Os ataques por phishing ‘pescam’ todo o tipo de entidades, desde ‘peixe miúdo’ até verdadeiras baleias. Ou whales. Sobretudo no mundo cripto.
Prova disso é o facto de, no passado dia 6 de setembro, uma whale ter perdido nada mais nada menos que 24 milhões de dólares em Ethereum, algo que só seria confirmado mais tarde pela empresa de segurança PeckShield.
Tabela de Conteúdos
O que ocorreu exatamente?
Segundo dados do relatório dessa firma, a whale acabou perdendo tudo que tinha na Lido Staked ETH (stETH) e na Rocket Pool (rETH). Tudo aconteceu em apenas duas transações – na primeira foram ‘pescados’ 9,579 stETH e, na segunda, 4,581 rETH. Traduzindo em dólares, o primeiro roubo ‘custou’ 15,15 milhões de dólares através da Lido (ou 75 milhões de reais) e 8,5 milhões de dólares através da Rocket Pool (à volta de 42 milhões de reais). Isso são valores à data desse roubo – como já vimos num artigo anterior, as cotações são variáveis.
Onde foram parar as moedas?
Depois da ‘pesca’ bem-sucedida, a entidade que fez o phishing trocou o total roubado por ETH e DAI, com o montante do stash da DAI a ser transferido diretamente para a FixedFloat, conforme reportou também a Peck Shield (PS).
O relatório da PS é complementado por informações de outras entidades que procuraram apurar mais sobre o assunto. No caso, a equipa que faz a monitorização crypto da SlowMist, reportou que a maioria da ‘pescaria’ foi transferida para três endereços diferentes. Além disso, o Scam Sniffer, dedicado ao anti-scam, mostrou que a whale permitiu aprovações dos tokens ao assinar transações “Increase Allowance”.
O que é o Increase Allowance?
De forma muito simples, são permissões de acesso que fazem parte das características dos tokens ERC-20 e que abrem espaço a que uma terceira entidade possa distribuir tokens que não lhe pertencem.
Essa possibilidade, como se percebe, traz consigo muitos riscos, como aquele que se verificou com essa whale. Com efeito, alguns especialistas continuam a alertar para os efeitos negativos da Increase Allowance.
