Apesar de toda a volatilidade, inconstância e linguagem ambígua em torno do blockchain, esta tecnologia continua a demonstrar um crescimento constante.
De acordo com Statista, a tecnologia descentralizada deverá crescer para aproximadamente US$ 1 trilhão até 2032. Os números não abrangem aplicações descentralizadas, como jogos blockchain, que, se levados em consideração, agregarão ainda mais ao valor ultimate.
Sem dúvida, o blockchain oferece um futuro promissor, mas também atrai muitos sabotadores que procuram explorar lacunas no ecossistema descentralizado.
Recentemente, tem havido cada vez mais reclamações sobre casos de golpes direcionados a desenvolvedores de blockchain – ofertas de emprego e tarefas de teste enganosas feitas para se infiltrar em bases de código.
Esse golpe do web3 muitas vezes passa despercebido até que seja tarde demais, pois os invasores plantam códigos nocivos destinados a roubar chaves privadas, carteiras e detalhes do projeto.
Neste artigo, investigaremos a ameaça emergente, analisaremos como reconhecer os episódios e aprenderemos como se proteger de ser vítima de tais tramas.
Por que os desenvolvedores de criptografia e blockchain são os principais alvos dos golpistas?
É simples: os desenvolvedores de criptografia e blockchain geralmente têm acesso a vários registros confidenciais. Apenas uma chave comprometida pode induzir perdas massivas e a recuperação dificilmente é possível.
Os golpistas exploram o hábito dos desenvolvedores de baixar códigos de várias fontes, implantando malware em repositórios presumivelmente legítimos.
No campo do blockchain, onde startups e projetos surgem com notável frequência, é mais fácil para os invasores se disfarçarem de empresas honestas que oferecem opções adoráveis que parecem boas demais para serem ignoradas.
Como os hackers visam os desenvolvedores de software program Blockchain: visão geral
A razão pela qual os hackers frequentemente visam os desenvolvedores de blockchain é evidente. Porém, aqui é mais importante entender não por que, mas como eles fazem isso.
Esses golpistas costumam entrar em contato com os desenvolvedores diretamente por meio das mídias sociais, como o LinkedIn ou websites de busca de emprego como o Upwork, sob o disfarce de empregadores ou clientes, apresentando suas supostas tarefas de teste e solicitando que os desenvolvedores de software program incorporem novos códigos nos projetos.
Aí vem o principal sinal de alerta: o código que eles fornecem contém backdoors ou funcionalidades projetadas para retirar fundos de carteiras, roubar chaves de desenvolvimento ou simplesmente colocar todo o projeto em risco.
A maneira mais standard de baixar a guarda é a engenharia social – convencer os desenvolvedores de que concluir uma tarefa é um passo em direção a uma posição permanente ou a uma oportunidade gratificante de freelancer. No entanto, a intenção deles é apenas fazer com que os desenvolvedores executem seu código malicioso em um ambiente native.
Os invasores confiam na convicção psychological da verdade que os desenvolvedores colocam nessas “ofertas de emprego” que parecem vir de fontes confiáveis.
O Gancho, o Liner, o Sinker: Anatomia de um Golpe Blockchain
Como qualquer outra manobra desonesta destinada a extorquir fundos de uma vítima inocente, um ataque blockchain consiste em várias partes: o gancho para convencer as pessoas a baixar código, a linhae a chumbada.
O Gancho
Think about o seguinte: você é um desenvolvedor de blockchain e está pesquisando com entusiasmo novas oportunidades de emprego. Um gerente de RH ou CEO entra em contato, convidando você a tentar uma posição tentadora.
Tudo parece impecável à primeira vista: uma equipe confiável, uma fonte confiável de comunicação e páginas ativas nas redes sociais. Parece tão bom que seria ridículo recusar uma oferta.
Mas cuidado! Os golpistas muitas vezes não medem esforços para parecerem legítimos, criando histórias de fundo, perfis e até websites convincentes. Eles prendem você a funções atraentes e depois pedem uma “tarefa de teste” para inserir malware em seu sistema.
Os seguintes pontos podem ser indicadores de possível fraude:
- Postos de trabalho extremamente lucrativos
- Clientes não verificados
- Ofertas de emprego mesmo que blockchain não seja sua especialidade
- O cliente não deseja fazer uma ligação preliminar, mas se quiser, ele se recusa a usar uma webcam
- Muitas inconsistências lógicas durante todo o processo de contratação
Depois de ver esse golpe, você poderá identificá-lo facilmente no futuro, pois todos esses esquemas seguem o mesmo padrão. Seja cauteloso e não caia em promessas boas demais para serem verdadeiras.
A linha
Quando você é fisgado, os golpistas passam para a fase dois: a “Linha”. É aqui que eles o atraem mais profundamente, usando comunicação persuasiva, contratos falsos e solicitações urgentes.
A história geralmente segue um de dois caminhos: ou o desenvolvedor anterior desapareceu misteriosamente ou eles precisam que você se put together revisando algum código e adicionando recursos simples antes de uma entrevista.
O problema? Você terá que baixar sua base de código, que está poluída com malware. Eles vão pressioná-lo com urgência – apenas uma solução rápida, nada complicado. E tudo isso é para que você cometa um erro, ao mesmo tempo que evitam ligações diretas ou interações mais profundas.
O Chumbador
A “chumbada” é onde a armadilha se fecha. Ao baixar e executar a base de código, você ativa sem saber um Trojan de acesso remoto (RAT) oculto.
Esse malware elaborado penetra em seu sistema e verifica furtivamente dados confidenciais, como perfis de navegador, senhas salvas automaticamente, frases-semente ou credenciais de login. Pior ainda, é independente de plataforma – depende de ferramentas como o npm para obter acesso.
Enquanto você tenta inspecionar o código, o malware funciona silenciosamente em segundo plano, registrando as teclas digitadas e as pranchetas, acessando arquivos e direcionando seus ativos criptográficos. O fim do jogo? Carteiras vazias e contas comprometidas.
Como o código malicioso tem como alvo os desenvolvedores de Blockchain: o lado técnico do golpe Web3
À primeira vista, o código malicioso incorporado nas tarefas de teste pode parecer inofensivo. Os hackers usam técnicas de ofuscação para ocultar elementos prejudiciais em códigos aparentemente benignos.
Eles podem ocultar backdoors ou cavalos de Tróia em funções que parecem normais, mas são secretamente projetadas para exfiltrar dados quando o código é executado.
Exemplo: biblioteca Sentry que não é importada do repositório npm, mas localmente do arquivo. Outro exemplo são muitas dependências desatualizadas e maliciosas. O código é incoerente e confuso.
O verdadeiro problema reside no fato de que esse código pode funcionar conforme o esperado em um ambiente de teste, o que torna difícil para os desenvolvedores de software program perceberem qualquer comportamento anormal a princípio.
Os agressores contam com que os desenvolvedores se dediquem a completar a tarefa, em vez de inspecionar cada linha de código. No momento em que as ações maliciosas ocorrem – roubo de chaves privadas, dados ou credenciais de carteira – já é tarde demais.
Os riscos financeiros dos golpes de Blockchain para desenvolvedores e empresas
Cair nesses golpes pode levar a graves consequências financeiras e operacionais. Os desenvolvedores que executam código contaminado sem saber podem divulgar credenciais de carteira, propriedade intelectual e outros atributos pessoais.
Para as empresas, porém, poderia ser ainda pior: perda de confiança dos clientes, intimações e, na pior das hipóteses, comprometimento de fundos ou de todo o projeto.
As consequências geralmente envolvem esforços de recuperação dispendiosos, incluindo a reconstrução da base de código comprometida e a notificação dos clientes sobre a violação. Os danos à reputação, por sua vez, podem ter efeitos duradouros na capacidade de uma empresa blockchain de conquistar novos clientes ou investidores.
Casos reais de fraude relatados no espaço Blockchain
A campanha DEV#POPPER é um dos exemplos mais notáveis em que invasores, fazendo-se passar por recrutadores para projetos criptográficos legítimos, pediram aos desenvolvedores que realizassem tarefas de teste que na verdade continham código malicioso para roubar chaves privadas e dados de carteira.
Este caso provavelmente estava relacionado a grupos cibernéticos norte-coreanos que usaram engenharia social para atingir usuários de blockchain.
Outro exemplo foram as falsas ofertas de emprego no blockchain Plexus. Os golpistas se identificaram como corporações de criptografia famosas (usando nomes de domínio maliciosos semelhantes) e enviaram aos desenvolvedores tarefas com malware dentro. Depois de concluir algumas dessas tarefas, alguns desenvolvedores descobriram que suas carteiras haviam sido esgotadas.
Outras táticas envolviam iscas de repositório GitHub/Bitbucket, nas quais golpistas convidavam desenvolvedores para clonar um projeto e contribuir com ele. No entanto, o projeto escondeu spy ware dentro do repositório.
O software program tinha como alvo gerenciadores de senhas e carteiras criptografadas e roubou credenciais e frases iniciais. Vários desenvolvedores compartilharam involuntariamente suas informações privadas simplesmente interagindo com o projeto.
Como nos detectamos e nos protegemos contra tais ameaças
Na SCAND, reconhecemos a ameaça e fizemos o nosso melhor para preparar e integrar todas as medidas possíveis para detectar e proteger contra invasões maliciosas:
- Processo KYC de clientes potenciais: Para verificar clientes em potencial, conduzimos um processo KYC completo que inclui videochamadas, verificação de canais de comunicação, verificação de identidades e uso de listas de verificação de alerta.
- Inspeções detalhadas de código: Cada base de código do cliente é examinada por nossos desenvolvedores experientes para detectar anomalias ou partes mal-intencionadas ocultas.
- Isolamento de código hostil: Executamos o código fornecido (após inspeções) apenas em ambientes isolados, para que nenhum dano possa ser causado.
- Ferramentas avançadas de segurança: usamos ferramentas complexas para revisar bases de código em busca de falhas e lacunas, malware ofuscado ou backdoors. Essas ferramentas fornecem sinais instantâneos e evitam que ameaças progridam despercebidas.
- Conscientização e treinamento da equipe: Nossa equipe está constantemente envolvida em workshops regulares de segurança que mantêm todos atualizados sobre os golpes e técnicas de hacking mais recentes. Eles ajudam nossa equipe a identificar sinais de alerta, por exemplo, tarefas de teste suspeitas ou ofertas de emprego exageradas, e evitar maiores envolvimentos. Além disso, seguimos práticas de segurança certificadas pela ISO27001 para manter os dados bloqueados.
- Acesso Controlado e Segmentação: Mantemos sistemas e dados confidenciais bloqueados e não damos acesso de produção a nenhum membro da equipe. Dessa forma, minimizamos as possibilities de violações induzidas por contas comprometidas. Os desenvolvedores têm acesso apenas a sistemas de desenvolvimento e teste, sem acesso a carteiras com fundos reais de clientes. A arquitetura de segurança em camadas ajuda a isolar credenciais e chaves confidenciais. Usamos grupos de segurança, KMS e criptografia forte em repouso e em trânsito, CI/CD automatizado, ferramentas de monitoramento de segurança, dependências regulares e verificação de código.
- Teste e simulação de penetração: realizamos ataques simulados regularmente para testar nossas defesas e encontrar defeitos antes que agentes mal-intencionados possam manipulá-los. Esta abordagem clarividente permite-nos estar à frente dos perigos prováveis e manter a proteção dos nossos sistemas.
- Colaboração e relatórios: Ao compartilhar padrões de golpes com a comunidade mais ampla de desenvolvedores, pretendemos proteger não apenas a nós mesmos, mas a todos. Além disso, registramos qualquer atividade duvidosa em plataformas ou autoridades para tornar o ecossistema mais seguro para todos.
Melhores práticas para desenvolvedores e empresas de Blockchain
Para evitar fraudes no blockchain, é importante seguir algumas regras. Em primeiro lugar, verifique sempre as ofertas de emprego fazendo o seu trabalho de casa – pesquise o cliente e verifique as suas ligações. Em caso de dúvida, peça ao ChatGPT para analisar a empresa para você.
Quando se trata de código, não tome nada como garantido. Execute exames completos e verifique novamente as camadas de verificação para detectar indicadores duvidosos.
Além disso, limite o acesso a registros confidenciais – apenas as contas técnicas do sistema devem ter acesso às chaves dos componentes críticos.
E, claro: informe sua equipe. O treinamento frequente sobre as tendências atuais em segurança pode fazer toda a diferença na identificação e resistência a golpes.
Para proteção, você deve sempre examinar minuciosamente o potencial colaborador e trabalhar apenas com parceiros verificados. Diretrizes de projeto claramente definidas e comunicação segura contribuirão muito para proteger seu trabalho de tais malfeitores.
Pensamento ultimate: como ficar à frente das ameaças do Blockchain
À medida que a tecnologia blockchain se expande, os métodos dos cibercriminosos crescem proporcionalmente.
Tanto os desenvolvedores quanto as empresas para as quais trabalham devem estar atentos aos riscos e tomar medidas de precaução para proporcionar 100% de segurança em seus projetos.
Em geral, significa ser capaz de reconhecer os sinais de intenção maliciosa, realizar inspeções completas de código e seguir práticas padrão do setor que minimizarão o risco de ser vítima de ataques.
Esteja atento ao procurar novas oportunidades de blockchain e mantenha a guarda alta!
Nossa equipe entrará em contato com você rapidamente para proteger seus ativos contra ameaças cibernéticas. Para qualquer consulta ou mais detalhes sobre o que podemos fazer por você, não hesite em nos contatar!