Traders de NFTs, cuidado com hacks de engenharia social
Os detentores de tokens não-fungíveis (NFTs) de primeira linha têm sido alvos de vários tipos de ataques devido ao valor de suas posses – e agora os golpistas parecem ter encontrado novas brechas para aproveitar.
Um vetor de ataque popular para os golpistas até agora tem sido os links maliciosos, onde os golpistas invadem as plataformas sociais de um projeto e publicam links de phishing – como aconteceu com a coleção NFT Monkey Kingdom da Solana.
No entanto, mais recentemente, parece haver uma tendência de os golpistas tentarem explorar brechas no design de UX (experiência do usuário) / UI (interface do usuário) de plataformas NFT para roubar itens valiosos de usuários em potencial.
No início deste ano, os golpistas conseguiram explorar um problema relacionado ao design da interface de usuário do principal mercado NFT OpenSea para comprar NFTs por preços de lista antigos, que estavam muito abaixo do preço mínimo da coleção.
De maneira semelhante, um usuário perdeu recentemente três de seus valiosos NFTs Bored Ape Yacht Club (BAYC) em grande parte devido ao design ruim de UI / UX de uma plataforma NFT.
O pseudônimo 0xQuit foi ao Twitter para revelar os detalhes de como o usuário “s27”, que entrou em uma troca direta usando Swapkiwi, uma plataforma de troca NFT peer-to-peer, foi vítima de um golpe.
Aparentemente, s27 concordou em trocar BAYC #1584 e dois Mutant Ape derivados #13168 e #13169), cumulativamente valendo mais de US$ 560.000 dado o preço mínimo atual, pelo BAYC #4424, #5406 e #2007 – só que esses NFTs BAYC eram simplesmente imitações.
O Swapkiwi exibe NFTs verificados com uma marca de seleção, mas a marca de seleção aparece dentro da imagem. Aproveitando-se disso, o golpista usou o photoshop em JPEGs falsos para colocar uma marca de seleção neles, fazendo com que parecessem NFTs BAYC verificados.
“O golpista adicionou essas marcas de seleção aos NFTs falsificados exclusivamente para fazê-los parecer legítimos no swapkiwi”, disse 0xQuit, acrescentando:
“Além disso, não há uma maneira imediatamente aparente de clicar para visualizar o ativo ou o contrato do ativo, tornando desnecessariamente oneroso o processo de verificar os bens.”
O incidente traz algumas lições para os traders de NFT. Em primeiro lugar, se “parece bom demais para ser verdade, provavelmente não é”, disse 0xQuit, observando que é muito improvável que um usuário troque três NFTs BAYC por um BAYC e dois macacos mutantes, que são significativamente mais baratos do que a coleção originária.
Além disso, os traders de NFT precisam verificar tudo de forma independente. Em outras palavras, assuma que “todo mundo está atrás de você”.
Embora o Swapkiwi não tenha a opção de permitir que os comerciantes visualizem instantaneamente o contrato de ativos, os comerciantes podem usar exploradores de blockchain como o Etherscan para verificar os ativos e garantir que sejam originais.
“Isso vale para outros ativos também”, disse 0xQuit.” Já vi golpes semelhantes com tokens, onde um golpista envia uma imagem com as palavras “20 WETH” no lugar de 20 WETH.”
Enquanto isso, o Swapkiwi disse que está trabalhando em melhorias e prometeu “fazer as mudanças necessárias para que isso não aconteça novamente no swapkiwi”.
____
Leia Mais:
– 6 casos de uso de NFTs que (provavelmente) permanecerão após o fim do Hype
– Ucrânia agora aceita doações em 14 Criptoativos
