Já esmiuçamos o NFT e todo o cenário por trás do hype de milhões de dólares por certificados protegidos por blockchain que reivindicam a “propriedade” de ativos digitais. Mas, alguns meses bastaram para que o lado obscuro da tecnologia surgisse.
E é sobre essa contrapartida relativamente precoce que a The Verge discorre em um artigo especial. Trouxemos os highlights da publicação que aponta as vulnerabilidades cibernéticas que já vêm fazendo vítimas por todo o mundo.
No mês passado, Jeff Nicholas apareceu no canal Discord da OpenSea, o popular mercado de NFT, em busca de ajuda com uma questão de royalties. Em poucos minutos, alguém com o nome de “Pascal | OpenSea” respondeu, convidando-o para um Discord separado chamado “Servidor de Suporte OpenSea”. Lá, ele foi saudado por “Nate | OpenSea”, recebeu um número de fila e, finalmente, começou a conversar por meio de um processo de resolução com os dois agentes. Pascal é o nome do líder de suporte ao cliente da OpenSea, e Nate pode ter sido Nate Chastain, seu chefe de produto na época.
Mas não havia Nate ou Pascal, e Nicholas não estava em um canal de suporte ao cliente. Ele foi alvo de um grupo de golpistas disfarçados de funcionários da OpenSea, e eles começaram a trabalhar. Segurando Nicholas no purgatório de atendimento ao cliente, eles fariam ping para ele de forma intermitente, dizendo que sua vez se aproximava. Pelos padrões de atendimento ao cliente online, era algo típico – bom, até mesmo, pelo quão pessoal eles estavam agindo. Mensagens personalizadas, um convite exclusivo do Discord e vários membros da equipe, todos trabalhando o mais rápido que podiam.
Se algo parecia estranho nas conversas, era que “Nate” continuava chamando-o de “meu cara”. Mas entre as obrigações familiares e o esgotamento do atendimento ao cliente, Nicholas esqueceu a gafe. Depois de horas de idas e vindas, eles casualmente sugeriram que ele compartilhasse sua tela com eles. Para Nicholas, essa foi apenas a próxima etapa no processo de solução de problemas; para os golpistas, seus olhos começaram a brilhar.
Na hora seguinte, os golpistas varreram cada NFT da carteira de Nicholas. Como ele havia compartilhado sua tela, eles puderam tirar uma foto do QR code sincronizado com sua chave privada, ou “seed phrase”, obtendo acesso total aos seus ativos silenciosamente. Para protelar Nicholas, os golpistas calmamente garantiram a ele que os pagamentos de royalties estavam chegando, enquanto transferiam freneticamente seus NFTs. Quando a suspeita finalmente surgiu, já era tarde demais. Os danos totalizaram cerca de 150 ETH, ou cerca de US$ 480.000. Logo depois de ser enganado, ele tweetou uma única palavra: “Foda-se”.
À medida que o valor dos NFTs aumentou, com certos projetos sendo considerados “blue chip” devido a avaliações altas ou relativamente estáveis, também aumentou a ameaça de golpistas. No espectro NFT, a palavra “scam” cobre muitas bases. Pode se referir a um projeto cuja equipe arrecada milhões com falsas promessas aos compradores, também conhecido como “puxada de tapete”; ofertas falsas de NFTs no Twitter que geram retuítes e seguidores para dar a ilusão de influência; e links maliciosos ou impostores persuasivos que resultam no usuário, sem saber, desistir de sua chave privada.
Parece quase paradoxal que um espaço cujos usuários geralmente são fluentes em segurança cibernética tradicional possam se tornar vítimas com tanta facilidade. Mas, de acordo com a The Verge, no espaço NFT, a cultura de comunidade e cliques rápidos em bons negócios impera, os golpes de mentalidade social são os mais atraentes. Os golpistas, cujas manobras dependem de ganhar a confiança da vítima, exploram os mesmos instintos que tornam o espaço NFT uma comunidade unida de amigos mais do que uma reunião de comerciantes individuais. Nesse clima, Nicholas chama esses golpes de uma espécie de “engenharia social”: condicionar alguém a pensar que está lidando com um amigo ou membro de confiança da comunidade, para que baixe a guarda.
O golpe usado em Nicholas é indiscutivelmente o mais nefasto. Se um golpista tem controle das chaves de um usuário, ele pode transferir qualquer ativo criptográfico para uma carteira separada. Todas as transações são irreversíveis por design. Se um usuário perceber imediatamente que sua carteira foi comprometida, é uma corrida frenética para transferir os ativos mais valiosos para um não comprometido. No caso de Nicholas, embora ele tenha garantido sua conta com uma camada adicional de proteção – um dispositivo de hardware que exige que ele assine as transações – ele foi levado a pensar que estava autorizando o pagamento de royalties, e seus NFTs desapareceram rapidamente.
Como um blockchain como o Ethereum é descentralizado e permite o anonimato, é difícil rastrear golpistas que usam carteiras anônimas e as vítimas têm poucos caminhos para o recurso. “É preciso foco para adotar o ‘Eu sou meu próprio banco e o guardião de meu próprio dinheiro’”, disse Nicholas. “Eu não posso levar isso como uma ida ao banco, distraído no meu telefone. Você tem que estar 100% no momento. Caso contrário, é muito fácil perder alguns sinais.”
Houve um caso recente em que cybersleuths da comunidade descobriram que um funcionário da OpenSea negociou NFTs com base em informações privilegiadas. As transações perturbadoras conectaram-se à conta publicamente conhecida do funcionário; no caso de Nicholas, as carteiras dos golpistas e os ativos roubados permaneceram totalmente visíveis, mas não puderam revelar nada sobre a identidade do novo proprietário.
Embora os próprios golpistas escapassem da identificação, o OpenSea poderia identificar o endereço da carteira do golpista. Ao serem informados, foram obrigados a “travar” os NFTs roubados, evitando que fossem negociados ou revendidos. Mas, no momento em que bloquearam os ativos de Nicholas, os golpistas os venderam preventivamente para os licitantes mais altos, nenhum dos quais sabia que eles estavam participando da troca de bens roubados.
Isso deixou Nicholas em uma situação difícil. O golpe esmagador custou seis dígitos de ativos, incluindo o Bored Ape que ele usou como sua identidade no Twitter. Os golpistas gastaram coletivamente centenas de milhares de dólares em NFTs que eram de repente invendável.
A comunidade NFT começou a desenvolver um manual para lidar com as consequências de golpes, que envolvem levantar fundos para comprar de volta bens roubados e invertidos. Isso normalmente inclui a arrecadação de fundos para a comunidade, em que usuários generosos doam Ethereum em excesso ou NFTs em demanda, enquanto os artistas costumam contribuir com NFTs que eles mesmos criaram. Muitas vezes, as vítimas recebem empréstimos em criptomoedas sem juros, que podem usar para investir ou iniciar seus próprios projetos artísticos para se reerguer. Os bots de resgate com nomes como “Cool Cats Rescue” e “dogemaster42069” patrulham o mercado, fazendo ofertas automáticas de baixa qualidade para golpistas famintos por liquidez para que os NFTs possam ser devolvidos aos proprietários originais a preços mais justos – e às vezes de graça.
Nicholas se conectou com Sohrob Farudi, um colecionador de NFT que havia perdido o que estimava ser 250 ETH, ou US $ 800.000, depois que golpistas o enganaram ao se passar por fundadores do Bored Ape Yacht Club. Juntos, eles começaram um fundo comunitário para comprar de volta os NFTs roubados que haviam sido congelados. Ao levantar NFTs da comunidade, eles conseguiram revender as doações por cerca de 10% do valor dos ativos roubados, ou uma soma ainda impressionante de 32 ETH. O resto saiu de seus próprios bolsos.
“Eu me senti horrível porque algo que aconteceu comigo impactou todas essas outras pessoas. Não é justo que meus itens roubados tenham acabado nas carteiras de compradores inocentes e agora estejam bloqueados ”, disse Farudi à publicação.
Embora o fundo tenha reunido Nicholas e Farudi com alguns de seus valiosos ativos, o processo não foi fácil. Logo depois que os golpistas venderam os NFTs do Bored Ape Yacht Club, o valor de mercado disparou com o anúncio de um leilão da Sotheby’s e uma expansão do ecossistema Bored Ape chamado “Mutants”. Enquanto a maioria dos compradores devolveu os NFTs a preço de custo, alguns compradores não estavam dispostos a devolver seus NFTs inflados, pelo que pagaram. Após negociações significativas, Nicholas e Farudi conseguiram um acordo com a grande maioria dos compradores. Um macaco permanece. “Podemos ter que simplesmente deixar para lá”, disse Nicholas.
Apesar do estereótipo de um espaço de criptomoeda sujeito a hacks altamente complicados, como quando um hacker anônimo roubou mais de US $ 600 milhões em criptomoeda (e depois devolveu tudo), os golpes usados em Nicholas e Farudi eram comprovadamente de baixa tecnologia. Não havia código venenoso; eram canais Discord falsos e nomes falsos.
Em resposta aos dois golpes de alto perfil, a OpenSea pediu desculpas a Nicholas e Farudi. A plataforma também adicionou um botão SOS, que permite que os usuários bloqueiem suas próprias contas caso acreditem que ela esteja comprometida. MetaMask, o serviço de carteira usado por Nicholas, desativou temporariamente o código QR que dá acesso às chaves de um usuário, uma vez que os golpistas exploraram o recurso por meio da função de compartilhamento de tela das vítimas em várias ocasiões. Embora o Discord tenha alguns recursos de segurança para evitar a falsificação de identidade, como etiquetas numéricas exclusivas de quatro dígitos em cima de um sistema de nome de usuário não exclusivo, alguns usuários acham que o último ainda permite oportunidades de abuso.
Para Nicholas e Farudi, suas vidas foram destruídas em questão de horas. Nicholas comparou o sentimento ao PTSD, e Farudi diz que o trauma psicológico o deixou paranóico sempre que clica em sua MetaMask. Se algo poderia tê-los trazido de volta ao espaço, esse algo seriam as conexões sociais que os atraíram inicialmente. “É uma história centrada na comunidade. Essa coisa ruim aconteceu e a comunidade se reuniu”, disse Nicholas ao The Verge. “Há tantas pessoas que estenderam a mão e disseram: ‘Olha, a mesma coisa aconteceu comigo. E eu estou com vergonha e não disse nada’”.
“Se isso foi necessário para fechar uma vulnerabilidade e agora outras pessoas não sofrerão o mesmo destino”, Farudi acrescentou, “me sinto bem por termos feito o que fizemos”.
