Durante esta semana os casos de ataques hackers e furto de fundos de carteiras cripto alardeou o mercado de criptoativos.
Alguns investidores cripto relataram no Twitter que perderam fundos, aos quais supostamente foram drenados de suas carteiras sem que estes estimassem como isto havia acontecido.
Inclusive, estes casos chamaram atenção por atacarem carteiras de pessoas experientes do mercado, donos de carteiras antigas de criptoativos.
A fundadora da carteira Ethereum, MyCryptoda, Taylor Monahan, inclusive fez uma vasta análise e postou uma série de tuites mostrando que desde dezembro do ano passado uma série de ataques resultou no furto de de cerca de US$ 10,5 milhões, onde mais de 5.000 Ethers (ETH) foram furtados.
As análises on-chain mostraram que carteiras MetaMask foram drenadas e envolveram 11 blockchains diferentes.
Monahan estabeleceu certos pontos em comum entre as carteiras drenadas, dentre eles, o mesmo modelo de ‘modus operandi’ dos ataques.
Ataques a carteiras drenaram fundos de usuários
As carteiras que foram atacadas, em sua maioria da MetaMask, foram criadas entre os anos de 2014 a dezembro de 2022.
Ainda não se sabe ao certo qual falha está sendo explorada, e algumas informações omissas, como os números das carteiras não ajudam na ação de especialistas forenses para tentarem identificarem o problema. Supõe-se que estas análises de segurança e rastreio do problema estejam sendo feitas de forma acomedida devido à certa gravidade do problema.
- Leia também: Berachain arrecada US$ 42 milhões para desenvolver projetos de blockchain e pools de DeFi
Apesar disto, a hipótese de um cenário de desastre total, principalmente envolvendo a rede EVM, está praticamente descartada, como a quebra da entropia da rede ou a quebra da criptografia das carteiras.
Diante dos tuites de Monahan, a própria MetaMask se pronunciou dizendo que os relatórios apresentados pela desenvolvedora afirmavam incorretamente que uma operação massiva de drenagem de carteira seria resultado de uma exploração na MetaMask.
‘Isso está incorreto. Esta não é uma exploração específica do MetaMask’, disse a empresa em sua conta do Twitter.
Ataques padronizados
De relação entre as drenagens feitas, consta que acordo com as análises, estes furtos ocorrem majoritariamente entre às 10h e 16h (UTC) para valores mais altos ou criptoativos ‘mais importantes’, como o ETH.
Já os ataques menores ou de criptoativos ‘menos importantes’ os ataques ocorreram em sua maioria entre às 16h e 22h (UTC).
Assim como, a maior parte dos ataques ocorreram aos finais de semana. Tentando entender os porquês disto, pode-se associar aos horários e dias aos quais os usuários estão mais ativamente conectados a plataformas com as carteiras.
O hacker costuma optar pelos ativos mais simples da carteira. Os NFTs colecionáveis e posições abertas em pools de DeFi são geralmente poupadas, e isso pode ter a ver com a facilidade de rastreio por serem tokens não fungíveis. Assim como também, com a dificuldade de comercialização deste criptoativos.
Ademais, nota-se que em certas ocasiões os fundos foram enviados do endereço de uma vítima para outra, possivelmente para agrupar os saques.
Desta forma, o hacker envia os fundos de usuário a usuário agrupando-os em sequência, e depois saca todos de uma vítima apenas.
Assim sendo, o hacker envia os fundos drenados do usuário ‘A’ para o ‘B’, do ‘B’ para o ‘C’, do ‘C’ para o ‘D’, e depois saca todos os fundos do usuário ‘D’; é um exemplo.
Algo notório é que eventualmente o hacker voltou a acessar ou explorar a mesma carteira mais de uma vez.
Os principais alvos de ataque foram as carteiras MetaMask, conforme citado, mas também Rabby e xDeFi.
O que pode estar acontecendo?
Assim, acredita-se que por serem carteiras on-line (hot wallets ou carteiras quente), o modo ao qual a chave privada é armazenada pode estar sendo explorada.
Como as carteiras quentes armazenam as chaves em um arquivo hospedado na máquina do usuário, elas são alvos fáceis de serem acessadas.
Assim como também, usuários podem estar salvando a ‘seed’ em arquivos de texto no próprio computador o que poderia facilitar os ataques.
A própria MetaMask disse que sua equipe de segurança estava trabalhando com outros desenvolvedores no ‘espaço da carteira web3 para pesquisar a origem dessa exploração’.
É importante ressaltar que até onde se sabe, não há relatos de ataques a carteiras off-line.