As vítimas de exploração do credor DeFi Radiant Capital foram lançadas em mais uma confusão quando a empresa de segurança compartilhou por engano um link de retirada de carteira enquanto tentava ajudá-los.
Em 17 de outubro, a startup de segurança web3 Ancilia foi criticada por sua negligência após redirecionar as vítimas do ataque para uma conta X se passando por um credor DeFi para induzir os usuários a visitar um site malicioso projetado para extorquir os ativos dos usuários por meio de phishing.
Especialistas em segurança são enganados
Ancilia foi a primeira a denunciar o abuso em outubro. 16, onde os contratos inteligentes da Radiant Capital na BNB Chain e Arbitrum foram comprometidos pela função ‘transferFrom’, permitindo que os invasores usassem mais de US$ 50 milhões em ativos, incluindo USDC, WBNB e ETH.
Após a violação, a Radiant pediu aos usuários que revogassem todas as autorizações usando Revoke.cash, uma ferramenta que permite aos usuários desconectar suas carteiras de contratos inteligentes potencialmente maliciosos, para evitar maiores perdas.
Esta etapa foi necessária porque os invasores obtiveram o controle de diversas chaves privadas, permitindo-lhes controlar a carteira com múltiplas assinaturas do protocolo DeFi por meio da transferência de propriedade.
Os fraudadores de criptografia aproveitaram esta oportunidade, personificando a Radiant Capital no X e divulgando links falsos disfarçados de plataforma Revoke.cash. Ancilia, não vendo o golpe, compartilhou por engano uma postagem falsa, enquanto pedia aos usuários que “seguissem o link”, que levava diretamente ao drenador de fundos.
Se as infelizes vítimas clicassem e conectassem suas carteiras, aprovassem as permissões, seu dinheiro teria sido retirado.
Membros do público com olhos de águia foram rápidos em apontar o erro da empresa de segurança e criticaram a negligência de Ancilia como uma conta de segurança “confiável”. Posteriormente, Ancilia removeu a postagem, pediu desculpas e direcionou aos usuários a conta original da Radiant Capital.
A gravidade deste golpe é destacada pelo fato de que os malfeitores organizam essas campanhas de phishing a partir de contas X hackeadas, que geralmente possuem uma marca de verificação dourada, visando organizações verificadas na plataforma de mídia social.
Então, modificando ligeiramente o nome e o identificador da conta, os fraudadores conseguem enganar os usuários da web3. Neste exemplo, eles alteraram o nome da conta para “Radiarnt Capital” em vez de “Radiant Capital” e alteraram o identificador para “@RDNTCapitail” em vez de “@RDNTCapital”. Embora essas mudanças possam parecer simples, muitos usuários muitas vezes não as percebem a princípio.
No momento em que este artigo foi escrito, vários casos da postagem de phishing mencionada ainda estavam ativos na postagem de Ancilia.
Golpes de falsificação de identidade
Personificar projetos reais para enganar investidores em criptografia tornou-se uma das ferramentas comuns dos fraudadores para atrair vítimas para plataformas de phishing.
No início deste ano, a empresa de segurança cibernética SlowMist alertou que mais de 80% dos comentários em postagens de grandes projetos de criptografia são fraudes. Enquanto isso, um relatório do ScamSniffer mostrou que essa tática era a escolha certa para os golpistas, causando perdas de milhões de dólares aos investidores em criptografia em fevereiro.
Apenas um dia antes do último ataque, os malfeitores pareciam estar realizando uma campanha semelhante para fraudar os investidores da WLFI. Os hackers até atingiram os usuários do Hoxisa Cash, disfarçando-se de serviço no início de setembro e promovendo o site malicioso usando o Google Ads.
Em notícias relacionadas, esta foi a segunda vez que a Radiant Capital foi intimidada este ano. Os hackers conseguiram escapar com US$ 4,5 milhões em negócios no ataque ao empréstimo de janeiro.
