Recurso do Ethereum é explorado para roubar $60 milhões de 99 mil vítimas
14 de Novembro de 2023

Atuantes maliciosos têm abusado da função 'Create2' do Ethereum para contornar alertas de segurança de carteira e envenenar endereços de criptomoedas, o que levou ao roubo de $60.000.000 em criptomoedas de 99.000 pessoas em seis meses.

Isso é relatado pelos especialistas em anti-fraude Web3 'Scam Sniffer', que observaram vários casos de exploração da função na natureza, em alguns casos, prejuízos de um indivíduo chegando até $1,6 milhões.

Create2 é um opcode no Ethereum, introduzido na atualização 'Constantinople', que permite criar contratos inteligentes na blockchain.

Ao contrário do opcode Create original, que gerava novos endereços com base no endereço e no nonce do criador, o Create2 permite calcular endereços antes da implantação do contrato.

É uma ferramenta poderosa para os desenvolvedores do Ethereum, possibilitando interações de contrato avançadas e flexíveis, cálculo de endereço de contrato baseado em parâmetros, flexibilidade de implantação, adequação para transações off-chain e certos dApps.

O Create2 introduziu benefícios significativos, mas várias implicações de segurança e novos vetores de ataque também vieram junto com eles.

O relatório do Scam Sniffer explica que o Create2 pode ser abusado para gerar endereços de contrato novos sem histórico de transações maliciosas/denunciadas, assim contornando os alertas de segurança da carteira.

Quando uma vítima assina uma transação maliciosa, o atacante implanta um contrato no endereço pré-calculado e transfere os ativos da vítima para ele, um processo irreversível.

Em um caso recente que os analistas observaram, uma vítima perdeu $927.000 em GMX depois de ser enganada a assinar um contrato de transferência que enviou os ativos para um endereço pré-calculado.

O segundo tipo de abuso do Create2 é gerar endereços semelhantes aos legítimos de propriedade do destinatário, enganando então os usuários a enviarem ativos para atores ameaçadores, pensando que estão enviando para um endereço conhecido.

O esquema, que é chamado de 'envenenamento de endereço', envolve a geração de um grande número de endereços e, então, escolher aqueles que combinam com suas necessidades específicas de phishing cada vez para enganar seus alvos.

Desde agosto de 2023, a Scam Sniffer registrou 11 vítimas que perderam quase $3 milhões, com uma delas transferindo $1.6 milhões para um endereço que parecia um ao qual haviam enviado dinheiro recentemente.

Grande parte desses ataques passou despercebida, drenando silenciosamente milhões, mas alguns chamaram atenção da comunidade.

No começo do ano, a MetaMask alertou sobre golpistas usando endereços recém-gerados que coincidem com aqueles usados pela vítima em transações recentes.

No golpe, o ator da ameaça também pode enviar à vítima uma pequena quantia em cripto para registrar o endereço no histórico da carteira, aumentando assim as chances de a vítima fazer o pagamento.

Em agosto de 2023, um operador da Binance enviou por engano $20 milhões a golpistas que usaram o truque de 'envenenamento de endereços', mas notou o erro rapidamente e congelou o endereço do destinatário.

Vale a pena notar que o uso de endereços criptomoedas semelhantes é uma tática utilizada em ferramentas de malware de hijacking de área de transferência, como o Laplas Clipper, destacando a eficácia do método.

Ao realizar transações de criptomoedas, é sempre recomendado verificar detalhadamente o endereço do destinatário, e não apenas os três primeiros e últimos caracteres, antes de aprová-lo.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...