Parece que um hacker roubou 7,4 milhões em Ethereum com um truque rídiculo

Alguém passou a perna nos investidores ao fazer com que enviassem sua grana virtual pro endereço errado.

|
18 Julho 2017, 2:10pm

Ao que tudo indica, um hacker acaba de roubar em torno de 7,4 milhões de dólares em ether, moeda da plataforma de aplicativos Ethereum, ao fazer com que vítimas enviassem grana para o endereço errado durante uma Oferta Inicial de Moeda (ICO na sigla em inglês). As informações são da empresa Coindash, que afirma que seus investidores estariam enviando dinheiro a um hacker.

Ontem, a Coindash, empresa que oferece uma espécie de serviço de câmbio para o ether, deveria lançar sua ICO, que é um tipo de crowdfunding que permite aos investidores envolvidos serem proprietários de parte do aplicativo ao comprarem ativos digitais conhecidos como tokens. ICOs são maneiras incrivelmente populares de se financiar um aplicativo no Ethereum e algumas destas já arrecadaram milhões de dólares em poucos minutos. Até mesmo os apps mais bobos conseguiram levantar milhares de dólares em investimento durante ICOs recentes.

A ICO da Coindash, como tantas outras, foi lançada por meio da postagem de uma simples linha de texto representando o endereço em Ethereum para que investidores enviassem dinheiro ao site do app. Porém, poucos minutos após o início daquilo que deveria ser mais uma oferta bem sucedida, a Coindash alertou que seu site havia sido hackeado e pediu para que não fosse enviada quantia nenhuma para o endereço informado.

Ainda não está claro o que aconteceu, mas pelo visto tratou-se de algo bastante simples: o hacker supostamente assumiu o controle do site oficial do Coindash e mudou o texto, publicando ali o endereço de sua carteira digital no lugar da carteira da empresa. Quando as pessoas foram "investir", acabaram enviando dinheiro pro hacker e não pra empresa.

Por mais que o pessoal do Coindash tenha percebido o hack e avisado seus investidores com rapidez – três minutos após o ICO – , o estrago já estava feito.

Print do canal oficial do Coindash no aplicativo Slack

"SITE HACKEADO", escreveu Emannuel Gimenez, funcionário do Coindash, na conta oficial da empresa do Slack que tivemos acesso.

"GENTE HACKEARAM O SITE! Não mande seu ETH!!!", dizia postagem do Coindash no popular fórum Bitcointalk publicada por volta das 9:06 EDT, seis minutos após o lançamento da ICO.

"A Venda de Tokens foi finalizada, não enviem ETH para nenhum endereço", anunciou a empresa no Twitter na manhã de segunda-feira.

Até a publicação deste material, investidores haviam enviado 43.438,45 ether (por volta de 7,4 milhões de dólares) ao endereço que de acordo com o Coindash pertence a um hacker. A Etherscan, ferramenta web para rastreio de transações em Ethereum, alerta que "há relatos de que o Crowdsale do Coindash foi comprometido".

"Tudo o que sabemos até então é que um terceiro mal intencionado alterou o endereço logo após o ínicio da oferta", afirmou Ram Avissar, diretor de marketing do Coindash, em conversa no Slack. "Cancelamos o contrato de venda de tokens e estamos tentando definir a melhor forma de compensar os afetados."

Em nota publicada no canal do Slack, a empresa afirma ter "sofrido um ataque hacker" onde um "criminoso desconhecido" "inseriu maliciosamente" um endereço fraudulento em seu site.

Print do canal oficial do Coindash no aplicativo Slack

Nas redes sociais, a coisa ficou feia. No Reddit, há quem acredite que o hack tenha sido "interno" para permitir que os criadores do Coindash fugissem com milhões de dólares e jogassem a culpa em um hacker anônimo que provavelmente nunca será encontrado. Não há provas de que o Coindash tenha agido de má fé, porém, a Navalha de Occam pode muito bem dar razão à explicação do Coindash: um hacker simplesmente se aproveitou do elo mais fraco na segurança do ICO, ou seja, o site do próprio Coindash.

Seja lá quem for o culpado, os investidores estão putos com o Coindash. "Ah por favor eu já tinha enviado meus eth", escreveu um usuário do Bitcointalk. "Quero meu dinheiro de volta. O site é seu e a culpa é sua em não garantir a segurança". Outro suposto investidor postou no fórum: "Tarde demais! Já mandei 31.000 eth para o endereço!!! É melhor vocês recuperarem meu dinheiro". Não tivemos como confirmar os investimentos dessas pessoas, mas a Etherscan confirma que grandes quantias de ether foram transferidas para o endereço.

O hack em questão é um dos maiores no mundo do Ethereum até o momento. Depois que um fundo de investimentos de Ethereum baseado em tokens chamado DAO perdeu mais de 50 milhões de dólares no ano passado, os desenvolvedores do Ethereum tomaram a difícil decisão de dividir a moeda em duas a fim de restaurar o dinheiro perdido. Tal ato, porém, foi encarado por muitos como desnecessariamente arriscado (gerando ainda uma criptomoeda concorrente) e provavelmente não se repetirá.

No canal oficial do Coindash no Slack, os desenvolvedores escreveram que todos os investidores, mesmo que tenham enviado dinheiro ao endereço falso, receberão tokens.

"Todos os investidores do Coindash receberão seus tokens. Estamos trabalhando para resolver a situação", concluíram.