O grupo de phishing notório, conhecido como ‘Angel Drainer’, executou um ataque sofisticado, comprometendo a segurança de 128 carteiras de criptomoedas e desviando mais de US$ 400.000.
O ataque, iniciado às 6h40 do dia 12 de fevereiro, envolveu a implantação de um contrato de cofre Safe (Safe Vault) malicioso (anteriormente conhecido como Gnosis Safe) que utilizou a ferramenta de verificação do Etherscan para mascarar sua natureza maliciosa.
At 6:41am UTC on Monday, February 12th, Angel Drainer group deployed a Safe vault contract— 0xbaee148df4bf81abf9854c9087f0d3a0ffd93dbb— which they have since used to phish and scam users, prompting them to sign a Permit2 with this Safe Vault as the operator. pic.twitter.com/8ydY9nQO2R
— Blockaid (@blockaid_) February 13, 2024
Através deste vetor de ataque, o grupo conseguiu explorar a confiança dos usuários no sistema de verificação do Etherscan, proporcionando uma ‘falsa sensação de segurança’ e levando à assinatura de transações ‘Permit2’ que resultaram no roubo.
- Leia também: Indicador chave aponta alta de 55% para o Flow
Impacto e resposta da comunidade
A firma de segurança blockchain Blockaid, que reportou o incidente, enfatizou que o ataque não foi diretamente contra o Safe, mas explorou a verificação automática de contratos pelo Etherscan para enganar os usuários.
A Blockaid também destacou que a base de usuários do Safe não foi ‘amplamente impactada’ e que medidas estão sendo tomadas para limitar danos futuros.
Este incidente levanta preocupações significativas sobre a segurança e a eficácia dos sistemas de verificação de contratos inteligentes, especialmente em plataformas amplamente utilizadas como o Etherscan.
Precedentes e alerta para o futuro
O grupo ‘Angel Drainer’, apesar de operar há apenas 12 meses, já conseguiu drenar mais de US$ 25 milhões de quase 35.000 carteiras.
Today, the Angel Drainer Group celebrated one year in operation.
They've drained over $25M from nearly 35k wallets and are behind high profile drains like last year's Ledger Connect Kit and last week's Restake Farming attack.
We seek to protect every web3 user and put them out… pic.twitter.com/U1Sg6sajd6
— Blockaid (@blockaid_) February 5, 2024
Este ataque recente não é isolado; ataques anteriores, como o hack do Ledger Connect Kit e o ataque de restake farming da EigenLayer, também foram atribuídos a este grupo.
O incidente serve como um lembrete crítico para a comunidade de criptomoedas sobre a importância da vigilância e da verificação cuidadosa de contratos inteligentes, especialmente em um ambiente onde ataques de phishing estão se tornando cada vez mais sofisticados.
