Hackers invadem Discord para roubar de compradores de NFTs

Dois projetos de venda de NFTs caíram no mesmo golpe de hackers no dia 21 de dezembro de 2021. O golpe envolveu engenharia social e manipulação de tecnologias da plataforma Discord, onde estavam as comunidades dos dois projetos.

Basicamente, os hackers postaram mensagens passando-se por autoridades na comunidade e oferecendo NFTs a preço baixo ou gratuito para quem conectasse sua carteira de criptomoedas rapidamente ao link fornecido. Muitos membros das comunidades prontamente atenderam aos pedidos. Tiveram depois a desagradável surpresa de ver esvaziada sua carteira.

Os projetos Monkey Kingdom e Fractal foram os afetados. Ambos utilizam o Discord para engajar suas comunidades. No Monkey Kingdom, foi oferecida uma pré-venda no dia 21 e no Fractal um airdrop (distribuição gratuita) alguns dias depois.

Os posts apareceram no canal oficial de anúncios de cada comunidade, afirmando que a criação surpresa de novos NFTs poderia recompensar membros da comunidade com um NFT de edição limitada. Centenas clicaram no link enviado. As carteiras conectadas foram esvaziadas de suas moedas SOL (Solana), que os projetos usavam para compras.

Em uma hora, administradores das comunidades Monkey Kingdom e Fractal informaram no Twitter que seus servidores Discord haviam sido invadidos por hackers. A notícia da criação surpresa de NFTs era falsa, os links eram um ataque de phishing.

Na comunidade Fractal, o prejuízo foi de US$ 150.000. Já na Monkey Kingdom, o valor perdido chegou a US$ 1,3 milhões.

Nenhum dos ataques foi direcionado a blockchain ou aos tokens. Os ladrões exploraram fraquezas na infraestrutura de venda dos tokens, especificamente os canais Discord das comunidades, afirmou o The Verge.

Imagem: Shutterstock

Ataque usou características específicas das comunidades NFTs

Tratou-se de um caso onde ficaram claras as fraquezas persistentes da economia NFT crescente, em que presentes surpresa têm atraído compradores para agir rápido ou perder a oferta. No entanto, a mesma técnica que pode aumentar vendas também pode abrir a porta para hackers. Neste caso, um só problema pode espalhar-se em mais de uma comunidade ao mesmo tempo.

No caso, os ladrões de NFTs tiveram como alvo uma tecnologia chamada webhook. Ela é utilizada por muitas aplicações na web (incluindo o Discord) para acompanhar uma mensagem enviada para um determinado endereço online e engatilhar um evento em resposta, como postar conteúdo em um determinado canal. Um webhook é como um número de telefone secreto, um identificador único que pode ser chamado para conectar um aplicativo a outra ponta.

Ao fornecer acesso aos webhooks dos servidores Discord da Fractal e da Monkey Kingdom, os hackers puderam mandar mensagens que foram transmitidas a todos os membros de alguns canais: uma função que era utilizada apenas para comunicação oficial das autoridades dos projetos.

Assim, o falso anúncio foi publicado com o link de endereço de um golpe. Na verdade, o conteúdo deveria ter alarmado alguns membros, mas dado o método de distribuição, parecia legítimo o bastante para enganar muitos.

Os webhooks do Discord são usados para automatizar mensagens baseados nas atividades em outros aplicativos: por exemplo, a documentação oficial que descreve fazer um bot que notifique um canal de novas entradas no Github. Mas é fácil perder de vista esses bots entre os vários serviços de terceiros integrados e, crucialmente, não há como desligá-los todos de uma vez caso a comunidade seja invadida. O resultado é uma grande oportunidade para ataques e um problema para as comunidades Discord que não prestam atenção em suas integrações.

Um porta-voz da Discord afirmou que a empresa alertou às pessoas para tomar cuidado ao dar acesso a outros a seus dispositivos e informação pessoal e apontou como orientação seu banco de recursos para moderadores.

A origem do ataque parece estar em um serviço chamado Grape Network, que fornece ferramentas de gerenciamento de comunidade para Fractal, Monkey Kingdom e outros. Cerca de uma semana antes do roubo, um empregado da Grape Network com nome de tela Arximedis já havia sido pego em outro golpe em outro servidor Discord, este pertencendo à Solana.

Primeiro o moderador do Solana foi manipulado, depois o próprio Arximedis, através de uma ataque de phishing que envolve banir o alvo, os hackers conseguiram obter um token de acesso a conta que permitiu fazer ações em lugar do administrador da Grape. Bastou isso para criarem um caminho para mandar mensagens para Fractal e Monkey Kingdom. Com o caminho no lugar, os hackers se aquietaram e aguardaram o momento certo para mandar mensagens para os canais Discord das comunidades.

O fundador da Grape Network confirmou o mecanismo de ataque. Em uma declaração, o administrador do projeto Monkey Kingdom afirmou que medidas de segurança adicionais haviam sido realizadas para evitar ataques futuros. O projeto afirmou ainda que fará reembolso às vítimas.

Projetos NFTs têm como hora mais vulnerável logo após seu lançamento. Dados da Chainanalysis mostram que mais de 26.000 transações para criações NFT fracassadas ocorreram uma hora depois do lançamento do projeto, com fundos não reembolsáveis. Mais de US$ 4 milhões em taxa de corretagem foi gasto com transações fracassadas.

O Fractal, no entanto, tem boas perspectivas pois foi aberto para investimento em 30 de dezembro com resultados bons. Já o Monkey Kingdom afirma que a comunidade é fiel e irá relançar os NFTs interrompidos com o ataque.