CryptoTimes

Fraudadores se aproveitam da recente febre dos NFTs; veja como se proteger

01 set 2021, 16:20 - atualizado em 01 set 2021, 16:20
Lembre-se de nunca enviar tokens em troca de mais criptomoedas; ninguém é tão “bom samaritano” assim para duplicar seus investimentos (Imagem: Freepik)

A indústria das criptomoedas sempre sofre com fraudadores oportunistas, que realizam distribuições gratuitas (“airdrops”) de tokens no Twitter, a fim de chamar a atenção de investidores, mas roubam todos os seus tokens se você tentar movimentá-los.

Agora, conforme tokens não fungíveis (NFTs) estão sendo “vendidos como se fossem água”, golpistas mudaram suas táticas para explorar esse crescente mercado — e suas iniciativas parecem estar funcionando.

Existem duas grandes formas que esses fraudadores tentam obter acesso à carteira de alguém e aos tokens contidos nela.

CONTINUA DEPOIS DA PUBLICIDADE

Fingindo fornecer serviços de suporte

Uma grande estratégia é fingir fornecer serviços de suporte em nome da plataforma de negociação de NFTs OpenSea.

Essa técnica é eficaz, pois existem muitos problemas relacionados a NFTs, que variam desde a verificação de uma coleção ser oficial, NFTs não aparecendo em carteiras ou, às vezes, informando atributos incorretos.

Esses tipos de problemas demandam auxílio e, como resultado, compradores confusos vão atrás de suporte ou do emissor do NFT ou da plataforma com a qual estão interagindo.

Geralmente, o comprador do NFT tentará enviar uma mensagem na plataforma de mensagens Discord, que se tornou um grande núcleo de atividades e conversas relacionadas a NFTs.

Porém, é fácil alguém criar uma conta chamada “OpenSea Support” e entrar nesses grupos. Quando alguém disser que está passando por problemas, o falso serviço de atendimento irá oferecer ajuda por meio de uma mensagem direta.

Outra tática bem eficaz envolve a MetaMask, carteira integrada a navegadores. O fraudador convida o usuário a compartilhar sua tela e direcioná-los a um recurso da carteira que a conecta com diferentes dispositivos.

Ao fazer isso, o invasor irá configurar a carteira em seu próprio dispositivo, obtendo acesso completo aos fundos de um usuário.

Já que isso se tornou uma grande dor de cabeça, a MetaMask suspendeu essa função.

Como fraudadores estão roubando cripto
de usuários pelo Tinder e pelas redes sociais

Esse problema aconteceu com Jeff Nicholas, diretor criativo da Authentic AI.

Em uma série de tuítes, ele descreveu como buscou o suporte da OpenSea no grupo do Discord buscando por ajuda e acabou sendo contatado via mensagem direta por um fraudador, cujo nome mostrava “OpenSea”.

Jeff acabou mostrando o código QR, que permitiu que a conta fosse transferida a outro dispositivo e, em seguida, notou que sua carteira estava sendo “esvaziada”.

Hoje foi difícil. Embora, agora, eu esteja me sentindo um pouco melhor, quero tomar a frente da situação e explicar o que aconteceu na noite passada, como um alerta para qualquer um — seja uma pessoa com ou sem experiência — porque eu acredito que isso pode acontecer com qualquer um se sua guarda estiver baixa, assim como a minha.

Transferiram tudo. Todos os Apes, os cachorros, os gatos, os airdrops… todos os ETHs. Também entraram em minha outra conta, então tentei e salvar o máximo que pude, transferindo para outra carteira antes que tudo suma. Recuperei uns NFTs, alguns tokens…

Embora essa parte da invasão não possa mais acontecer na MetaMask, é necessário prestar atenção se essas contas de suporte no Discord são fakes — irão usar qualquer carta na manga para roubar seus fundos.

Sempre certifique-se que está acessando o site oficial de uma plataforma. As redes sociais oficiais sempre estão indicadas na página (Imagem: OpenSea)

Capitalizando com a bagunça na emissão de NFTs

Geralmente, fraudadores têm NFTs como alvo, mas também estão focando especificamente nas emissões — sabem que é o momento perfeito para pegar investidores desprevenidos.

Quando NFTs são lançados, data e hora são publicamente anunciados com antecedência. O site irá apresentar um botão de “mint” (emissão) e qualquer um pode pagar para criar, por exemplo, uma coleção com 10 mil NFTs.

Se houver uma alta demanda para a emissão, a coleção irá esgotar em uma questão de minutos ou segundos. Pode ser um momento bem estressante, principalmente se a emissão não acontecer conforme o planejado. Também pode gerar muita confusão — e é aí que os fraudadores aproveitam.

Antes da emissão, possíveis compradores de NFTs vão atrás de informações de quando o evento irá acontecer — geralmente na sessão de “perguntas frequentes” (FAQ).

Se houver problemas, compradores irão atrás de respostas e soluções. Geralmente, estarão observando a conversa principal em um canal do Discord.

Um método de fraude é fingir o fornecimento de um serviço de emissão de tokens. O fraudador dirá que a emissão deu errado e a única forma de obter um NFT é enviar criptomoedas ao endereço de carteira fornecido.

Outro exemplo é quando fraudadores publicam links falsos, na expectativa de que ninguém irá perceber. Uma estratégia é publicar um link, afirmando que o airdrop acontecerá naquele site. Pode até ser bem parecido com o site oficial mas, provavelmente, irá retirar todos os NFTs de sua carteira.

Essa estratégia em particular afetou Chase Devans, analista de pesquisa da Messari, que utilizou um link que um amigo havia visto no Discord e repassado para ele.

Quando Chase tentou emitir um NFT no site, perdeu US$ 15 mil em SOL — tokens da rede Solana — de sua carteira, além de perder todos os seus NFTs.

No Twitter, ele explicou:

Já fui “enganado” antes. Moedas porcaria, 19 de maio, [liquidações em] cascata… você escolhe. Mas dessa vez foi diferente. Fui “refinando minha arte” e criando um estoque sólido de [tokens] SOL com base em aspectos fundamentais. Tudo sumiu num instante… Puf!

Tais estratégias foram bem-sucedidas na emissão de NFTs do projeto Aurory, desenvolvido no blockchain Solana. Uma carteira acabou roubando US$ 1,5 milhões e 350 NFTs — alguns deles foram “congelados” em seguida.

Já que houve uma falha no contrato de emissão, que fez com que NFTs fossem vendidos por 1 SOL em vez de 5 SOL, um fraudador acabou ganhando mais dinheiro do que os emissores do NFT.

Um aspecto relevante aqui é que Phantom, uma popular carteira do ecossistema Phantom, tinha um recurso de autoaprovação, que iria aprovar qualquer transação a partir de um site autorizado (criado para facilitar a emissão de tokens).

Porém, isso pode permitir que o site aprove uma variedade de outras transações, possivelmente colocando seus NFTs em risco. Phantom afirmou que irá remover essa ferramenta.

O principal conselho aqui é verificar se você está usando links oficiais, que podem ser encontrados no canal de FAQ de um projeto — e não usar links fornecidos em um canal aberto.

Além disso, recomenda-se o uso de uma carteira diferente para cada emissão para que você não perca mais do que está armazenado naquela carteira.