{"id":19777,"date":"2022-07-27T11:34:07","date_gmt":"2022-07-27T14:34:07","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19777"},"modified":"2022-07-27T11:34:07","modified_gmt":"2022-07-27T14:34:07","slug":"sky-mavis-crypto-heist","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/sky-mavis-crypto-heist\/19777\/","title":{"rendered":"Um criptoroubo de meio bilh\u00e3o de d\u00f3lares"},"content":{"rendered":"

Costumamos escrever sobre golpes que prometem montanhas de ouro<\/a>, quando na realidade acontece o contr\u00e1rio e as v\u00edtimas acabam de bolsos vazios. Da mesma forma, os cibercriminosos podem colocar as m\u00e3os no dinheiro de empresas inteiras explorando a gan\u00e2ncia e a neglig\u00eancia de seus funcion\u00e1rios.<\/p>\n

Foi exatamente o que aconteceu com o sistema blockchain da Ronin Networks, criado pela Sky Mavis para o jogo Axie Infinity. Um funcion\u00e1rio da Sky Mavis baixou um arquivo PDF com spyware escondido, resultando em um dos maiores roubos de criptomoedas de todos os tempos. A empresa perdeu 173.600 ETH e 25,5 milh\u00f5es de USDC (cerca de US$ 540 milh\u00f5es no momento do incidente). Discutimos o ataque com mais detalhes e compartilhamos dicas sobre como se proteger.<\/p>\n

Uma introdu\u00e7\u00e3o sobre o Axie Infinity<\/em> e a Ronin Networks<\/h2>\n

Axie Infinity<\/em><\/a> \u00e9 um videogame online no qual os jogadores ganham criptomoedas com a ajuda de criaturas fant\u00e1sticas conhecidas como \u201caxies\u201d que podem ser \u201ccriadas\u201d, usadas em competi\u00e7\u00f5es e vendidas a outros jogadores. Para os jogadores, os axies parecem animais fofinhos, mas s\u00e3o essencialmente tokens n\u00e3o fung\u00edveis (NFTs).<\/p>\n

Lan\u00e7ado em 2018, Axie Infinity logo conquistou um grande p\u00fablico. No auge, os jogadores podiam ganhar tanto que, para alguns no Sudeste Asi\u00e1tico, isso se tornou um trabalho em tempo integral<\/a>. Em seu recorde de novembro de 2021, o jogo teve uma contagem di\u00e1ria de 2,7 milh\u00f5es<\/a> de jogadores e a receita no ano passado atingiu US$ 215 milh\u00f5es por semana<\/a> (no ver\u00e3o de 2022, no entanto, eles ca\u00edram para modestos US$ 1 milh\u00e3o por semana).<\/p>\n

Os pagamentos no ecossistema Axie Infinity s\u00e3o feitos usando a moeda do jogo Smooth Love Potion<\/a> (SLP), baseada na blockchain Ethereum. Para permitir que os usu\u00e1rios comprem e vendam SLP com criptomoedas regulares de forma conveniente e sem altas taxas, os desenvolvedores criaram a plataforma Ronin<\/a>. Foi essa plataforma que atraiu a aten\u00e7\u00e3o dos cibercriminosos.<\/p>\n

Uma oferta tentadora: como os golpistas enganaram os desenvolvedores<\/h2>\n

Para chegar \u00e0 plataforma, os criminosos realizaram um ataque direcionado<\/a> aos funcion\u00e1rios da Sky Mavis. Eles coletaram informa\u00e7\u00f5es sobre a empresa e planejaram um golpe constru\u00eddo em torno de uma oferta de emprego falsa com um sal\u00e1rio muito atraente.<\/p>\n

O esquema envolvia enviar (provavelmente no LinkedIn) uma oferta de emprego tentadora a um engenheiro s\u00eanior, que deveria ter ficado mais atento. Tendo passado todas as \u201cetapas de sele\u00e7\u00e3o\u201d com louvor, o funcion\u00e1rio, como esperado, recebeu uma oferta de dar \u00e1gua na boca na forma de um arquivo PDF. Quando esse arquivo foi baixado, o spyware dentro dele foi liberado na rede da empresa.<\/p>\n

Spyware em a\u00e7\u00e3o: retirada de fundos<\/h2>\n

Os cibercriminosos usaram o malware para obter acesso \u00e0s chaves privadas<\/a> dos validadores<\/a> de rede, ou seja, n\u00f3s que verificam e confirmam transa\u00e7\u00f5es de criptomoedas. Havia nove validadores desse tipo na Ronin Networks no momento do ataque e, para realizar a transfer\u00eancia, pelo menos cinco deles precisavam aprov\u00e1-la. Eventualmente, os invasores conseguiram comprometer quatro validadores na pr\u00f3pria empresa e um quinto na organiza\u00e7\u00e3o aut\u00f4noma descentralizada Axie DAO<\/a>, onde n\u00e3o estaria e nem deveria estar, n\u00e3o fosse uma supervis\u00e3o por parte da pr\u00f3pria Sky Mavis.<\/p>\n

Acontece que em novembro de 2021, devido ao alto volume de transa\u00e7\u00f5es e carga nos validadores, a empresa permitiu que o Axie DAO aprovasse as transfer\u00eancias. Depois de um m\u00eas, a carga diminuiu e a assist\u00eancia do Axie DAO n\u00e3o foi mais necess\u00e1ria \u2013 mas os direitos de aprova\u00e7\u00e3o de transa\u00e7\u00f5es n\u00e3o foram retirados, o que acabou favorecendo os cibercriminosos. Tendo penetrado no sistema Sky Mavis, os hackers tamb\u00e9m obtiveram acesso ao Axie DAO, que forneceu o quinto validador necess\u00e1rio para retirar fundos das contas de outros para as suas pr\u00f3prias.<\/p>\n

A resposta da Sky Mavis<\/h2>\n

Ao descobrir o ataque, Sky Mavis agiu com responsabilidade e tomou medidas para refor\u00e7ar a seguran\u00e7a. A empresa trouxe especialistas externos de seguran\u00e7a da Verichains e CertiK e realizou uma auditoria completa da Ronin Networks<\/a>. A Sky Mavis tamb\u00e9m aumentou o n\u00famero de validadores para 11, prometendo<\/a> escalar gradualmente at\u00e9 pelo menos 100. Quanto maior o n\u00famero total de validadores, mais eles precisam ser comprometidos para realizar transa\u00e7\u00f5es n\u00e3o autorizadas, portanto, aumentar seu n\u00famero deve, em teoria, tornar esses ataques mais dif\u00edceis.<\/p>\n

Como os fundos roubados na verdade pertenciam aos jogadores do Axie Infinity<\/em>, a Sky Mavis iniciou os pagamentos de indeniza\u00e7\u00e3o \u00e0s v\u00edtimas em 28 de junho. Para isso, a empresa alavancou seus pr\u00f3prios recursos e US$ 150 milh\u00f5es em financiamento da Binance recebidos no in\u00edcio de abril.<\/p>\n

Como se manter protegido<\/h2>\n

Ao planejar ataques direcionados, os cibercriminosos estudam cuidadosamente a v\u00edtima em busca de pontos fracos. Estas podem ser falhas de seguran\u00e7a em dispositivos e software, bem como o fator humano. O \u201cher\u00f3i\u201d do nosso post era um experiente especialista em TI, mas at\u00e9 eles foram enganados. Para evitar um destino semelhante e manter seus dados, dinheiro e tokens, fique atento e n\u00e3o negligencie as medidas de seguran\u00e7a.<\/p>\n