Cripto+

Hack do Bored Ape: como golpe comum no Brasil levou a roubo milionário de NFTs – e como evitar ser uma vítima

Especialista explica o que aconteceu no caso e conta como impedir que seus NFTs e criptos sejam roubados

Por  Paulo Alves -

Investidores de NFTs foram pegos de surpresa ontem quando a Yuga Labs, responsável pelo projeto Bored Ape Yatch Club (BAYC), o mais popular do ramo de tokens não-fungíveis, confirmou um ataque hacker que teria resultado no roubo de pelo menos US$ 3 milhões em NFTs e outros ativos digitais. Segundo algumas estimativas, o prejuízo de usuários poderia chegar a US$ 13 milhões.

O hack, no entanto, não foi aplicado em uma plataforma onde os NFTs são comercializados. Segundo a startup, o ponto de vulnerabilidade foi a conta oficial do Instagram, usada para aplicar um ataque de phishing muito comum entre golpistas de banco no Brasil: fazer os seguidores clicarem em um link falso para roubar credenciais e ter acesso às contas bancárias – no caso, carteiras digitais que armazenavam tokens de macacos.

“Imagina que alguém hackeia o Instagram do seu banco e fala ‘clique nesse link, entre na sua conta e aprove esse Pix porque o Banco Central exige isso até amanhã’. As pessoas que acreditarem vão entrar nesse site falso e digitar login e senha da conta. Em cripto, [é o equivalente a] dar uma permissão na MetaMask para alguém mover suas criptos de forma remota”, explicou o trader e investidor Vinícius Terranova, durante participação ontem no Cripto+ (assista no player acima).

A tática é também uma das mais recorrentes em casos de golpes com NFTs. No caso do Bored Ape, as vítimas foram atraídas pela promessa falsa de ganhar terrenos no metaverso de graça, em ação conhecida no meio cripto como airdrop. A ação foi inspirada no lançamento real do token ApeCoin (APE), que teve unidades repassadas sem custo para donos de Bored Apes, e já valorizou cerca de 1.700% em pouco mais de um mês de existência.

Investidores então acreditaram que quem tivesse unidades dos Bored Apes poderia obter os terrenos virtuais e lucrar com a venda. Para isso, deveriam provar a posse dos NFTs conectando a carteira MetaMask a um site controlado pelos hackers.

“O hacker postou um link fraudulento para um site falso do Bored Ape Yacht Club, onde um ataque “safeTransferFrom” pedia aos usuários que conectassem seu MetaMask à carteira do golpista para participar de um airdrop falso”, disse um porta-voz da Yuga Labs ao CoinDesk.

Ao conectar a carteira e dar a permissão, sem saber, os usuários abriram as portas para que os golpistas drenassem os NFTs para suas próprias carteiras.

A Yuga Labs diz ter rapidamente alertado a comunidade e removido todos os links de Instagram de suas plataformas. Dos US$ 13 milhões de prejuízo calculados inicialmente, a empresa diz que “apenas” cerca de US$ 3 milhões foram perdidos. “Estamos trabalhando ativamente para estabelecer contato com os usuários afetados”, afirmou em postagem no Twitter.

Como evitar cair no golpe que rouba NFTs

A coleção Bored Ape ficou conhecida por atrair a atenção de celebridades, de Neymar ao astro da NBA Stephen Curry. Eles e outros famosos, no entanto, não caíram no golpe, segundo dados checados pelo InfoMoney CoinDesk no rastreador Etherscan.

A limitação do ataque, segundo Terranova, se deu justamente por ter sido focado nos usuários mais entusiastas e que ficam ligados nas novidades mais recentes: na pressa para conseguir o suposto lote de terreno virtual o mais rápido possível, os usuários acabaram não se atentando para o golpe.

Verificar links antes de clicar é a primeira dica de especialistas para não cair na mesma cilada – mesmo que sejam divulgados pelas contas oficiais dos projetos. No caso do Bored Apes, quem reparou no endereço do site acessado notou rapidamente que se tratava de uma página falsa.

Outra maneira de evitar problemas é ler atentamente as permissões solicitadas por aplicativos. “Às vezes só de receber um airdrop de um token, você pode sem querer dar permissão para drenarem sua wallet”, afirmou Terranova.

O especialista recomenda checar as permissões já concedidas via MetaMask para apps variados. Para isso, indica consultar o site etherscan.io, na função “token approvals”. Após conectar a carteira no site, basta escolher o criptoativo desejado e conferir na tela quais apps têm permissão para manuseá-lo. A recomendação é revogar permissões a aplicativos desconhecidos, principalmente os que trazem um sinal de alerta amarelo. “Esses não são verificados”, apontou.

O passo a passo completo está disponível no vídeo no topo da página.

Até onde as criptomoedas vão chegar? Qual a melhor forma de comprá-las? Nós preparamos uma aula gratuita com o passo a passo. Clique aqui para assistir e receber a newsletter de criptoativos do InfoMoney

Compartilhe