Costumamos escrever sobre golpes que prometem montanhas de ouro, quando na realidade acontece o contrário e as vítimas acabam de bolsos vazios. Da mesma forma, os cibercriminosos podem colocar as mãos no dinheiro de empresas inteiras explorando a ganância e a negligência de seus funcionários.
Foi exatamente o que aconteceu com o sistema blockchain da Ronin Networks, criado pela Sky Mavis para o jogo Axie Infinity. Um funcionário da Sky Mavis baixou um arquivo PDF com spyware escondido, resultando em um dos maiores roubos de criptomoedas de todos os tempos. A empresa perdeu 173.600 ETH e 25,5 milhões de USDC (cerca de US$ 540 milhões no momento do incidente). Discutimos o ataque com mais detalhes e compartilhamos dicas sobre como se proteger.
Uma introdução sobre o Axie Infinity e a Ronin Networks
Axie Infinity é um videogame online no qual os jogadores ganham criptomoedas com a ajuda de criaturas fantásticas conhecidas como “axies” que podem ser “criadas”, usadas em competições e vendidas a outros jogadores. Para os jogadores, os axies parecem animais fofinhos, mas são essencialmente tokens não fungíveis (NFTs).
Lançado em 2018, Axie Infinity logo conquistou um grande público. No auge, os jogadores podiam ganhar tanto que, para alguns no Sudeste Asiático, isso se tornou um trabalho em tempo integral. Em seu recorde de novembro de 2021, o jogo teve uma contagem diária de 2,7 milhões de jogadores e a receita no ano passado atingiu US$ 215 milhões por semana (no verão de 2022, no entanto, eles caíram para modestos US$ 1 milhão por semana).
Os pagamentos no ecossistema Axie Infinity são feitos usando a moeda do jogo Smooth Love Potion (SLP), baseada na blockchain Ethereum. Para permitir que os usuários comprem e vendam SLP com criptomoedas regulares de forma conveniente e sem altas taxas, os desenvolvedores criaram a plataforma Ronin. Foi essa plataforma que atraiu a atenção dos cibercriminosos.
Uma oferta tentadora: como os golpistas enganaram os desenvolvedores
Para chegar à plataforma, os criminosos realizaram um ataque direcionado aos funcionários da Sky Mavis. Eles coletaram informações sobre a empresa e planejaram um golpe construído em torno de uma oferta de emprego falsa com um salário muito atraente.
O esquema envolvia enviar (provavelmente no LinkedIn) uma oferta de emprego tentadora a um engenheiro sênior, que deveria ter ficado mais atento. Tendo passado todas as “etapas de seleção” com louvor, o funcionário, como esperado, recebeu uma oferta de dar água na boca na forma de um arquivo PDF. Quando esse arquivo foi baixado, o spyware dentro dele foi liberado na rede da empresa.
Spyware em ação: retirada de fundos
Os cibercriminosos usaram o malware para obter acesso às chaves privadas dos validadores de rede, ou seja, nós que verificam e confirmam transações de criptomoedas. Havia nove validadores desse tipo na Ronin Networks no momento do ataque e, para realizar a transferência, pelo menos cinco deles precisavam aprová-la. Eventualmente, os invasores conseguiram comprometer quatro validadores na própria empresa e um quinto na organização autônoma descentralizada Axie DAO, onde não estaria e nem deveria estar, não fosse uma supervisão por parte da própria Sky Mavis.
Acontece que em novembro de 2021, devido ao alto volume de transações e carga nos validadores, a empresa permitiu que o Axie DAO aprovasse as transferências. Depois de um mês, a carga diminuiu e a assistência do Axie DAO não foi mais necessária – mas os direitos de aprovação de transações não foram retirados, o que acabou favorecendo os cibercriminosos. Tendo penetrado no sistema Sky Mavis, os hackers também obtiveram acesso ao Axie DAO, que forneceu o quinto validador necessário para retirar fundos das contas de outros para as suas próprias.
A resposta da Sky Mavis
Ao descobrir o ataque, Sky Mavis agiu com responsabilidade e tomou medidas para reforçar a segurança. A empresa trouxe especialistas externos de segurança da Verichains e CertiK e realizou uma auditoria completa da Ronin Networks. A Sky Mavis também aumentou o número de validadores para 11, prometendo escalar gradualmente até pelo menos 100. Quanto maior o número total de validadores, mais eles precisam ser comprometidos para realizar transações não autorizadas, portanto, aumentar seu número deve, em teoria, tornar esses ataques mais difíceis.
Como os fundos roubados na verdade pertenciam aos jogadores do Axie Infinity, a Sky Mavis iniciou os pagamentos de indenização às vítimas em 28 de junho. Para isso, a empresa alavancou seus próprios recursos e US$ 150 milhões em financiamento da Binance recebidos no início de abril.
Como se manter protegido
Ao planejar ataques direcionados, os cibercriminosos estudam cuidadosamente a vítima em busca de pontos fracos. Estas podem ser falhas de segurança em dispositivos e software, bem como o fator humano. O “herói” do nosso post era um experiente especialista em TI, mas até eles foram enganados. Para evitar um destino semelhante e manter seus dados, dinheiro e tokens, fique atento e não negligencie as medidas de segurança.
- Não confie em ofertas generosas inesperadas: seja o emprego dos seus sonhos com um salário enorme, um prêmio, uma herança de algum parente distante ou outras maravilhas enviadas do céu.
- Evite baixar arquivos ou seguir links em e-mails e mensagens de remetentes que você não conhece. Ainda mais se você estiver na rede do escritório e os arquivos e links não estiverem relacionados ao trabalho.
- Use uma solução de segurança confiável que impedirá a execução de malware em seu dispositivo.