Home$3.2 milhões de dólares roubados em Bitcoin Gold: carteira falsa rouba chaves privadas de usuários

$3.2 milhões de dólares roubados em Bitcoin Gold: carteira falsa rouba chaves privadas de usuários

Benson Toti

Uma carteira de Bitcoin Gold (BTG) recentemente conseguiu arrecadar mais de US$ 3,2 milhões depois de aproveitar os usuários de bitcoins que procuraram reivindicar seus tokens BTG. Um link para o site fraudulento MyBTGWallet foi colocado no site do Bitcoin Gold antes que pudesse ser auditado, mas foi rapidamente removido quando os usuários começaram a perceber que seus saldos estavam sumindo.

De acordo com vários relatórios, o site que contém a carteira falsa incentivou essencialmente os usuários carregarem suas chaves privadas ou seeds de recuperação para reivindicar seu Bitcoin Gold, conforme mostra uma imagem de tela arquivada da página.

O resultado foi um roubo de US$ 3,2 milhões, já que o scammer por trás do site conseguiu obter pelo menos US$ 107,000 em Bitcoin Gold, US$ 72,000 de Litecoin, US$ 30.000 de Ethereum e US$ 3 milhões de bitcoin. Como um usuário do Reddit postou, quando ele foi verificar seu saldo, ele descobriu que todos os seus fundos em uma carteira da Electrum desapareceram, assim como o site MyBTGWallet.

“Ontem eu queria verificar o meu saldo BTG no site https://mybtgwallet.com/ hoje eu vejo que todo o meu BTC da minha carteira Electrum se foi! O site está completamente desaparecido! Estou com o coração partido e, claro, sei se é minha culpa por dar minha seed de 12 palavras…. não pensei que seria assim.”

Os usuários confiaram no site com suas chaves privadas – apesar dos especialistas de segurança que o assessoram – em parte devido ao suporte do Bitcoin Gold para a carteira e ao código do site sendo de código aberto. Através de sua conta do Twitter, o time do Bitcoin Gold assegurou aos usuários que a carteira estava segura em várias ocasiões, e até mesmo a listou em seu site como um recurso.

O código do site no Github foi então alterado após a invasão ter sido iniciada. Uma análise feita pelo usuário da Reddit, Uejji, descobriu que o site essencialmente codificava a seed dos usuários em Base64 e armazenava no cookie do site, que depois foi transmitido para o Google. Lá, o scammer estava livre para decodificá-lo e usá-lo roubar os fundos da pessoa.

O site MyBTGWallet foi desenvolvido por um usuário chamado John Dass. Uma transação liga sua carteira para a do ladrão, o que significa que ele é o golpista, ou também foi uma vítima. No entanto, não está claro se este é o nome real do indivíduo ou apenas um pseudônimo.

Resposta da equipe do Bitcoin Gold

Os representantes do Bitcoin Gold imediatamente emitiram uma declaração sobre o golpe da carteira, esclarecendo que estão descobrindo uma maneira de remediar a situação e que uma investigação interna foi lançada. A declaração diz que a equipe está “trabalhando com especialistas em segurança para chegar ao fundo do problema”, mas não esclarece quem são esses especialistas.

A declaração acrescenta ainda que as descobertas serão divulgadas ao público assim que for “apropriado para fazê-lo”, e que a equipe cooperará de todas as maneiras possíveis para descobrir exatamente o que aconteceu.

O Bitcoin Gold tem sido um tanto controverso. Conforme coberto pelo Guia do Bitcoin, o site do projeto já foi atingido com um ataque DDoS após o Hard Fork que criou a criptomoeda. Depois, foi revelado que um dos desenvolvedores supostamente adicionou uma taxa escondida de 0,5% em um pool de mineração BTG, enviando os fundos diretamente para a sua carteira.

Em sua declaração, a equipe afirmou que funcionou com várias plataformas – incluindo o Google, Facebook e Twitter – para impedir que os golpistas tirem os fundos das pessoas, mas acrescentou que sua influência é limitada e encorajou os usuários a denunciarem fraudes sempre que as verem.

No final do anúncio, o time do Bitcoin Gold deu alguns conselhos para os entusiastas da criptomoeda:

“Vale lembrar a todos que nunca será verdadeiramente seguro inserir sua chave privada ou frase mnemônica (seed) para uma carteira pré-existente em qualquer site online. Quando você deseja obter as moedas novas de um endereço de carteira de pré-fork, a melhor prática é a mesma que depois de outros forks: envie suas moedas antigas para uma nova carteira primeiro, antes de expor as chaves privadas da carteira original. Seguir esta regra básica do gerenciamento de chaves privadas reduz muito o seu risco de roubo”.

Via: Cryptocoinsnews

Etiquetas:
Usamos cookies para personalizar conteúdos e anúncios, fornecer recursos de mídia social e oferecer a você uma experiência melhor. Ao continuar navegando no site, ou clicando em "OK, obrigado", você aceita o uso de cookies.