Cibersegurança na Web3: Protegendo a si mesmo (e seu Ape JPEG)

Apesar de Web3 os evangelistas há muito elogiam os recursos de segurança nativos do blockchain, a torrente de dinheiro que flui para a indústria torna uma perspectiva tentadora para hackers, scammers e ladrões.

Quando os agentes mal-intencionados conseguem violar a segurança cibernética da Web3, geralmente os usuários ignoram as ameaças mais comuns da ganância humana, FOMO e ignorância, e não devido a falhas na tecnologia.

Muitos golpes prometem grandes recompensas, investimentos ou vantagens exclusivas; a FTC chama essas oportunidades de ganhar dinheiro e investimentos scams.

Muito dinheiro em golpes

De acordo com um 2022 de junho Denunciar pela Comissão Federal de Comércio, mais de US$ 1 bilhão em criptomoedas foram roubados desde 2021. E os campos de caça dos hackers são onde as pessoas se reúnem online.

“Quase metade das pessoas que relataram perder criptomoedas para um golpe desde 2021 disseram que começou com um anúncio, postagem ou mensagem em uma plataforma de mídia social”, disse a FTC.

Embora as provocações fraudulentas pareçam boas demais para ser verdade, as vítimas em potencial podem suspender a descrença devido à intensa volatilidade do mercado de criptomoedas; as pessoas não querem perder a próxima grande novidade.

Atacantes visando NFTs

Junto com criptomoedas, NTF`s, ou tokens não fungíveis, tornaram-se um cada vez mais popular alvo para golpistas; de acordo com a empresa de segurança cibernética Web3 Laboratórios TRM, nos dois meses seguintes a maio de 2022, a comunidade NFT perdeu cerca de US$ 22 milhões em golpes e ataques de phishing.

Coleções “Blue-chip” como Iate Clube do Macaco Entediado (BAYC) são um alvo particularmente valorizado. Em abril de 2022, a conta do Instagram do BAYC foi hackeado por golpistas que desviaram as vítimas para um site que drenou suas carteiras Ethereum de criptomoedas e NFTs. Cerca de 91 NFTs, com um valor combinado de mais de US$ 2.8 milhões, foram roubados. Meses depois, um Exploração de discórdia viu NFTs no valor de 200 ETH roubados dos usuários.

Os detentores de alto perfil do BAYC também foram vítimas de golpes. No dia 17 de maio, ator e produtor Seth Green twittou que ele foi vítima de um golpe de phishing que resultou no roubo de quatro NFTs, incluindo Bored Ape #8398. Além de destacar a ameaça representada por ataques de phishing, poderia ter inviabilizado um programa de televisão / streaming com tema NFT planejado por Green, “White Horse Tavern”. BAYC NFTs incluem direitos de licenciamento para usar o NFT para fins comerciais, como no caso do Entediado e com fome restaurante de fast food em Long Beach, CA.

Durante uma sessão do Twitter Spaces em 9 de junho, Verde disse que recuperou o JPEG roubado depois de pagar 165 ETH (mais de US $ 295,000 na época) a uma pessoa que comprou o NFT depois que ele foi roubado.

“Phishing ainda é o primeiro vetor de ataque”, disse Luis Lubeck, engenheiro de segurança da empresa de segurança cibernética Web3, Halborn, Disse Descifrar.

Lubeck diz que os usuários devem estar cientes de sites falsos que solicitam credenciais de carteira, links clonados e projetos falsos.

De acordo com Lubeck, um golpe de phishing pode começar com engenharia social, informando ao usuário sobre um lançamento antecipado de token ou que ele gastará 100 vezes seu dinheiro, uma API baixa ou que sua conta foi violada e exige uma alteração de senha. Essas mensagens geralmente vêm com um tempo limitado para agir, aumentando ainda mais o medo de perder o usuário, também conhecido como FOMO.

No caso de Green, o ataque de phishing veio por meio de um link clonado.

O phishing clone é um ataque em que um golpista pega um site, e-mail ou até mesmo um link simples e cria uma cópia quase perfeita que parece legítima. Green pensou que estava criando clones do “GutterCat” usando o que acabou sendo um site de phishing.

Quando Green conectou sua carteira ao site de phishing e assinou a transação para cunhar o NFT, ele deu aos hackers acesso às suas chaves privadas e, por sua vez, aos seus Bored Apes.

Tipos de ataques cibernéticos

As violações de segurança podem afetar empresas e indivíduos. Embora não seja uma lista completa, os ataques cibernéticos direcionados à Web3 geralmente se enquadram nas seguintes categorias:

• ? Phishing: Uma das formas mais antigas e comuns de ataque cibernético, os ataques de phishing geralmente vêm na forma de e-mail e incluem o envio de comunicações fraudulentas, como textos e mensagens nas mídias sociais, que parecem vir de uma fonte confiável. este cibercrime também pode assumir a forma de um site comprometido ou codificado com códigos maliciosos que pode drenar a criptografia ou NFT de uma carteira baseada em navegador anexada assim que uma carteira de criptografia estiver conectada.
• ?‍☠️ malwares: Abreviação de software malicioso, este termo abrangente abrange qualquer programa ou código prejudicial aos sistemas. O malware pode entrar em um sistema por meio de e-mails, textos e mensagens de phishing.
• ? Sites comprometidos: Esses sites legítimos são invadidos por criminosos e usados ​​para armazenar malware que usuários desavisados ​​baixam quando clicam em um link, imagem ou arquivo.
• ? URL Spoofing: Desvincular sites comprometidos; sites falsificados são sites maliciosos que são clones de sites legítimos. Também conhecidos como URL Phishing, esses sites podem coletar nomes de usuário, senhas, cartões de crédito, criptomoedas e outras informações pessoais.
• ? Extensões de navegador falsas: Como o nome sugere, essas explorações usam extensões de navegador falsas para enganar os usuários de criptografia para que insiram suas credenciais ou chaves em uma extensão que dá ao cibercriminoso acesso aos dados.

Esses ataques geralmente visam acessar, roubar e destruir informações confidenciais ou, no caso de Green, um NFT Bored Ape.

O que você pode fazer para se proteger?

Lubeck diz que a melhor maneira de se proteger contra phishing é nunca responder a um e-mail, texto SMS, Telegram, Discord ou mensagem WhatsApp de uma pessoa, empresa ou conta desconhecida. “Vou além disso”, acrescentou Lubeck. “Nunca insira credenciais ou informações pessoais se o usuário não iniciou a comunicação.”

Lubeck recomenda não inserir suas credenciais ou informações pessoais ao usar redes ou WiFi públicos ou compartilhados. Além disso, Lubeck conta Descifrar que as pessoas não devem ter uma falsa sensação de segurança porque usam um determinado sistema operacional ou tipo de telefone.

“Quando falamos sobre esses tipos de golpes: phishing, falsificação de página da web, não importa se você está usando um iPhone, Linux, Mac, iOS, Windows ou Chromebook”, diz ele. “Nomeie o dispositivo; o problema é o site, não o seu dispositivo.”

Mantenha suas criptomoedas e NFTs seguras

Vejamos um plano de ação mais “Web3”.

Quando possível, use hardware ou air-gapped carteiras para armazenar ativos digitais. Esses dispositivos, às vezes descritos como “armazenamento frio”, removem sua criptografia da Internet até que você esteja pronto para usá-la. Embora seja comum e conveniente usar carteiras baseadas em navegador, como MetaMask, lembre-se, qualquer coisa conectada à internet tem o potencial de ser hackeada.

Se você usa uma carteira para celular, navegador ou desktop, também conhecida como carteira quente, baixe-as de plataformas oficiais como Google Play Store, App Store da Apple ou sites verificados. Nunca faça download de links enviados por texto ou e-mail. Mesmo que aplicativos maliciosos possam chegar às lojas oficiais, é mais seguro do que usar links.

Depois de concluir sua transação, desconecte a carteira do site.

Certifique-se de manter suas chaves privadas, frases iniciais e senhas privadas. Se você for solicitado a compartilhar essas informações para participar de um investimento ou cunhagem, é uma farsa.

Invista apenas em projetos que você entende. Se não estiver claro como o esquema funciona, pare e faça mais pesquisas.

Ignore táticas de alta pressão e prazos apertados. Muitas vezes, os golpistas usam isso para tentar invocar o FOMO e fazer com que as vítimas em potencial não pensem ou pesquisem sobre o que estão sendo informados.

Por último, mas não menos importante, se parece bom demais para ser verdade, provavelmente é uma farsa.