Depois de golpes recentes envolvendo transações de criptomoedas falsas e sites de notícias falsas, recentemente descobrimos uma terceira artimanha, usando falsas transações descentralizadas (DEX, sigla em inglês) de criptomoedas e voltada para entusiastas desses ativos no aplicativo de mensagens Discord. Saiba como funciona o novo esquema.
Uma palavra sobre transações de criptomoedas
Primeiro, o que é um DEX? Existem dois tipos de transações de criptomoedas: centralizadas (CEX) e descentralizadas (DEX).
Com uma transação do tipo CEX, os clientes transferem dinheiro para uma corretora e os fundos são movidos para uma carteira, cuja chave privada é armazenada na plataforma. Consequentemente, esses operadores também são responsáveis pela segurança. As bolsas CEX pertencem a pessoas jurídicas específicas, e seus clientes passam por verificações do tipo “know-your-customer“, com o objetivo de ter mais informações sobre o perfil das pessoas com quem trabalham, para combater práticas como a lavagem de dinheiro. Em geral, esses sites são convenientes e confiáveis, mas alguns usuários se incomodam com a necessidade de transferir fundos para a corretora e a possibilidade de ter sua conta congelada durante a verificação.
Ao contrário das plataformas CEX, as bolsas DEX são essencialmente apenas “locais” intermediários entre compradores e vendedores. Os negociadores podem usar qualquer carteira e não precisam transferir chaves privadas. As transações DEX tendem a não ser propriedade de nenhuma organização em particular, não necessariamente verificam seus clientes e não costumam investir muito em impedir transações ilegais.
A abordagem descentralizada fornece maior anonimato. Além disso, as bolsas de DEX costumam ter taxas mais baixas, e talvez por isso tenham atraído cada vez mais negociantes de criptomoedas ultimamente.
A descentralização também significa mais preocupações com a segurança para os usuários – e além do risco agregado comum que os usuários de DEX aceitam, os cibercriminosos criaram recentemente um site de phishing disfarçado de bolsa DEX chamado Uniswap.
Como clientes DEX são enganados
Vítimas em potencial – usuários dos populares servidores de criptomoeda do Discord – recebem mensagens de phishing que parecem vir do Uniswap e oferecem tokens gratuitos. Os autores passam seu esquema como um airdrop – um prêmio em moedas, geralmente para promover uma nova criptomoeda, mas às vezes para a lealdade do usuário ou para tarefas simples, como repostagem em redes sociais. (Esses “presentes” às vezes são chamados de helicopter money).
Em sua mensagem, os golpistas afirmam que vários serviços de criptomoeda acabaram de lançar tal campanha, e o destinatário está entre os destinatários sortudos do momento. O prêmio também é suculento: 2,5 Ethereum e 25.000 moedas ZKSwap – mais de U$ 75 mil no momento desta publicação.
A mensagem parece crível: a linguagem é estranha, mas não cheia de erros graves, o nível de uso de emojis é razoável e a lista de corretoras inclui nomes confiáveis. Até os Termos e Condições são verossímeis.
O encurtamento do link para a oferta pode levantar suspeitas, mas isso é improvável; muitos já estão acostumados a endereços abreviados, como links t.co ou bit.ly.
O link leva a uma página muito semelhante ao site do Uniswap – e a bastante conhecida corretora na verdade realizou uma promoção de helicopter money para clientes não muito tempo atrás. O site de golpes, no entanto, apresenta em destaque um botão denominado Reivindicar recompensas acumuladas .
Clicar no botão leva a vítima a uma tela solicitando a chave privada ou frase mnemônica para sua criptowallet (em nosso teste, os golpistas solicitaram uma carteira Metamask). Nesse caso, uma frase mnemônica, ou frase semente, é uma sequência de palavras humanas normais que restaura o acesso a uma carteira em caso de falha técnica ou mudança de dispositivo.
Como não cair em golpes de DEX
Para evitar morder a isca do cibercriminoso, siga estas regras simples:
● Desconfie de qualquer oferta de criptomoeda gratuita. Brindes promocionais de boa-fé tendem a ser reservados para os primeiros investidores;
● Preste atenção aos critérios. Se uma mensagem sobre um prêmio ou oferta contiver uma condição que você não cumpriu, mesmo que a promoção seja real, você não será elegível;
● Consulte a Claimable se tiver alguma dúvida. É um serviço gratuito que permite verificar se você pode reivindicar um prêmio e requer apenas a chave pública de sua criptowallet, sem dados confidenciais;
● Verifique nos sites oficiais se uma promoção específica está realmente acontecendo;
● Adicione os sites que você usa aos seus favoritos e visite-os a partir deles; não siga links em mensagens ou e-mails;
● Leia os termos de uso dos serviços, prestando atenção a quais dados eles podem solicitar de você e quais não.