Golpistas invadem servidor de NFTs no Discord e roubam US$ 150 mil
Hackers conseguem entrar no servidor do Discord da plataforma Fractal de forma remota e enviam um link fraudulento que rouba criptomoedas das carteiras digitais
Hackers conseguem entrar no servidor do Discord da plataforma Fractal de forma remota e enviam um link fraudulento que rouba criptomoedas das carteiras digitais
Alguns compradores de NFT caíram, na última terça-feira (22), em um golpe pelo Discord e tiveram um total de US$ 150 mil (por volta de R$ 850 mil) roubados. Os golpistas invadiram o servidor oficial da plataforma Fractal — marketplace de tokens não fungíveis de itens para jogos — e usaram o bot do canal para enviar um link que permitia roubar as criptomoedas dos usuários.
Ao clicarem no link enviado pelo bot do servidor, os compradores entravam em uma página onde conectavam suas carteiras digitais. Porém, em vez de receberem os NFTs, os usuários tiveram suas criptomoedas Solana roubadas. Segundo Tim Cotten, fundador da Scrypted Inc — outra empresa de projetos de jogos com NFT —, os golpistas pegaram o equivalente a US$ 150 mil em Solanas.
Em relatos nas redes sociais, usuários disseram que não tinham como suspeitar do link, pois ele havia sido enviado pelo bot oficial do servidor da Fractal. O criador da plataforma, Justin Kan, informou no Twitter que o canal no Discord com mais de 100 mil pessoas havia sido invadido por hackers e pediu que as pessoas não clicassem em outras mensagens.
Os golpistas se aproveitaram para enganar os usuários que estavam esperando para comprar NFTs no momento do “mint” — termo usado para se referir à primeira transação de um token logo após sua criação. Depois de passar pelo mint, os NFTs podem ser comercializados entre pessoas por meio de plataformas terceirizadas.
Outro fator que facilitou o golpe foi um tweet postado pela conta oficial da Fractal. Algumas horas antes da ação dos hackers, o perfil havia anunciado um “airdrop” para aquele dia. Em outras palavras, a plataforma iria distribuir alguns tokens de graça para usuários selecionados. Por ser uma oferta tentadora, muitas pessoas correram achando que o link fraudulento era real.
Após o ataque, a conta da Fractal explicou que a invasão foi feita por meio de um webhook. Em resumo, esses webhooks são capazes de ligar duas pontas entre sistemas diferentes. Assim, é possível controlar um aplicativo como o Discord de forma remota e automática.
Para realizar o ataque, os golpistas usaram um webhook que estava desprotegido. Sem uma proteção decente, qualquer pessoa pode alterar o robô do servidor do Discord, se usar a URL certa.
Em um post no Medium, a Fractal disse ter entrado em contato com a equipe de segurança do Discord para fazer a auditoria da segurança do servidor. No mesmo texto, a empresa pediu que os usuários tivessem mais cuidado ao lidar com blockchain.
“Se algo não parecer estar certo em cripto, por favor, não prossiga, mesmo que à primeira vista pareça legítimo. Devemos usar nosso bom senso, pois não há botão de desfazer na criptografia”, comentou a Fractal.
A plataforma também aproveitou para se desculpar e prometeu compensar todos os usuários que tiveram suas criptomoedas roubadas no golpe.
Com informações: The Verge.