Um investidor anônimo afirma ter perdido R$ 4 milhões em criptomoedas devido a uma extensão maliciosa no Chrome. Em uma série de tuítes publicados nesta segunda-feira (8), ele explica que seu anti-vírus não captou a ameaça e que também não faz ideia de como as extensões suspeitas foram instaladas em seu navegador.
Na explicação, o investidor afirma que uma dessas extensões continha um ‘keylogger’, ou seja, um programa que captura tudo o que o usuário digita e então envia essas informações para os hackers. Em outras palavras, é usado para roubar logins, senhas e outros dados pessoais.
Ao que tudo indica, ele conseguiu salvar uma quantia não divulgada que estava em sua carteira de hardware.
Investidor acredita que extensão do Chrome roubou suas criptomoedas
Tentando entender como perdeu R$ 4 milhões, o investidor acredita que duas extensões estavam operando em conjunto. Enquanto uma delas monitorava suas abas, procurando por interações com aplicativos descentralizados (dApps), a outra estava capturando todas as palavras digitadas em seu teclado.
O ataque teria levado várias semanas entre a injeção das extensões maliciosas em seu navegador até o roubo das criptomoedas.
“Acabei de perceber que fui perdi US$ 500 mil (R$ 2,5 milhões) de várias carteira há 46 horas”, comentou o investidor, que logo na sequência atualizou os números para US$ 800.000 (R$ 4 milhões).
Detalhando a situação, ele afirma ter atualizado tanto seu Chrome quanto seu Windows recentemente, o que lhe fez perder o login automático às suas carteiras de criptomoedas e o obrigou a digitar suas frases-semente novamente.
“Isso parecia estranho, então verifiquei meu antivírus, mas não tinha nada. Nenhuma extensão estranha adicional apareceu”, continuou. “No entanto, após fazer uma investigação preliminar nas últimas 2 horas, notei duas extensões estranhas “Sync test beta” e “Simple Game”.”
“Ainda não tenho certeza de como as extensões chegaram ao Chrome e qual é o vetor de ataque, mas posso confirmar que “Sync test beta (colorful)” é um keylogger. A outra, “Simple Game”, parece estar verificando se as abas estão atualizadas/abertas/fechadas/atualizadas.”
Still not sure how the extensions got onto Chrome and what the attack vector is, but can confirm that "Sync test BETA (colorful)" is a keylogger. The other one "Simple Game" appears to be checking if tabs are updated/open/closed/refreshed
"Sync test BETA" appears to be sending… pic.twitter.com/FTTQauDzgE
— Sell When Over | 9000.sei (@sell9000) April 8, 2024
Como conselho, ele alerta para que outros investidores “limpem todo o computador” caso necessitem importar suas chaves-privadas novamente por algum motivo estranho. “Este é um erro caro de US$ 800.000 (R$ 4 milhões)”, lamentou.
Investidor ainda não entendeu como o ataque aconteceu
Os tuítes chamaram a atenção de outros usuários. Como exemplo, um deles perguntou se ele estava logado no Chrome, sugerindo que o hacker poderia ter instalado essas extensões remotamente através de sua conta do Google. No entanto, o investidor negou, afirmando que “tudo parece normal” e revelando que está com o 2FA ativado.
Outro questionou se ele não utiliza carteira de hardware. Em resposta, a vítima afirmou que usa, mas que esses R$ 4 milhões estavam em “carteiras quentes”. Ou seja, é provável que ele possua uma quantia maior armazenada em um ambiente seguro.
Por fim, um terceiro usuário brincou com a situação, dizendo que também perdeu suas criptomoedas em um acidente de barco. Como resposta, o investidor notou que hacks e roubos não são deduzíveis na declaração de impostos, ou seja, que a perda foi real.