Esquemas via redes sociais são bem comuns no setor de tokens não fungíveis (ou NFTs, na sigla em inglês), conforme usuários no Twitter e no Discord são enganados a conectar suas carteiras de criptomoedas a contratos autônomos — e acabam perdendo seus NFTs e outros tokens como consequência.
Agora, a principal carteira do Ethereum, a MetaMask, atualizou sua interface para tentar ajudar usuários a reconhecerem e evitarem serem vítimas de tais esquemas.
A MetaMask disponibilizou uma nova atualização 10.18.0 à carteira nesta semana, que inclui uma mudança na forma como a carteira representa uma permissão “setAprovalForAll” — uma função que concede aprovação para todas as solicitações.
Conceder a permissão para essa permissão permite que o contrato autônomo — o código que impulsiona NFTs e aplicações descentralizadas (ou dapps) — consiga acessar e transferir todos os NFTs e tokens para fora de uma carteira.
Após a atualização, conforme notado pela empresa de segurança Wallet Guard via Twitter, a MetaMask agora deixa claro que um contrato autônomo está pedindo por mais permissões, incluindo acesso a fundos mantidos na carteira — uma função que pode ser usada para as chamadas “invasões que zeram carteiras”.
.@Metamask 10.18.0 is out 🙌
— Wallet Guard (@wallet_guard) July 27, 2022
This update includes the much-needed emphasis for when a transaction is requesting “Set Approval For All”
Kudos to the team for addressing this quickly pic.twitter.com/zWHVVPszzR
Capturas de tela publicadas no repositório de desenvolvimento de software no GitHub mostram um novo prompt que utiliza uma fonte maior do que o restante da interface. Aparece a seguinte pergunta: “Você concede permissão para dar acesso a todos os seus BAYC?” (ou Bored Ape Yacht Club), com outro alerta adicional: “Ao conceder permissão, você permite que a conta a seguir acesse todos os seus fundos”.
Em 22 de junho, o engenheiro de software da MetaMask, Alex Donesky, publicou no GitHub que “existe uma certa urgência de apresentar algo, pois este método é algo bastante usado”. Ele também acrescentou que “o prazo é comprimido” e admitiu que não era a forma como ele lidaria com a mudança se houvesse mais tempo para desenvolvê-la.
Ataques hackers
Na realidade, a atualização acontece após uma onda de esquemas que se espalharam via contas hackeadas em redes sociais.
No trimestre passado, contas verificadas de diversos usuários no Twitter foram comprometidas e utilizadas para compartilhar links de esquemas inspirados em grandes projetos NFT, como Azuki ou Otherside, e roubar os NFTs e tokens de usuários que, sem querer, conectavam suas carteiras aos contratos autônomos.
Mais recentemente, as contas no Twitter de diversos projetos e grandes colecionadores NFT foram hackeados para compartilhar tipos parecidos de links, promovendo-os como um NFT gratuito ou uma distribuição (ou “airdrop”) de tokens.
Tais esquemas também aconteceram via contas hackeadas no Discord e Instagram. Resultou em um debate se criadores e projetos devem compensar usuários que perdem ativos por meio desses esquemas.
Este mês, o site da plataforma que registra o lançamento de NFTs Premint foi alvo de um hack que utilizou a função “setApprovalForAll” para roubar uma variedade de NFTs e tokens valiosos de usuários afetados. A empresa reembolsou usuários em até US$ 500 mil em ETH, comprou de volta e também devolveu alguns NFTs caros.
“A interface de usuários das carteiras mais populares precisam ser bastante melhoradas para tornar quase impossível que alguém a conecte a um ‘zera-carteira’”, explicou o fundador da Premint, Brenden Mulligan, ao Decrypt na semana passada. “Esse é um problema que possui solução, mas é um grande absurdo ser tão fácil zerar uma carteira e não haver mais alertas implementados para proteger as pessoas.”
Para que fique claro, a atualização da MetaMask não julga o contrato com o qual usuários tentam se conectar e não necessariamente critica os esquemas identificados. Além disso, existem usos possivelmente legítimos para a função “setApprovalForAll” para determinadas dapps, como mercados NFT, o que só apenas gera confusão na tomada de decisão para usuários.
Ainda assim, a atualização da MetaMask pode ajudar a minimizar o impacto de esquemas.
Especulação em NFTs
Alguns colecionadores NFT que foram vítimas de tais golpes via redes sociais foram acusados de aprovar, de forma imprudente, transações por puro FOMO (sigla para medo de perder uma oportunidade) e febre especulativa em torno dos NFTs, e essa etapa extra pode dar um tempo a mais — e uma oportunidade — para que usuários pensem no que estão fazendo.
Veremos se a MetaMask vai levar em consideração esse recurso em futuras atualizações, além de outras carteiras adversárias adotarem técnicas similares, afinal esquemas não estão limitados a usuários da MetaMask nem à rede Ethereum. O Solana possui uma função similar (“signAllTransactions”) e um grande colecionador NFT foi vítima de um esquema desse tipo por meio da carteira Phantom.
Rescuing a Lost Monke: Post-mortem on getting a wallet drained and losing my PFP
July 28, 2022
First off this thread is not a call for donations. I have funds to recover what is lost and while I appreciate the love, your money would be better served helping other people!
Na quarta-feira (27), o anônimo cofundador da MonkeDAO, Nom, tuitou sobre como sua carteira foi zerada em um ataque quando ele interagiu com um contrato anônimo que achou ser seguro de usar. Nom afirmou ter perdido cerca de 500 SOL (ou US$ 20 mil) e NFTs, incluindo Solana Monkey Business, vendido pelo invasor por 197 SOL (ou mais de US$ 7 mil).
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.
Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!