🚨 Hack de cerca de 15 milhões de dólares... e a razão não foi uma vulnerabilidade complexa na blockchain, mas sim um erro de confiança e revisão humana!

O projeto da moeda #gua sofreu um grande hack que resultou no roubo de cerca de 14,98 milhões de tokens GUA, com um valor estimado em aproximadamente 15,2 milhões de dólares no momento do incidente.

$GUA

O atacante não se contentou apenas em roubar, mas vendeu toda a quantidade diretamente na rede (On-Chain), o que causou um colapso rápido e acentuado no preço da moeda, e então converteu os ganhos em 2.784 ETH e distribuiu em várias wallets diferentes.

O interessante na história é que o ataque não se baseou em quebrar a criptografia ou hackear a blockchain em si.

De acordo com as informações disponíveis, o atacante explorou uma combinação de:

• Manipulação da interface do usuário (UI Tampering)

• E erro humano durante a revisão dos endereços

Como o ataque teve sucesso?

O atacante usou um poder computacional enorme para criar um número massivo de endereços de carteira, até conseguir um endereço muito parecido com o endereço do contrato legítimo do Airdrop.

O endereço legítimo:

0x70ae...5c15

Endereço da carteira maliciosa:

0x70AE...5C15

O problema é que algumas revisões dependiam apenas da verificação dos primeiros e últimos caracteres do endereço, em vez de uma verificação completa.

E assim que a transação obteve as assinaturas necessárias dentro do sistema Multi-Signature, os ativos foram enviados para o endereço do atacante de forma definitiva e irreversível.

A lição de segurança aqui é muito importante:

No mundo das criptomoedas, a confiança em:

✔ Os primeiros 4 caracteres

✔ E os últimos 4 caracteres

Apenas verificar os endereços não é mais suficiente.

Os atacantes se tornaram capazes de gerar endereços visualmente semelhantes para enganar os usuários e até equipes profissionais.

Como podemos reduzir esse tipo de risco?

• Verificar o endereço completo antes de assinar

• Usar um Address Book confiável para endereços sensíveis

• Revisar as transações por mais de uma pessoa de forma independente

• Usar ferramentas que mostrem claramente as diferenças entre os endereços

• Não confiar apenas na verificação visual rápida

O incidente nos lembra de uma verdade importante:

Às vezes, as maiores perdas no mundo do Crypto não acontecem por causa de uma falha técnica complexa...

mas por causa de segundos de pressa durante a revisão.

#CyberSecurity #CryptoSecurity #Blockchain #Ethereum #InfoSec #Web3

#KhlyBalakSecurity