Diante do crescente interesse das pessoas por criptomoedas e da explosão dos valores das mesmas os profissionais do Mantis, plataforma nacional de DRP (Digital Risk Protection), ligam o alerta para golpes envolvendo Blockchains Falsos e contratos inteligentes vulneráveis. “Se por um lado as finanças decentralizadas liberam usuários da supervisão e das regras de instituições financeiras e órgãos reguladores, também desconsideram meios e recursos legais em casos de fraudes cibernéticas”, afirma Ulysses Monteiro, gerente de soluções do Mantis.
Por isso, quando um investidor vai explorar o mundo das criptomoedas, deve saber de que forma os cibercriminosos lucram nesse ambiente. Basicamente, explorando vulnerabilidades em smart contracts, ou contratos inteligentes. No caso de criptomoedas, trata-se de um conjunto de instruções que serão seguidas assim que o tempo ou as condições financeiras forem atendidas. A equipe do Mantis detectou na Dark Web a existência de fóruns em que hackers anunciam serviços para identificar contratos falsos, com todo aparato, desde a criação da crypto-fake, robôs de telegram falsos entre outros.
“Para escrever um smart contract em blockchains populares como Ethereum ou Binance Smart Chain, não são necessárias qualificações ou habilidades avançadas de codificação. Desta forma, não é incomum pessoas criarem contratos inteligentes vulneráveis, e é exatamente o que cibercriminosos buscam. Assim, exploram estes contratos para receberem os fundos no lugar do destinatário legítimo”, explica Monteiro.
Segundo o especialista, contratos inteligentes escritos em blockchains mais novas e menos testadas tendem a serem mais vulneráveis. As inseguranças podem permitir que os invasores roubem chaves de API de carteira expostas, inundem a rede com transações de spam e realizem ataques de 51% (quando um indivíduo ou grupo ganha o controle de mais de 50% do poder de mineração de uma blockchain), o que pode resultar em investidores incapazes de sacar seus fundos, ou mesmo na drenagem desses fundos em carteiras de invasores. Neste caso, mesmo que o contrato inteligente seja codificado corretamente, ele se torna frágil se a blockchain em que está escrito estiver vulnerável.
Os especialistas alertam também para golpes tradicionais como phishing e engenharia social. Na Dark Web, há guias sobre o uso de uma criptomoeda recém-listada para golpes de airdrop, um ataque de phishing sofisticado pelo qual tokens maliciosos geram mensagens de erro falsas que redirecionam os titulares para páginas fraudulentas. Além disso, um criminoso cibernético pode também usar engenharia social para obter investidores que aceitem comprar criptomoedas que nem sequer têm uma blockchain. “Existem inúmeros fóruns de cibercriminosos que explicam como construir blockchains falsas e comercializá-las para investidores”, explica Monteiro.Até as próprias casas de câmbio estão em risco. Mesmo quando elas são totalmente legítimas, cibercriminosos estão constantemente à procura de vulnerabilidades.
Monteiro recomenda que, ao criar um contrato inteligente, se utilizar das melhores práticas de mercado no desenvolvimento de código de contratos inteligentes, utilizar soluções confiáveis de blockchain para o desenvolvimento e realizar periodicamente auditorias de segurança, além de acompanhar com frequência os boletins de segurança da tecnologia utilizada em seu contrato inteligente. “No mundo das criptomoedas, você é seu próprio banco, ou seja, toda a pesquisa e medidas de proteção necessárias que os bancos assumiriam, no universo digital a responsabilidade é sua. Conhecimento é poder, mais do que nunca”, finaliza.
