F2Pool testou a segurança da chave privada! 500 Bitcoins foram roubados, 490 foram levados.

No dia 21 de dezembro, Wang Chun, cofundador do F2Pool (Piscina de Peixes), uma das maiores piscinas de mineração de Bitcoin do mundo, revelou no X sua incrível experiência de ter 500 BTC roubados. O motivo foi o incidente da “ataque de phishing de 50 milhões de USDT” que gerou grande discussão na comunidade. Wang Chun citou a mensagem na cadeia que a vítima enviou ao hacker e se auto-zombou, dizendo que o hacker se comportou de forma muito “generosa”, levando apenas 490 moedas e deixando 10 Bitcoins para suas despesas de subsistência.

5000 milhões USDT ataque de phishing absurdo

(Fonte: Wang Chun)

Este incidente que levou Wang Chun a se expor é, em si, um desastre de segurança no valor de 50 milhões de dólares. Recentemente, um grande investidor/instituição retirou 50 milhões de USDT da Binance e, antes disso, “testou” enviando 50 USDT para o endereço planejado para recebimento. Como resultado, o atacante rapidamente gerou um endereço semelhante com os mesmos 3 primeiros e 3 últimos dígitos e enviou 0,005 USDT como um token de poeira para a vítima.

A vítima, ao realizar a transferência formal, supostamente copiou diretamente o endereço do histórico de transações recente, resultando na transferência total de 50 milhões USDT para um endereço semelhante do atacante. Este tipo de ataque é conhecido como “envenenamento de endereço” (Address Poisoning), aproveitando o hábito dos usuários de copiar endereços do histórico de transações e inserindo endereços semelhantes para induzir a um erro de transferência.

Após o incidente de ataque, a vítima enviou uma mensagem na cadeia ao hacker: “Nós já apresentamos uma queixa-crime. Com a ajuda das autoridades policiais, das agências de segurança cibernética e de vários protocolos de blockchain, já coletamos uma quantidade substancial e específica de informações sobre suas atividades. O endereço da carteira que você controla está atualmente sob monitoramento 24 horas por dia. Esta é a sua última oportunidade de resolver pacificamente este assunto. Você é solicitado a devolver 98% dos ativos roubados dentro de 48 horas, podendo manter 1.000.000 dólares como 'recompensa de hacker ético' por descobrir a vulnerabilidade.”

Esta estratégia de negociação de “primeiro cortesia, depois força” é muito comum no mundo das criptomoedas. As vítimas geralmente tentam primeiro negociar com os hackers, oferecendo recompensas de hackers éticos em troca da devolução dos ativos, uma vez que é extremamente difícil recuperar criptomoedas roubadas. Se os hackers recusarem, então é feito o rastreamento através de autoridades e empresas de análise de blockchain, mas a taxa de sucesso ainda é muito baixa.

As três fases do ataque de envenenamento de endereço

Primeira fase, gerar endereços semelhantes: O atacante utiliza ferramentas para gerar endereços que têm os primeiros e últimos dígitos idênticos ao endereço alvo, com uma aparência extremamente semelhante.

Fase dois, enviar tokens de poeira: Enviar uma quantia muito pequena (como 0.005 USDT) para o endereço da vítima, fazendo com que endereços semelhantes apareçam no histórico de transações.

Terceira fase, indução ao erro: quando a vítima copia o endereço a partir do histórico de transações, pode acabar copiando um endereço semelhante, resultando na transferência de grandes quantias de fundos para a carteira do atacante.

O método de defesa contra esse tipo de ataque é extremamente simples: verificar cuidadosamente o endereço completo a cada transferência, em vez de apenas olhar para os primeiros e últimos dígitos. No entanto, a preguiça e os hábitos humanos fazem com que esse erro simples ocorra repetidamente. Quando o valor da transferência atinge 50 milhões de dólares, o custo desse descuido é catastrófico.

Wang Chun 500 moedas BTC teste da lógica absurda

Enquanto a comunidade lamentava os 50 milhões de USDT de vítimas, a revelação de Wang Chun, cofundador da F2Pool, chocou a todos. “No ano passado, suspeitei que minha chave privada havia vazado. Para confirmar se aquele endereço estava realmente comprometido, transferi 500 Bitcoins para ele.” A absuridade dessa operação reside no fato de que, sabendo que suspeitava do vazamento da chave privada, uma pessoa normal deveria imediatamente parar de usar aquele endereço e transferir todos os ativos, mas Wang Chun fez o oposto, transferindo uma grande quantia para “testar”.

Esta lógica é semelhante a: em vez de consertar rapidamente a fechadura de casa por suspeitar que está quebrada, deixar uma grande quantidade de dinheiro em casa para ver se será roubada. Se realmente for roubada, não só se valida que a fechadura está quebrada, mas também se perde propriedade. O método de teste de Wang Chun é completamente incompreensível aos olhos de especialistas em segurança, pois transforma a suspeita em certeza e a perda potencial em perda real.

O que me surpreendeu foi que o hacker se comportou de forma muito “generosa”, levando apenas 490 moedas e ainda me deixando 10 moedas de Bitcoin como dinheiro para as despesas diárias. O tom de sarcasmo de Wang Chun é ainda mais impressionante. 490 moedas de Bitcoin valiam cerca de 24,5 milhões de dólares na época (fevereiro de 2024), e 10 moedas valiam cerca de 500 mil dólares. Para uma pessoa comum, 500 mil dólares são suficientes para mudar o destino, mas na boca de Wang Chun, isso é apenas “dinheiro para as despesas diárias.”

Em relação ao endereço de hacker fornecido por Wang Chun, 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, após rastrear os registros históricos, foi descoberto que, em 12 de fevereiro de 2024, realmente houve registros de transferência relacionados. Isso confirma que o que Wang Chun disse não é falso, não se trata de uma história inventada, mas de uma grande perda que realmente ocorreu. No entanto, Wang Chun não forneceu mais explicações sobre este assunto, não revelou como suspeitou de uma possível divulgação da chave privada, nem explicou se fez uma denúncia para rastreamento, e muito menos explicou por que escolheu um método de teste tão absurdo.

O mundo dos ricos e as lições de dor sobre a segurança da chave privada

Wang Chunyun, com sua atitude leve e descontraída, fez com que todos na comunidade exclamassem: “O mundo dos ricos realmente não é algo que as pessoas comuns possam compreender.” A F2Pool, como uma das maiores Pool de mineração de Bitcoin do mundo, realmente possui uma riqueza que supera a imaginação comum. No entanto, essa atitude de “perder 25 milhões de USD e ainda estar de bom humor” é, para o investidor comum, tanto uma inveja quanto um aviso.

A inveja é o estado de liberdade financeira. Quando a riqueza que você possui ultrapassa muito o necessário para viver, uma perda de 25 milhões de dólares, embora dolorosa, não é fatal. Wang Chun consegue manter-se tão calmo, mostrando que sua riqueza total pode estar acima de centenas de milhões de dólares, e a perda de 490 BTC é apenas uma pequena parte de seus ativos. Essa liberdade financeira permite que ele suporte riscos e perdas que as pessoas comuns não conseguem imaginar.

O alerta é sobre a brutalidade da segurança das chaves privadas. “Not your keys, not your coins” (se as chaves privadas não estão com você, as moedas não pertencem a você) é uma regra de ferro no mundo das criptomoedas. Uma vez que a chave privada é exposta, não importa se você é um bilionário ou um investidor comum, seus ativos instantaneamente se tornam zero. O que é ainda mais assustador é que as transferências de criptomoedas são irreversíveis, não há banco que possa congelar, nenhum tribunal que possa recuperar, e é quase impossível recuperar o que foi levado por hackers.

O caso de Wang Chun revela várias lições-chave. Primeiro, quando houver suspeita de vazamento da chave privada, a abordagem correta é desativar imediatamente esse endereço e transferir os ativos para um novo endereço, em vez de testar com grandes quantias. Em segundo lugar, a gestão de chaves privadas deve usar medidas de segurança como múltiplas assinaturas, carteiras de hardware e separação entre quente e fria, pois o risco de uma única chave privada é muito alto. Em terceiro lugar, mesmo especialistas de topo da indústria como os co-fundadores da F2Pool podem cometer erros fatais em questões de segurança, ninguém pode se dar ao luxo de ser descuidado.

Para investidores comuns, esta história oferece uma lição extremamente valiosa, mas cara. Se houver suspeitas de que a chave privada foi comprometida, deve-se imediatamente: parar de usar aquele endereço, transferir os ativos para um novo endereço (testar com pequenas quantias antes de transferir grandes quantias), verificar todas as possíveis vias de vazamento (vírus de computador, sites de phishing, engenharia social), considerar fazer um boletim de ocorrência e buscar a ajuda de empresas de segurança profissional. Nunca faça como Wang Chun e transfira grandes quantias como “teste”, pois você pode não ter a mesma capacidade financeira para suportar perdas.

A ação do hacker de “generosamente” deixar 10 BTC também merece análise. Isso pode ser uma tática psicológica do hacker: esvaziar completamente poderia irritar a vítima a ponto de persegui-lo a qualquer custo, mas deixar um pouco de “dinheiro para viver” pode fazer a vítima optar por aceitar a situação. Para Wang Chun, que possui centenas de milhões em ativos, perder 490 moedas, embora doloroso, não vale a pena gastar muito tempo e energia perseguindo. O hacker entendeu com precisão essa psicologia, levando embora a maior parte dos ativos e reduzindo o risco de ser perseguido intensamente.

Este incidente contrasta com o ataque de phishing de 50 milhões USDT. O primeiro ocorreu quando a vítima copiou inadvertidamente um endereço errado, enquanto o segundo ocorreu quando a vítima, embora ciente dos riscos, decidiu transferir ativamente. O que ambos têm em comum é que o erro humano é a maior causa de perda de ativos criptográficos, superando de longe os ataques a exchanges ou as vulnerabilidades de contratos inteligentes. Por mais avançada que seja a tecnologia, não pode defender-se da negligência e da mentalidade de sorte humana.

Para a indústria de criptomoedas, esses casos alertam todos os participantes: a segurança da chave privada é uma habilidade fundamental que pode ser uma questão de vida ou morte. Não importa se você possui 0,1 BTC como um investidor de varejo ou 500 BTC como uma baleia, uma vez que a chave privada é divulgada ou enviada para o endereço errado, as consequências são irreversíveis. Neste mundo onde “código é lei”, não há remédio para arrependimento; a única proteção é verificar várias vezes, duvidar um pouco mais e ser mais cauteloso a cada operação. O custo de 25 milhões de dólares de Wang Chun proporcionou à indústria toda uma cara lição de segurança cara, mas profunda.