A maior carteira cripto do mundo informou recentemente sobre um exploit que está sendo utilizado para atacar seus usuários.
Através de uma thread compartilhada no Twitter na última quarta-feira (11), a Metamask expôs um novo esquema, que se chama “envenenamento de endereços”.
Após você enviar uma transação normal, o golpista envia uma transação com um token de US $0, ‘envenenando’ seu histórico de transações. Eles utilizam um endereço com os primeiros e últimos caracteres iguais aos seus, com o intuito de que você se confunda e utilize o endereço deles numa transação futura. Você pode se precaver checando duas vezes o endereço completo ou utilizando a funcionalidade Address Book.
Suporte oficial da Metamask
Esquema não atinge apenas novatos
Esse esquema novo põe em evidência os desafios que o ecossistema cripto ainda precisa superar para que esteja apto a alcançar adoção generalizada. É fato conhecido que os endereços longos e com caracteres aleatórios utilizados pelas criptomoedas fazem com que novatos incautos se sintam desmotivados a revisá-los, o que os deixa mais vulneráveis a golpes. Entretanto, o “envenenamento de endereços” fisga igualmente usuários experientes.
Uma prática de segurança comum dos usuários de cripto é justamente revisar os primeiros e últimos caracteres de um endereço, para garantir que nenhum malware tenha substituído seu endereço pelo de um golpista. Entretanto, o novo golpe faz uso de vanity addresses, endereços customizados para que tenham padrões específicos — no caso, os primeiros e últimos caracteres iguais aos do alvo.
O tempo necessário para gerar endereços com padrões específicos varia bastante. Segundo a Bitcoin Wiki, um endereço começando com 1Bitcoin demoraria cerca de uma semana para ser gerado, enquanto um endereço com 1BitcoinEat demoraria aproximadamente 3.500 anos.
Porém, os golpistas não geram endereços instantaneamente para substituir o Ctrl C da vítima ou algo do tipo, o que seria inviável pelo tempo necessário. Em vez disso, eles geram os endereços num tempo razoável e enviam transações irrisórias para a vítima, fazendo com que ela apenas envie dinheiro a eles numa eventual transação futura.
Tendo isso em vista, recomendamos que os leitores nunca reutilizem endereços, muito menos busquem endereços no histórico de transações. Entretanto, se optarem por fazê-lo, confiram o maior número de caracteres possível. Além disso, caso possuam hardware wallets, sempre verifiquem o endereço na própria tela do dispositivo.
Leia também: