História do hack
Nesta última lição, veremos alguns dos tipos mais comuns de ataques criptográficos contra indivíduos, bem como alguns exemplos recentes de ataques bem-sucedidos em plataformas e projetos. Também exploraremos como esses ataques poderiam ter sido evitados e proporemos práticas recomendadas para indivíduos seguirem no futuro para se protegerem de ataques semelhantes. Os indivíduos podem reduzir consideravelmente suas chances de serem vítimas desses tipos de ataques, aprendendo as estratégias usadas pelos invasores e realizando esforços proativos para proteger seus ativos e informações pessoais. Quer você seja um usuário cripto experiente ou apenas começando, é fundamental manter-se informado e ciente dos riscos e das melhores práticas de segurança criptográfica.
Ataques a Indivíduos
Tipo: golpes de phishing
Os golpes de phishing são um dos tipos mais populares de ataques a indivíduos no mundo criptográfico. Os invasores enviam e-mails ou mensagens falsas que parecem ser de uma fonte respeitável, como uma bolsa de criptomoedas ou provedor de carteira, na tentativa de enganar o destinatário para que ele revele suas credenciais de login ou transfira fundos para a carteira do invasor.
Como pode ser evitado
Uma abordagem para evitar golpes de phishing é sempre confirmar a validade dos e-mails ou textos antes de agir. Isso pode ser feito confirmando o endereço de e-mail do remetente ou entrando em contato diretamente com a empresa para confirmar a veracidade da mensagem. Os usuários também devem evitar clicar em links ou baixar anexos de fontes desconhecidas ou suspeitas, pois podem incluir malware ou outros programas perigosos.
Tipo: troca de SIM
A troca de SIM é outro ataque predominante em pessoas na área de criptografia. Os invasores usam o engano para persuadir uma operadora de celular a transferir o número de telefone da vítima para um dispositivo controlado pelo invasor, permitindo que eles interceptem tokens de autenticação de dois fatores baseados em SMS e obtenham acesso às carteiras de criptomoedas da vítima.
Como pode ser evitado
Os usuários podem evitar ataques de troca de SIM configurando um PIN ou senha com sua operadora de celular, utilizando uma carteira física de hardware para manter seu bitcoin e usando aplicativos autenticadores ou outros tipos de autenticação de dois fatores que não dependem de códigos baseados em SMS.
Tipo: Engenharia Social
Os ataques de engenharia social implicam que os invasores enganam e manipulam as vítimas para que divulguem informações confidenciais ou realizem atos prejudiciais à sua segurança. Ataques de engenharia social na área de criptomoedas podem envolver invasores se passando por um contato confiável ou usando ofertas fraudulentas de emprego ou oportunidades de investimento para obter acesso ao bitcoin da vítima.
Como pode ser evitado
Os usuários devem sempre ter cuidado com mensagens não solicitadas ou solicitações de informações confidenciais e nunca devem fornecer suas chaves privadas ou frases iniciais a ninguém. Além disso, os usuários devem verificar a identidade de qualquer pessoa que solicite acesso à sua criptomoeda ou informações pessoais e devem estudar opções de investimento ou oportunidades de emprego por meio de fontes confiáveis.
Ataques a Empresas/Protocolos
Mt. Gox: a ascensão e queda da maior bolsa de Bitcoin
Em 2014, o Monte. Gox, que já foi a maior bolsa de Bitcoin do mundo, entrou com pedido de falência depois de perder aproximadamente 850.000 Bitcoins, no valor de cerca de US$ 450 milhões na época. A empresa atribuiu a perda a um esforço de hacking de longo prazo que vinha ocorrendo há vários anos.
Como poderia ter sido evitado
Uma das principais razões pelas quais o Monte. Gox hack foi tão bem-sucedido que a empresa não implementou medidas de segurança adequadas. Por exemplo, a empresa armazenou seus Bitcoins em uma carteira quente, que está conectada à internet e, portanto, mais suscetível a tentativas de hackers. Se a empresa tivesse armazenado seus Bitcoins em uma cold wallet, que está desconectada da internet, o hack pode não ter dado certo. Além disso, a empresa não realizou auditorias de segurança regulares nem atualizou seu software, tornando-o vulnerável a vulnerabilidades conhecidas no software Bitcoin. Se a empresa tivesse mantido seu software atualizado e testado regularmente suas medidas de segurança, poderia ter detectado e evitado o ataque antes que resultasse em uma perda tão grande.
Bitfinex Hack: vulnerabilidade de carteira multi-assinatura leva a roubo de US$ 72 milhões em Bitcoin
Em 2016, a Bitfinex, uma das maiores exchanges de criptomoedas do mundo, perdeu aproximadamente US$ 72 milhões em Bitcoin como resultado de um hack. Os invasores exploraram uma vulnerabilidade no software de carteira multi-assinatura da empresa, que lhes permitiu roubar o Bitcoin armazenado na carteira.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack da Bitfinex foi bem-sucedido foi que a empresa dependia muito de seu software de carteira multi-assinatura. Embora as carteiras com várias assinaturas possam ser mais seguras do que outros tipos de carteiras, elas não são imunes a ataques. Se a empresa tivesse implementado outras medidas de segurança, como armazenar seus Bitcoins em uma carteira fria ou usar uma combinação de carteiras quentes e frias, poderia ter evitado o ataque.
A violação de segurança DAO: US$ 50 milhões em Ethereum roubados em 2016
Em 2016, uma organização autônoma descentralizada (DAO) chamada The DAO, construída na blockchain Ethereum, foi hackeada. Os invasores exploraram uma vulnerabilidade no código de contrato inteligente do DAO, que lhes permitiu roubar aproximadamente US$ 50 milhões em Ethereum.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack DAO foi bem-sucedido foi que o código do contrato inteligente não foi auditado adequadamente antes de ser implantado. Se o DAO tivesse realizado uma auditoria completa de seu código de contrato inteligente, ele poderia detectar e corrigir a vulnerabilidade antes que ela fosse explorada por invasores. A blockchain Ethereum não foi projetada para lidar com vulnerabilidades de contratos inteligentes, o que dificultou a recuperação dos fundos roubados. Se os desenvolvedores do Ethereum tivessem construído um mecanismo para recuperar fundos roubados no caso de um hack, a perda poderia não ter sido tão grave.
Poly Network: protocolo de cadeia cruzada hackeado por US$ 600 milhões
Em agosto de 2021, a Poly Network, um protocolo de interoperabilidade entre cadeias, foi invadida por mais de $ 600 milhões em criptomoedas, incluindo Ethereum, Binance Smart Chain e Polygon. Os hackers exploraram uma vulnerabilidade no contrato inteligente do protocolo, permitindo que eles transferissem os fundos para suas próprias carteiras.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack da Poly Network foi bem-sucedido foi que o código do contrato inteligente não foi devidamente auditado antes de ser implantado. Se a empresa tivesse realizado uma auditoria completa de seu código de contrato inteligente, poderia detectar e corrigir a vulnerabilidade antes que ela fosse explorada por invasores. Além disso, a empresa não tinha medidas de segurança adequadas para detectar e prevenir o ataque. Se a empresa tivesse implementado outras medidas de segurança, como monitoramento de transações incomuns ou uso de carteiras com várias assinaturas, poderia ter evitado o ataque antes que resultasse em uma perda tão grande.
BAYC sofre grande hack, Ether no valor de $ 750k roubado
Em novembro de 2021, o Bored Ape Yacht Club (BAYC), um projeto NFT popular, foi hackeado por mais de $ 750.000 em Ether. Os invasores exploraram uma vulnerabilidade no site do projeto, que lhes permitiu acessar as chaves privadas da carteira do projeto.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack do Bored Ape Yacht Club foi bem-sucedido foi que o projeto não tinha medidas de segurança adequadas para proteger suas chaves privadas. Se o projeto tivesse armazenado suas chaves privadas em uma carteira offline segura, o hack pode não ter sido bem-sucedido.
Cream Finance: Exploit de Contrato Inteligente Leva a Hack de $ 25 Milhões
Em setembro de 2021, o Cream Finance, um protocolo de empréstimo financeiro descentralizado (DeFi), foi hackeado por mais de $ 25 milhões em criptomoeda. Os hackers exploraram uma vulnerabilidade no código de contrato inteligente do protocolo, permitindo que eles transferissem os fundos para suas próprias carteiras.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack do Cream Finance foi bem-sucedido foi que o código do contrato inteligente não foi devidamente auditado antes de ser implantado. Se a empresa tivesse realizado uma auditoria completa de seu código de contrato inteligente, poderia detectar e corrigir a vulnerabilidade antes que ela fosse explorada por invasores.
Conclusão
Em conclusão, os vários exemplos de hacks e golpes discutidos nesta lição servem como um alerta para indivíduos e empresas no espaço criptográfico. É essencial aprender com esses ataques e tomar medidas proativas para proteger ativos e informações pessoais.
As melhores práticas, conforme vistas na Lição 2 - Ataque de engenharia social, como confirmar a validade de e-mails ou textos, utilizar uma carteira de hardware e auditar software regularmente, podem reduzir significativamente o risco de ser vítima de ataques.
As empresas devem priorizar as medidas de segurança, como armazenar fundos em uma carteira fria, realizar auditorias de segurança regulares e auditar adequadamente os códigos de contrato inteligente antes da implantação. Manter-se informado e ciente dos riscos e das melhores práticas de segurança criptográfica é fundamental para usuários experientes e novos de criptomoedas.
Além dos exemplos específicos de hacks e golpes discutidos, é importante que os indivíduos estejam cientes de alguns riscos e desafios gerais no espaço criptográfico. A natureza descentralizada e muitas vezes anônima das criptomoedas pode tornar mais fácil para os malfeitores tirar vantagem de indivíduos desavisados. Além disso, a natureza altamente volátil dos mercados criptográficos significa que os indivíduos devem estar preparados para a possibilidade de perdas significativas. É importante abordar a criptografia com cautela e pesquisar minuciosamente quaisquer projetos ou investimentos antes de se envolver.
Leia mais
Se você está entrando no mundo das criptomoedas pela primeira vez, sugerimos que verifique nosso outro curso Crypto Investing : um curso é para pessoas que querem aprender como investir em criptomoedas, incluindo como pesquisar e avaliar diferentes projetos, como diversificar uma portfólio de criptomoedas e como gerenciar riscos
História do hack
Nesta última lição, veremos alguns dos tipos mais comuns de ataques criptográficos contra indivíduos, bem como alguns exemplos recentes de ataques bem-sucedidos em plataformas e projetos. Também exploraremos como esses ataques poderiam ter sido evitados e proporemos práticas recomendadas para indivíduos seguirem no futuro para se protegerem de ataques semelhantes. Os indivíduos podem reduzir consideravelmente suas chances de serem vítimas desses tipos de ataques, aprendendo as estratégias usadas pelos invasores e realizando esforços proativos para proteger seus ativos e informações pessoais. Quer você seja um usuário cripto experiente ou apenas começando, é fundamental manter-se informado e ciente dos riscos e das melhores práticas de segurança criptográfica.
Ataques a Indivíduos
Tipo: golpes de phishing
Os golpes de phishing são um dos tipos mais populares de ataques a indivíduos no mundo criptográfico. Os invasores enviam e-mails ou mensagens falsas que parecem ser de uma fonte respeitável, como uma bolsa de criptomoedas ou provedor de carteira, na tentativa de enganar o destinatário para que ele revele suas credenciais de login ou transfira fundos para a carteira do invasor.
Como pode ser evitado
Uma abordagem para evitar golpes de phishing é sempre confirmar a validade dos e-mails ou textos antes de agir. Isso pode ser feito confirmando o endereço de e-mail do remetente ou entrando em contato diretamente com a empresa para confirmar a veracidade da mensagem. Os usuários também devem evitar clicar em links ou baixar anexos de fontes desconhecidas ou suspeitas, pois podem incluir malware ou outros programas perigosos.
Tipo: troca de SIM
A troca de SIM é outro ataque predominante em pessoas na área de criptografia. Os invasores usam o engano para persuadir uma operadora de celular a transferir o número de telefone da vítima para um dispositivo controlado pelo invasor, permitindo que eles interceptem tokens de autenticação de dois fatores baseados em SMS e obtenham acesso às carteiras de criptomoedas da vítima.
Como pode ser evitado
Os usuários podem evitar ataques de troca de SIM configurando um PIN ou senha com sua operadora de celular, utilizando uma carteira física de hardware para manter seu bitcoin e usando aplicativos autenticadores ou outros tipos de autenticação de dois fatores que não dependem de códigos baseados em SMS.
Tipo: Engenharia Social
Os ataques de engenharia social implicam que os invasores enganam e manipulam as vítimas para que divulguem informações confidenciais ou realizem atos prejudiciais à sua segurança. Ataques de engenharia social na área de criptomoedas podem envolver invasores se passando por um contato confiável ou usando ofertas fraudulentas de emprego ou oportunidades de investimento para obter acesso ao bitcoin da vítima.
Como pode ser evitado
Os usuários devem sempre ter cuidado com mensagens não solicitadas ou solicitações de informações confidenciais e nunca devem fornecer suas chaves privadas ou frases iniciais a ninguém. Além disso, os usuários devem verificar a identidade de qualquer pessoa que solicite acesso à sua criptomoeda ou informações pessoais e devem estudar opções de investimento ou oportunidades de emprego por meio de fontes confiáveis.
Ataques a Empresas/Protocolos
Mt. Gox: a ascensão e queda da maior bolsa de Bitcoin
Em 2014, o Monte. Gox, que já foi a maior bolsa de Bitcoin do mundo, entrou com pedido de falência depois de perder aproximadamente 850.000 Bitcoins, no valor de cerca de US$ 450 milhões na época. A empresa atribuiu a perda a um esforço de hacking de longo prazo que vinha ocorrendo há vários anos.
Como poderia ter sido evitado
Uma das principais razões pelas quais o Monte. Gox hack foi tão bem-sucedido que a empresa não implementou medidas de segurança adequadas. Por exemplo, a empresa armazenou seus Bitcoins em uma carteira quente, que está conectada à internet e, portanto, mais suscetível a tentativas de hackers. Se a empresa tivesse armazenado seus Bitcoins em uma cold wallet, que está desconectada da internet, o hack pode não ter dado certo. Além disso, a empresa não realizou auditorias de segurança regulares nem atualizou seu software, tornando-o vulnerável a vulnerabilidades conhecidas no software Bitcoin. Se a empresa tivesse mantido seu software atualizado e testado regularmente suas medidas de segurança, poderia ter detectado e evitado o ataque antes que resultasse em uma perda tão grande.
Bitfinex Hack: vulnerabilidade de carteira multi-assinatura leva a roubo de US$ 72 milhões em Bitcoin
Em 2016, a Bitfinex, uma das maiores exchanges de criptomoedas do mundo, perdeu aproximadamente US$ 72 milhões em Bitcoin como resultado de um hack. Os invasores exploraram uma vulnerabilidade no software de carteira multi-assinatura da empresa, que lhes permitiu roubar o Bitcoin armazenado na carteira.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack da Bitfinex foi bem-sucedido foi que a empresa dependia muito de seu software de carteira multi-assinatura. Embora as carteiras com várias assinaturas possam ser mais seguras do que outros tipos de carteiras, elas não são imunes a ataques. Se a empresa tivesse implementado outras medidas de segurança, como armazenar seus Bitcoins em uma carteira fria ou usar uma combinação de carteiras quentes e frias, poderia ter evitado o ataque.
A violação de segurança DAO: US$ 50 milhões em Ethereum roubados em 2016
Em 2016, uma organização autônoma descentralizada (DAO) chamada The DAO, construída na blockchain Ethereum, foi hackeada. Os invasores exploraram uma vulnerabilidade no código de contrato inteligente do DAO, que lhes permitiu roubar aproximadamente US$ 50 milhões em Ethereum.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack DAO foi bem-sucedido foi que o código do contrato inteligente não foi auditado adequadamente antes de ser implantado. Se o DAO tivesse realizado uma auditoria completa de seu código de contrato inteligente, ele poderia detectar e corrigir a vulnerabilidade antes que ela fosse explorada por invasores. A blockchain Ethereum não foi projetada para lidar com vulnerabilidades de contratos inteligentes, o que dificultou a recuperação dos fundos roubados. Se os desenvolvedores do Ethereum tivessem construído um mecanismo para recuperar fundos roubados no caso de um hack, a perda poderia não ter sido tão grave.
Poly Network: protocolo de cadeia cruzada hackeado por US$ 600 milhões
Em agosto de 2021, a Poly Network, um protocolo de interoperabilidade entre cadeias, foi invadida por mais de $ 600 milhões em criptomoedas, incluindo Ethereum, Binance Smart Chain e Polygon. Os hackers exploraram uma vulnerabilidade no contrato inteligente do protocolo, permitindo que eles transferissem os fundos para suas próprias carteiras.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack da Poly Network foi bem-sucedido foi que o código do contrato inteligente não foi devidamente auditado antes de ser implantado. Se a empresa tivesse realizado uma auditoria completa de seu código de contrato inteligente, poderia detectar e corrigir a vulnerabilidade antes que ela fosse explorada por invasores. Além disso, a empresa não tinha medidas de segurança adequadas para detectar e prevenir o ataque. Se a empresa tivesse implementado outras medidas de segurança, como monitoramento de transações incomuns ou uso de carteiras com várias assinaturas, poderia ter evitado o ataque antes que resultasse em uma perda tão grande.
BAYC sofre grande hack, Ether no valor de $ 750k roubado
Em novembro de 2021, o Bored Ape Yacht Club (BAYC), um projeto NFT popular, foi hackeado por mais de $ 750.000 em Ether. Os invasores exploraram uma vulnerabilidade no site do projeto, que lhes permitiu acessar as chaves privadas da carteira do projeto.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack do Bored Ape Yacht Club foi bem-sucedido foi que o projeto não tinha medidas de segurança adequadas para proteger suas chaves privadas. Se o projeto tivesse armazenado suas chaves privadas em uma carteira offline segura, o hack pode não ter sido bem-sucedido.
Cream Finance: Exploit de Contrato Inteligente Leva a Hack de $ 25 Milhões
Em setembro de 2021, o Cream Finance, um protocolo de empréstimo financeiro descentralizado (DeFi), foi hackeado por mais de $ 25 milhões em criptomoeda. Os hackers exploraram uma vulnerabilidade no código de contrato inteligente do protocolo, permitindo que eles transferissem os fundos para suas próprias carteiras.
Como poderia ter sido evitado
Uma das principais razões pelas quais o hack do Cream Finance foi bem-sucedido foi que o código do contrato inteligente não foi devidamente auditado antes de ser implantado. Se a empresa tivesse realizado uma auditoria completa de seu código de contrato inteligente, poderia detectar e corrigir a vulnerabilidade antes que ela fosse explorada por invasores.
Conclusão
Em conclusão, os vários exemplos de hacks e golpes discutidos nesta lição servem como um alerta para indivíduos e empresas no espaço criptográfico. É essencial aprender com esses ataques e tomar medidas proativas para proteger ativos e informações pessoais.
As melhores práticas, conforme vistas na Lição 2 - Ataque de engenharia social, como confirmar a validade de e-mails ou textos, utilizar uma carteira de hardware e auditar software regularmente, podem reduzir significativamente o risco de ser vítima de ataques.
As empresas devem priorizar as medidas de segurança, como armazenar fundos em uma carteira fria, realizar auditorias de segurança regulares e auditar adequadamente os códigos de contrato inteligente antes da implantação. Manter-se informado e ciente dos riscos e das melhores práticas de segurança criptográfica é fundamental para usuários experientes e novos de criptomoedas.
Além dos exemplos específicos de hacks e golpes discutidos, é importante que os indivíduos estejam cientes de alguns riscos e desafios gerais no espaço criptográfico. A natureza descentralizada e muitas vezes anônima das criptomoedas pode tornar mais fácil para os malfeitores tirar vantagem de indivíduos desavisados. Além disso, a natureza altamente volátil dos mercados criptográficos significa que os indivíduos devem estar preparados para a possibilidade de perdas significativas. É importante abordar a criptografia com cautela e pesquisar minuciosamente quaisquer projetos ou investimentos antes de se envolver.
Leia mais
Se você está entrando no mundo das criptomoedas pela primeira vez, sugerimos que verifique nosso outro curso Crypto Investing : um curso é para pessoas que querem aprender como investir em criptomoedas, incluindo como pesquisar e avaliar diferentes projetos, como diversificar uma portfólio de criptomoedas e como gerenciar riscos