suficientes para mitigar completamente esse problema.”
— Safe (@safe) October 18, 2024
Por fim, vale notar que existe um ataque de phishing em andamento contra usuários da Ledger no qual os golpistas focam justamente nos termos “assinatura cega” e “assinatura transparente”. Portanto, cuidado com golpes.
Empresa de segurança compartilha link que drena carteiras de usuários
Não fosse toda essa história o bastante, a empresa de segurança Ancilia acabou retuitando o link para um drenador de criptomoedas por engano nas redes sociais.
Como pode ser visto na captura de tela abaixo, o tuíte original pertence a uma conta de Twitter hackeda, com símbolo de verificado em amarelo, mas até o nome, “Radia[r]nt”, está errado.
“Para os usuários que estão perguntando como revogar, por favor, sigam o link desta mensagem oficial”
Mais tarde, a Ancilia se desculpou pelo incidente e apagou a postagem. Independente disso, se até uma empresa de segurança cai nesse golpe, quem dirá um usuário comum.
Por fim, as várias camadas dessa história mostram que a indústria de criptomoedas ainda tem muito o que evoluir e investidores devem permanecer vigilantes.
