História do Hack
Nesta última lição, vamos analisar alguns dos tipos mais prevalentes de ataques criptoespaciais contra indivíduos, bem como alguns exemplos recentes de ataques bem-sucedidos em plataformas e projetos. Vamos também explorar como esses assaltos poderiam ter sido evitados e propor as melhores práticas para os indivíduos seguirem no futuro para se protegerem de ataques semelhantes. Os indivíduos podem reduzir consideravelmente a sua chance de serem vítimas desse tipo de ataques aprendendo as estratégias utilizadas pelos atacantes e tomando esforços proativos para proteger os seus ativos e informações pessoais. Quer seja um utilizador criptográfico experiente ou apenas a começar, é crítico manter-se informado e consciente dos riscos e das melhores práticas para a segurança criptográfica.
Ataques a Particulares
Tipo: Phishing Scams
Os esquemas de phishing são um dos tipos de ataques mais populares a indivíduos no domínio criptográfico. Os atacantes enviam e-mails ou mensagens falsas que parecem ser de uma fonte respeitável, como uma bolsa de criptomoedas ou fornecedor de carteiras, na tentativa de enganar o destinatário a divulgar as suas credenciais de início de sessão ou transferir fundos para a carteira do atacante.
Como pode ser Evitado
Uma abordagem para evitar esquemas de phishing é confirmar sempre a validade dos e-mails ou textos antes de agir. Isso pode ser conseguido confirmando o endereço de e-mail do remetente ou entrando em contato com a empresa diretamente para confirmar a veracidade da mensagem. Os utilizadores também devem evitar clicar nos links ou transferir anexos de fontes desconhecidas ou suspeitas, uma vez que podem incluir malware ou outros programas perigosos.
Tipo: troca de SIM
O SIM swapping é outro ataque predominante a pessoas na área criptográfica. Os atacantes usam o engano para persuadir uma transportadora celular a transferir o número de telefone de uma vítima para um dispositivo controlado pelo atacante, permitindo-lhes interceptar tokens de autenticação de dois fatores baseados em SMS e obter acesso às carteiras de criptomoedas da vítima.
Como pode ser Evitado
Os utilizadores podem impedir os ataques de troca do SIM configurando um PIN ou uma palavra-passe com a sua operadora móvel, utilizando uma carteira de hardware físico para guardar a sua bitcoin e utilizando aplicações de autenticador ou outros tipos de autenticação de dois fatores que não dependem de códigos baseados em SMS.
Tipo: Engenharia Social
As agressões de engenharia social implicam que os atacantes enganem e manipulem as vítimas para divulgar informações sensíveis ou empreender atos que são prejudiciais à sua segurança. Os ataques de engenharia social na arena das criptomoedas podem envolver atacantes a fazer-se passar por um contacto de confiança ou a usar ofertas de emprego fraudulentas ou oportunidades de investimento para ter acesso à bitcoin de uma vítima.
Como pode ser Evitado
Os utilizadores devem sempre desconfiar das mensagens não solicitadas ou dos pedidos de informações sensíveis, e nunca devem dar as suas chaves particulares ou frases de sementes a ninguém. Além disso, os utilizadores devem verificar a identidade de qualquer pessoa que solicite acesso à sua criptomoeda ou informações pessoais, e devem estudar opções de investimento ou oportunidades de emprego através de fontes confiáveis.
Ataques às Empresas/Protocolos
Mt. Gox: O Ascensão e Queda da Maior Bolsa da Bitcoin
Em 2014, o Mt. Gox, outrora a maior bolsa de Bitcoins do mundo, entrou em falência depois de perder aproximadamente 850 000 Bitcoins, no valor de cerca de 450 milhões de dólares na altura. A empresa atribuiu o prejuízo a um esforço de pirataria de longo prazo que acontecia há vários anos.
Como podia ter sido prevenido
Uma das principais razões para o Mt. O Gox hack teve tanto sucesso que a empresa não tinha as medidas de segurança adequadas em vigor. Por exemplo, a empresa armazenou as suas Bitcoins numa hot wallet, que está ligada à internet e, portanto, é mais suscetível a tentativas de pirataria informática. Se a empresa tinha armazenado as suas Bitcoins numa carteira fria, que está desligada da internet, o hack pode não ter sido bem-sucedido. Além disso, a empresa não realizou auditorias de segurança regulares nem atualizou o seu software, tornando-a vulnerável a vulnerabilidades conhecidas no software Bitcoin. Se a empresa tivesse mantido o seu software atualizado e testado regularmente as suas medidas de segurança, talvez tenha sido capaz de detetar e prevenir o ataque antes que resultasse em perdas tão maciças.
Bitfinex Hack: Vulnerabilidade de multiassinatura na carteira leva a roubo de $72 milhões de Bitcoin
Em 2016, a Bitfinex, uma das maiores bolsas mundiais de criptomoedas, perdeu aproximadamente 72 milhões de dólares de Bitcoin em resultado de um hack. Os atacantes exploraram uma vulnerabilidade no software de carteiras multiassinatura da empresa, que lhes permitiu roubar Bitcoin armazenada na carteira.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack Bitfinex teve sucesso foi que a empresa dependia demasiado do seu software de carteira multiassinatura. Embora as carteiras com várias assinaturas possam ser mais seguras que outros tipos de carteiras, não são imunes a ataques. Se a empresa tivesse implementado outras medidas de segurança, como armazenar as suas Bitcoins numa carteira fria ou usar uma combinação de carteiras quentes e frias, pode ter sido capaz de evitar o ataque.
A brecha de segurança do DAO: $50 milhões Roubados em 2016
Em 2016, uma organização autónoma descentralizada (DAO) chamada The DAO, que foi construída na cadeia Ethereum, foi pirateada. Os atacantes exploraram uma vulnerabilidade no código de contrato inteligente da DAO, que lhes permitiu roubar Ethereum no valor de aproximadamente 50 milhões de dólares.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack do DAO teve sucesso foi que o código dos contratos inteligentes não era adequadamente auditado antes de ser implementado. Se o DAO tivesse feito uma auditoria completa ao seu código de contratos inteligentes, pode ter sido capaz de detectar e corrigir a vulnerabilidade antes de ter sido explorada por atacantes. A cadeia de blocos Ethereum não foi concebida para lidar com vulnerabilidades de contratos inteligentes, o que dificultou a recuperação dos fundos roubados. Se os desenvolvedores da Ethereum tivessem construído um mecanismo para recuperar fundos roubados no caso de um hack, a perda pode não ter sido tão grave.
Poly Network: Protocolo de cadeia cruzada pirateado por $600M
Em agosto de 2021, a Poly Network, um protocolo de interoperabilidade de cadeia cruzada, foi pirateada em criptomoeda no valor de mais de 600 milhões de dólares, incluindo Ethereum, Binance Smart Chain e Polygon. Os hackers exploraram uma vulnerabilidade no contrato inteligente do protocolo, permitindo-lhes transferir os fundos para as suas próprias carteiras.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack Poly Network teve sucesso foi que o código dos contratos inteligentes não era adequadamente auditado antes de ser implementado. Se a empresa tivesse feito uma auditoria completa ao seu código de contrato inteligente, pode ter sido capaz de detectar e corrigir a vulnerabilidade antes de ser explorada por atacantes. Além disso, a empresa não tinha as medidas de segurança adequadas em vigor para detectar e prevenir o ataque. Se a empresa tivesse implementado outras medidas de segurança, como monitoramento de transações incomuns ou uso de carteiras com várias assinaturas, talvez tenha sido capaz de evitar o ataque antes de resultar em perdas tão maciças.
BAYC sofre grande hack, Éther vale 750 dólares roubado
Em novembro de 2021, o Bored Ape Yacht Club (BAYC), um projeto popular da NFT, foi pirateado por mais de 750 000 dólares de Éther. Os atacantes exploraram uma vulnerabilidade no site do projeto, que lhes permitiu aceder às chaves privadas da carteira do projeto.
Como podia ter sido prevenido
Uma das principais razões pelas quais o ataque do Bored Ape Yacht Club foi bem-sucedido foi o projeto não ter as medidas de segurança adequadas em vigor para proteger as suas chaves privadas. Se o projeto tinha armazenado as suas chaves particulares numa carteira offline segura, o hack pode não ter sido bem-sucedido.
Cream Finance: Exploração de contratos inteligentes leva a Hack 25 milhões de dólares
Em setembro de 2021, a Cream Finance, um protocolo de empréstimo de finanças descentralizadas (DEFI), foi pirateado em criptomoeda no valor de mais de 25 milhões de dólares. Os hackers exploraram uma vulnerabilidade no código smart contract do protocolo, permitindo-lhes transferir os fundos para as suas próprias carteiras.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack Cream Finance teve sucesso foi que o código dos contratos inteligentes não era adequadamente auditado antes de ser implementado. Se a empresa tivesse feito uma auditoria completa ao seu código de contrato inteligente, pode ter sido capaz de detectar e corrigir a vulnerabilidade antes de ser explorada por atacantes.
Conclusão
Concluindo, os vários exemplos de hacks e burlas discutidos nesta lição servem como um conto de advertência para indivíduos e empresas no espaço cripto. É essencial aprender com esses ataques e tomar medidas proativas para proteger ativos e informações pessoais.
As melhores práticas como vistas na Lição 2 - Ataque de engenharia social, tal como confirmar a validade de e-mails ou textos, utilizar uma carteira de hardware e um software de auditoria regular, pode reduzir significativamente o risco de ser vítima de ataques.
As empresas devem priorizar as medidas de segurança, como armazenar fundos numa carteira fria, realizar auditorias de segurança regulares e auditar adequadamente os códigos dos contratos inteligentes antes da implementação. Manter-se informado e consciente dos riscos e das melhores práticas para a segurança criptográfica é crítico tanto para os utilizadores experientes como para os novos utilizadores de criptomoedas.
Além dos exemplos específicos de hacks e esquemas discutidos, é importante que os indivíduos tenham consciência de alguns riscos e desafios gerais no espaço cripto. A natureza descentralizada e muitas vezes anónima das criptomoedas pode tornar mais fácil para os maus atores aproveitarem indivíduos desprevenidos. Além disso, a natureza altamente volátil dos mercados criptográficas significa que os indivíduos devem estar preparados para a possibilidade de perdas significativas. É importante abordar a criptografia com precaução e pesquisar completamente quaisquer projetos ou investimentos antes de se envolver.
Ler Mais
Se está a aproximar-se do mundo das criptomoedas pela primeira vez, sugerimos que consulte o nosso outro curso Crypto Investing : um curso é para pessoas que querem aprender a investir em criptomoeda, incluindo como pesquisar e avaliar diferentes projetos, como diversificar um portfólio de cripto e como gerir o risco
História do Hack
Nesta última lição, vamos analisar alguns dos tipos mais prevalentes de ataques criptoespaciais contra indivíduos, bem como alguns exemplos recentes de ataques bem-sucedidos em plataformas e projetos. Vamos também explorar como esses assaltos poderiam ter sido evitados e propor as melhores práticas para os indivíduos seguirem no futuro para se protegerem de ataques semelhantes. Os indivíduos podem reduzir consideravelmente a sua chance de serem vítimas desse tipo de ataques aprendendo as estratégias utilizadas pelos atacantes e tomando esforços proativos para proteger os seus ativos e informações pessoais. Quer seja um utilizador criptográfico experiente ou apenas a começar, é crítico manter-se informado e consciente dos riscos e das melhores práticas para a segurança criptográfica.
Ataques a Particulares
Tipo: Phishing Scams
Os esquemas de phishing são um dos tipos de ataques mais populares a indivíduos no domínio criptográfico. Os atacantes enviam e-mails ou mensagens falsas que parecem ser de uma fonte respeitável, como uma bolsa de criptomoedas ou fornecedor de carteiras, na tentativa de enganar o destinatário a divulgar as suas credenciais de início de sessão ou transferir fundos para a carteira do atacante.
Como pode ser Evitado
Uma abordagem para evitar esquemas de phishing é confirmar sempre a validade dos e-mails ou textos antes de agir. Isso pode ser conseguido confirmando o endereço de e-mail do remetente ou entrando em contato com a empresa diretamente para confirmar a veracidade da mensagem. Os utilizadores também devem evitar clicar nos links ou transferir anexos de fontes desconhecidas ou suspeitas, uma vez que podem incluir malware ou outros programas perigosos.
Tipo: troca de SIM
O SIM swapping é outro ataque predominante a pessoas na área criptográfica. Os atacantes usam o engano para persuadir uma transportadora celular a transferir o número de telefone de uma vítima para um dispositivo controlado pelo atacante, permitindo-lhes interceptar tokens de autenticação de dois fatores baseados em SMS e obter acesso às carteiras de criptomoedas da vítima.
Como pode ser Evitado
Os utilizadores podem impedir os ataques de troca do SIM configurando um PIN ou uma palavra-passe com a sua operadora móvel, utilizando uma carteira de hardware físico para guardar a sua bitcoin e utilizando aplicações de autenticador ou outros tipos de autenticação de dois fatores que não dependem de códigos baseados em SMS.
Tipo: Engenharia Social
As agressões de engenharia social implicam que os atacantes enganem e manipulem as vítimas para divulgar informações sensíveis ou empreender atos que são prejudiciais à sua segurança. Os ataques de engenharia social na arena das criptomoedas podem envolver atacantes a fazer-se passar por um contacto de confiança ou a usar ofertas de emprego fraudulentas ou oportunidades de investimento para ter acesso à bitcoin de uma vítima.
Como pode ser Evitado
Os utilizadores devem sempre desconfiar das mensagens não solicitadas ou dos pedidos de informações sensíveis, e nunca devem dar as suas chaves particulares ou frases de sementes a ninguém. Além disso, os utilizadores devem verificar a identidade de qualquer pessoa que solicite acesso à sua criptomoeda ou informações pessoais, e devem estudar opções de investimento ou oportunidades de emprego através de fontes confiáveis.
Ataques às Empresas/Protocolos
Mt. Gox: O Ascensão e Queda da Maior Bolsa da Bitcoin
Em 2014, o Mt. Gox, outrora a maior bolsa de Bitcoins do mundo, entrou em falência depois de perder aproximadamente 850 000 Bitcoins, no valor de cerca de 450 milhões de dólares na altura. A empresa atribuiu o prejuízo a um esforço de pirataria de longo prazo que acontecia há vários anos.
Como podia ter sido prevenido
Uma das principais razões para o Mt. O Gox hack teve tanto sucesso que a empresa não tinha as medidas de segurança adequadas em vigor. Por exemplo, a empresa armazenou as suas Bitcoins numa hot wallet, que está ligada à internet e, portanto, é mais suscetível a tentativas de pirataria informática. Se a empresa tinha armazenado as suas Bitcoins numa carteira fria, que está desligada da internet, o hack pode não ter sido bem-sucedido. Além disso, a empresa não realizou auditorias de segurança regulares nem atualizou o seu software, tornando-a vulnerável a vulnerabilidades conhecidas no software Bitcoin. Se a empresa tivesse mantido o seu software atualizado e testado regularmente as suas medidas de segurança, talvez tenha sido capaz de detetar e prevenir o ataque antes que resultasse em perdas tão maciças.
Bitfinex Hack: Vulnerabilidade de multiassinatura na carteira leva a roubo de $72 milhões de Bitcoin
Em 2016, a Bitfinex, uma das maiores bolsas mundiais de criptomoedas, perdeu aproximadamente 72 milhões de dólares de Bitcoin em resultado de um hack. Os atacantes exploraram uma vulnerabilidade no software de carteiras multiassinatura da empresa, que lhes permitiu roubar Bitcoin armazenada na carteira.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack Bitfinex teve sucesso foi que a empresa dependia demasiado do seu software de carteira multiassinatura. Embora as carteiras com várias assinaturas possam ser mais seguras que outros tipos de carteiras, não são imunes a ataques. Se a empresa tivesse implementado outras medidas de segurança, como armazenar as suas Bitcoins numa carteira fria ou usar uma combinação de carteiras quentes e frias, pode ter sido capaz de evitar o ataque.
A brecha de segurança do DAO: $50 milhões Roubados em 2016
Em 2016, uma organização autónoma descentralizada (DAO) chamada The DAO, que foi construída na cadeia Ethereum, foi pirateada. Os atacantes exploraram uma vulnerabilidade no código de contrato inteligente da DAO, que lhes permitiu roubar Ethereum no valor de aproximadamente 50 milhões de dólares.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack do DAO teve sucesso foi que o código dos contratos inteligentes não era adequadamente auditado antes de ser implementado. Se o DAO tivesse feito uma auditoria completa ao seu código de contratos inteligentes, pode ter sido capaz de detectar e corrigir a vulnerabilidade antes de ter sido explorada por atacantes. A cadeia de blocos Ethereum não foi concebida para lidar com vulnerabilidades de contratos inteligentes, o que dificultou a recuperação dos fundos roubados. Se os desenvolvedores da Ethereum tivessem construído um mecanismo para recuperar fundos roubados no caso de um hack, a perda pode não ter sido tão grave.
Poly Network: Protocolo de cadeia cruzada pirateado por $600M
Em agosto de 2021, a Poly Network, um protocolo de interoperabilidade de cadeia cruzada, foi pirateada em criptomoeda no valor de mais de 600 milhões de dólares, incluindo Ethereum, Binance Smart Chain e Polygon. Os hackers exploraram uma vulnerabilidade no contrato inteligente do protocolo, permitindo-lhes transferir os fundos para as suas próprias carteiras.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack Poly Network teve sucesso foi que o código dos contratos inteligentes não era adequadamente auditado antes de ser implementado. Se a empresa tivesse feito uma auditoria completa ao seu código de contrato inteligente, pode ter sido capaz de detectar e corrigir a vulnerabilidade antes de ser explorada por atacantes. Além disso, a empresa não tinha as medidas de segurança adequadas em vigor para detectar e prevenir o ataque. Se a empresa tivesse implementado outras medidas de segurança, como monitoramento de transações incomuns ou uso de carteiras com várias assinaturas, talvez tenha sido capaz de evitar o ataque antes de resultar em perdas tão maciças.
BAYC sofre grande hack, Éther vale 750 dólares roubado
Em novembro de 2021, o Bored Ape Yacht Club (BAYC), um projeto popular da NFT, foi pirateado por mais de 750 000 dólares de Éther. Os atacantes exploraram uma vulnerabilidade no site do projeto, que lhes permitiu aceder às chaves privadas da carteira do projeto.
Como podia ter sido prevenido
Uma das principais razões pelas quais o ataque do Bored Ape Yacht Club foi bem-sucedido foi o projeto não ter as medidas de segurança adequadas em vigor para proteger as suas chaves privadas. Se o projeto tinha armazenado as suas chaves particulares numa carteira offline segura, o hack pode não ter sido bem-sucedido.
Cream Finance: Exploração de contratos inteligentes leva a Hack 25 milhões de dólares
Em setembro de 2021, a Cream Finance, um protocolo de empréstimo de finanças descentralizadas (DEFI), foi pirateado em criptomoeda no valor de mais de 25 milhões de dólares. Os hackers exploraram uma vulnerabilidade no código smart contract do protocolo, permitindo-lhes transferir os fundos para as suas próprias carteiras.
Como podia ter sido prevenido
Uma das principais razões pelas quais o hack Cream Finance teve sucesso foi que o código dos contratos inteligentes não era adequadamente auditado antes de ser implementado. Se a empresa tivesse feito uma auditoria completa ao seu código de contrato inteligente, pode ter sido capaz de detectar e corrigir a vulnerabilidade antes de ser explorada por atacantes.
Conclusão
Concluindo, os vários exemplos de hacks e burlas discutidos nesta lição servem como um conto de advertência para indivíduos e empresas no espaço cripto. É essencial aprender com esses ataques e tomar medidas proativas para proteger ativos e informações pessoais.
As melhores práticas como vistas na Lição 2 - Ataque de engenharia social, tal como confirmar a validade de e-mails ou textos, utilizar uma carteira de hardware e um software de auditoria regular, pode reduzir significativamente o risco de ser vítima de ataques.
As empresas devem priorizar as medidas de segurança, como armazenar fundos numa carteira fria, realizar auditorias de segurança regulares e auditar adequadamente os códigos dos contratos inteligentes antes da implementação. Manter-se informado e consciente dos riscos e das melhores práticas para a segurança criptográfica é crítico tanto para os utilizadores experientes como para os novos utilizadores de criptomoedas.
Além dos exemplos específicos de hacks e esquemas discutidos, é importante que os indivíduos tenham consciência de alguns riscos e desafios gerais no espaço cripto. A natureza descentralizada e muitas vezes anónima das criptomoedas pode tornar mais fácil para os maus atores aproveitarem indivíduos desprevenidos. Além disso, a natureza altamente volátil dos mercados criptográficas significa que os indivíduos devem estar preparados para a possibilidade de perdas significativas. É importante abordar a criptografia com precaução e pesquisar completamente quaisquer projetos ou investimentos antes de se envolver.
Ler Mais
Se está a aproximar-se do mundo das criptomoedas pela primeira vez, sugerimos que consulte o nosso outro curso Crypto Investing : um curso é para pessoas que querem aprender a investir em criptomoeda, incluindo como pesquisar e avaliar diferentes projetos, como diversificar um portfólio de cripto e como gerir o risco