Ataque cibernético rouba milhões com um único clique

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

Como ocorreu o ataque de Address Poisoning

No centro do incidente está uma carteira que esteve ativa durante quase dois anos e era utilizada principalmente para transferências de USDT. Após levantar fundos da Binance, o utilizador recebeu aproximadamente 50 milhões de dólares em USDT. Acreditando tratar-se de um método seguro, o utilizador realizou primeiro uma pequena transferência de teste. Alguns minutos depois, foi feita a transferência principal, mas, sem saber, o utilizador utilizou o endereço errado.

Antes deste momento, o fraudador já tinha preparado o ataque de “address poisoning”. Foi criada uma carteira que se assemelhava muito a um endereço frequentemente utilizado pela vítima, e uma quantidade minúscula de USDT foi enviada para ela, adicionando-se assim ao histórico de transações. Dado que os endereços na interface da carteira aparecem como cadeias longas e complexas, o utilizador copiou inadvertidamente este endereço falso do histórico de transações ao pretender transferir fundos, resultando no envio de quase 50 milhões de dólares para a carteira do atacante com um único clique.

A controvérsia do modelo UTXO e a perspetiva de Charles Hoskinson

Charles Hoskinson, fundador da Cardano, comentou sobre o incidente, argumentando que uma perda deste tipo é muito mais difícil de acontecer em certas arquiteturas de blockchain. Ele salientou que os modelos baseados em contas, utilizados pela Ethereum e redes baseadas em EVM, estruturalmente permitem fraudes como o address poisoning. Neste modelo, os endereços são mantidos como contas permanentes, e as carteiras frequentemente sugerem aos utilizadores que copiem endereços de transações anteriores, um hábito explorado por fraudadores.

Segundo Hoskinson, redes que utilizam o modelo UTXO, como Bitcoin e Cardano, são mais resilientes neste aspeto. No modelo UTXO, cada transação gera novas saídas enquanto consome as antigas, eliminando a ideia de um “saldo de conta” permanente. Consequentemente, não existe um histórico de endereços persistente que possa ser visualmente envenenado. Ele enfatiza que este incidente não é uma falha de protocolo ou um erro de smart contract, mas sim uma interação perigosa entre o design e o comportamento humano.

Riscos semelhantes foram destacados por outros relatórios recentemente. Nas últimas semanas, um grande fornecedor de carteiras lançou uma atualização de segurança para alertar os utilizadores contra o hábito de copiar endereços e reformulou os seus ecrãs de verificação de endereços. Estes desenvolvimentos sublinham a importância do design das carteiras juntamente com as precauções individuais.