criptomoedas
As criptomoedas são alvos ideais para os cibercriminosos: há muitas maneiras de roubá-las e é muito difícil para as vítimas recuperá-las. E alguns hackers fazem um grande estrago – obtendo dezenas, ou às vezes centenas de milhões de dólares a partir de um ataque de criptomoeda. Este post analisa os cinco maiores assaltos de todos os tempos na história relativamente curta das criptomoedas. E tem um bônus no final: uma história incrível de um roubo de criptomoedas digna de um programa da Netflix…
5. Chave-mestra
Vítima: Exchanges de criptomoedas KuCoin
Quando: 26 de setembro de 2020
Perda: cerca de US$ 285 milhões
Na noite de 25 para 26 de setembro de 2020, os agentes de segurança da empresa KuCoin, com sede em Cingapura, detectaram uma série de transações anormais de várias carteiras quentes. Para interromper as transações suspeitas, eles transferiram todos os ativos restantes das carteiras quentes comprometidas para frias. Todo o incidente durou cerca de duas horas, desde a detecção até a conclusão. Durante esse período, os invasores conseguiram sacar aproximadamente US$ 285 milhões em várias criptomoedas.
A investigação revelou que os cibercriminosos acessaram as chaves privadas das carteiras quentes. Um dos principais suspeitos é o Lazarus Group, uma cibergangue de APT norte-coreana. Isso ocorre porque os invasores empregaram um algoritmo de vários estágios para “lavar” o saque, semelhante aos esquemas usados em hacks anteriores do grupo Lazarus. Primeiro, eles executaram quantidades iguais de criptomoeda por meio de um tumbler (uma ferramenta para misturar fundos de criptomoeda com outros para esconder o rastro), depois transferiram a criptomoeda por meio de plataformas descentralizadas.
Apesar da escala, este ataque não foi o fim da Exchange de criptomoeda. No dia seguinte ao roubo, o CEO da KuCoin, Johnny Lyu, prometeu durante uma transmissão ao vivo reembolsar os fundos roubados. Lyu manteve sua palavra e, em novembro de 2020, ele twittou que 84% dos ativos afetados foram devolvidos a seus proprietários. Os 16% restantes foram cobertos pelo fundo de seguros da KuCoin.
4. Grana inesperada
Vítima: Ponte de cadeia cruzada no Wormhole
Quando: 2 de fevereiro de 2022
Perda: US$ 334 milhões
O próximo em nosso Top-5 é um ataque que usou uma vulnerabilidade no Wormhole, o protocolo de ponte entre cadeias. Os cibercriminosos foram auxiliados pelo fato de os desenvolvedores da plataforma terem tornado público o código do programa. Mas vamos pelo começo…
Wormhole é uma ferramenta que faz a mediação das transações de criptomoedas. Especificamente, permite que os usuários movam tokens entre as redes Ethereum e Solana. Tecnicamente, o câmbio funciona assim: os tokens são congelados em uma cadeia, enquanto os chamados “tokens encapsulados” de mesmo valor são emitidos na outra.
Wormhole é um projeto de código aberto com seu próprio repositório no GitHub. Pouco antes do assalto, os desenvolvedores colocaram lá um código para corrigir uma vulnerabilidade no protocolo. Mas os invasores conseguiram explorar a vulnerabilidade antes que as alterações entrassem em vigor.
O bug permitiu que eles ignorassem a verificação da transação no lado de Solana e emitissem 120.000 “ETH encapsulados” (no valor de cerca de US$ 334 milhões no momento do ataque) sem congelar o equivalente na blockchain Ethereum. Os cibercriminosos transferiram dois terços do valor total para uma carteira Ethereum e usaram o restante para comprar outros tokens.
O Wormhole apelou publicamente aos criminosos para devolver os fundos roubados e detalhar a exploração por uma recompensa de US$ 10 milhões. Os cibercriminosos ignoraram a oferta generosa.
No dia seguinte ao assalto, Wormhole publicou no Twitter que todos os fundos haviam sido restaurados e a ponte estava operando como antes. O buraco financeiro foi fechado pela Jump Trading – a empresa que comprou o desenvolvedor do Wormhole seis meses antes do incidente. A julgar pelas informações de código aberto, os ladrões permanecem desconhecidos.
3. Roubo de três anos
Vítima: Exchange de criptomoedas Mt.Gox
Quando: Fevereiro de 2014
Perda: US$ 480 milhões
A história da Mt.Gox começa em 2007, quando era uma plataforma de troca de cartas do jogo Magic: The Gathering. Três anos depois, em meio à crescente popularidade das criptomoedas, o proprietário do site, o programador americano Jed McCaleb, decidiu transformá-la em uma criptomoeda, mas vendeu o serviço para o desenvolvedor francês Mark Karpelès em 2011. Apenas dois anos depois, a Mt.Gox estava negociando cerca de 70% do bitcoin do mundo.
A rápida ascensão foi seguida por um acidente incapacitante. Em 7 de fevereiro de 2014, a Exchange de repente bloqueou todas as retiradas de bitcoin. A empresa culpou a mudança por questões técnicas. Clientes indignados se reuniram do lado de fora da sede da Mt.Gox em Tóquio, exigindo seu dinheiro de volta. O protesto entrou por um ouvido e saiu pelo outro.
A coisa notável sobre essa história é que o assalto ao Mt.Gox começou em 2011. Naquela época, hackers desconhecidos conseguiram as chaves privadas de uma carteira quente na bolsa e começaram a sugar gradualmente o saldo de bitcoins disponível nela. Em 2013, os cibercriminosos haviam transferido 630.000 BTC em suas contas.
A Mt.Gox finalmente encerrou as negociações em 28 de fevereiro de 2014, quando a Karpelès declarou que estava falida e pediu desculpas pelas “fraquezas no sistema” que eliminaram cerca de 750.000 BTC dos fundos dos clientes e 100.000 BTC próprios. A quantidade de fundos roubados é de cerca de US$ 480 milhões – esse é o valor do número total de tokens roubados na taxa de câmbio do dia anterior ao pedido de falência – 27 de fevereiro.
Observe, no entanto, que no tempo após a Mt.Gox cessar as negociações e antes de declarar falência, o preço do bitcoin caiu fortemente. Se calculado pela taxa de câmbio de 6 de fevereiro (um dia antes do fechamento da bolsa), a perda seria de cerca de US$ 660 milhões. No entanto, esses dois números são estimados: eles não levam em consideração a duração de três anos do ataque, durante o qual a taxa de câmbio flutuou descontroladamente. Portanto, é difícil identificar a quantidade exata do prejuízo.
Taxa de Câmbio Bitcoin em fevereiro de 2014. Fonte
Como o ataque foi possível? De acordo com ex-funcionários, a administração da empresa foi bastante negligente quando se tratava de muitas questões importantes. Por exemplo, a Mt.Gox teve sérios problemas com relatórios financeiros. Além disso, uma auditoria adequada de qualidade e segurança do código nunca foi realizada: não havia sistema de controle de versão, por exemplo.
Os promotores acusaram o proprietário da Mt.Gox, Karpelès, de desvio de cerca de US$ 3 milhões em fundos de clientes. Mas eles não conseguiram provar isso no tribunal. No final, Karpelès recebeu apenas uma pena suspensa de dois anos e seis meses por manipulação de dados e foi absolvido de outras acusações.
2. Quase meio bilhão
Vítima: Coincheck câmbio de criptomoedas
Quando: 26 de janeiro de 2018
Perda: US$ 496 milhões
A Coincheck é uma das maiores operadoras de câmbio de criptomoedas do Japão. Em 2018, os cibercriminosos conseguiram roubar mais de 500 milhões de tokens NEM no valor aproximado da mesma quantia em dólares.
A empresa alegou que seu sistema de segurança era robusto e não relatou como exatamente os invasores realizaram o ataque. Dito isso, alguns especialistas acreditam que os cibercriminosos podem ter obtido acesso às chaves privadas das carteiras Coincheck com a ajuda de malware embutido em um computador no escritório da empresa.
Os invasores também criaram seu próprio site vendendo tokens NEM para bitcoin e outras criptomoedas com 15% de desconto. Como resultado, a taxa de câmbio do NEM caiu drasticamente e a Coincheck perdeu cerca de US$ 500 milhões, o que, no entanto, não forçou seu fechamento. Além disso, os criminosos não podiam ser rastreados. A operadora teve que suspender as operações por um tempo e prometeu compensar os clientes com recursos próprios.
Taxa de câmbio NEM após o incidente com a Coincheck. Fonte
1. Oferta de emprego com uma surpresa
Vítima: Plataforma de blockchain Ronin Network
Quando: 23 de março de 2022.
Perda: US$ 540 milhões
A Ronin Network foi criada especificamente pela Sky Mavis para o jogo Axie Infinity, permitindo que os jogadores comprem a moeda do jogo Smooth Love Potion (SLP). No final de março de 2022, invasores desconhecidos roubaram da Ronin um valor recorde de US$ 540 milhões em criptomoeda. Eles foram auxiliados por spyware e pela magia da engenharia social.
O ataque direcionado mirou funcionários da Sky Mavis, um dos quais mordeu a isca (provavelmente via LinkedIn). Tendo passado por um “processo de seleção”, um dos engenheiros seniores recebeu uma “oferta de emprego” na forma de um arquivo PDF com spyware dentro. Isso permitiu que os ladrões assumissem o controle de quatro das chaves de validação privadas da rede.
Para ter acesso aos ativos da empresa, eles precisavam comprometer pelo menos cinco dos nove validadores. Como acabamos de mencionar, o spyware os ajudou a obter quatro chaves. A quinta eles conseguiram devido a um descuido da própria empresa, que autorizou a Axie DAO (organização autônoma descentralizada) a assinar transações para ajudar a Ronin Network a mitigar o volume de usuários, e depois se esqueceu de revogar a permissão.
A Sky Mavis, no entanto, rapidamente se recuperou do incidente. Em junho de 2022, relançou a plataforma blockchain e começou a compensar os jogadores afetados.
Personagem NFT do jogo baseado em blockchain Axie Infinity. Réplica
Bônus. Um hack com reembolso
Vítima: Protocolo de cadeia cruzada Poly Network
Quando: 10 de agosto de 2021
Perda (recuperada posteriormente): US$ 610 mlhões
Como uma história de bônus, vamos terminar com outro grande roubo de criptomoedas – que terminou com o retorno de cada centavo do saque. Eis o que aconteceu…
A Poly Network é mais um protocolo para implementar a interoperabilidade blockchain. No verão de 2021, ela testemunhou um dos maiores assaltos da história das criptomoedas. Um hacker desconhecido, explorando uma vulnerabilidade na Poly Network, roubou mais de US$ 600 milhões em várias criptomoedas.
A Poly Network apelou ao criminoso no Twitter para devolver os tokens roubados. Para espanto de todos, o hacker fez contato e concordou. Eles passaram a transferir os tokens roubados pouco a pouco, dividindo-os em várias partes desiguais.
O câmbio online entre o hacker e a Poly Network durou algum tempo. Durante o mesmo, o agressor afirmou que não estava interessado em dinheiro e só havia realizado o assalto por “razões ideológicas”. Como sinal de gratidão, a Poly Network retirou suas acusações contra ele, garantiu seu anonimato, ofereceu uma recompensa de US$ 500.000 e até o convidou para se tornar seu consultor-chefe de segurança. Também lançou um programa de recompensas por bugs no valor de US$ 500.000.
Não tem uma moral da história, mas…
Listamos aqui apenas os cinco principais roubos de criptomoedas, todos direcionados a grandes organizações. Mas é claro que muitos incidentes menores afetam usuários comuns o tempo todo. Portanto, todo investidor precisa tomar medidas para proteger seus ativos. Aqui estão algumas dicas úteis:
- Escolha as plataformas para negociação e outras operações com cuidado: leia comentários e análises e, se possível, consulte usuários experientes em quem você confia.
- Não forneça a ninguém os detalhes de login da sua conta no câmbio ou as credenciais da sua carteira. Lembre-se de manter em segredo não apenas suas senhas e chaves privadas, mas também sua palavra-sementes.
- Armazene suas principais economias de criptomoedas em carteiras frias: ao contrário das carteiras quentes, elas não precisam estar permanentemente online e, portanto, são mais seguras em geral.
- Se você usar uma carteira quente, certifique-se de habilitar a autenticação de dois fatores.
- Cuidado com phishing. Para saber como identificar caçadores de criptomoedas, veja este post.
- Use uma solução confiável que proteja transações financeiras, impeça que malware roube a senha de sua carteira ou chave privada e ainda lhe avise sobre sites fraudulentos.
Dicas