Golpe de Criptomoeda Honeypot. Como Evitar?

No mundo em rápida expansão das criptomoedas, o fascínio por lucros rápidos pode às vezes cegar até os investidores mais cautelosos para os riscos que espreitam por baixo. Entre as várias ameaças, os golpes de criptomoeda honeypot surgiram como uma tática particularmente enganosa usada por fraudadores para roubar ativos e informações confidenciais de usuários desavisados. Esses golpes geralmente envolvem carteiras falsas, tokens ou contratos inteligentes que parecem legítimos, mas na verdade são armadilhas projetadas para explorar a confiança e a ganância de suas vítimas. Entender como esses golpes funcionam e aprender como evitá-los é crucial para qualquer pessoa que navegue no cenário das criptomoedas.

O que é um golpe de criptomoeda Honeypot?

Um golpe de criptomoeda honeypot é uma tática enganosa no mundo das criptomoedas, onde golpistas atraem indivíduos desavisados para uma armadilha projetada para roubar seus ativos ou informações confidenciais. O golpe geralmente envolve a criação de uma carteira de criptomoeda fraudulenta, token ou contrato inteligente que parece genuíno, mas é, na verdade, uma armadilha cuidadosamente elaborada.

Golpistas costumam usar plataformas de mídia social como X (antigo Twitter), Discord ou Reddit para alcançar vítimas em potencial. Eles se passam por usuários inexperientes precisando de ajuda para transferir ou sacar o que eles alegam ser um pagamento significativo em criptomoedas. Em troca de assistência, eles oferecem recompensas generosas, o que torna a oferta tentadora.

Para construir confiança, o golpista fornece à vítima chaves privadas para uma carteira de criptomoedas que parece conter uma quantidade substancial de tokens. Esses tokens geralmente estão em criptomoedas menos conhecidas, que, apesar de parecerem valiosas, não podem ser usadas para cobrir taxas de transação. A vítima é então solicitada a depositar uma pequena quantia de criptomoeda para cobrir essas taxas, geralmente sob o pretexto de ajudar um "trader em dificuldades".

Uma vez que a vítima transfere sua criptomoeda para cobrir as taxas, os fundos são automaticamente redirecionados para uma carteira inacessível controlada pelo golpista. Isso é obtido usando scripts automatizados conhecidos como 'sweeper bots'. Embora os valores roubados em cada instância possam ser pequenos, os golpistas repetem esse processo várias vezes, levando a ganhos cumulativos significativos.

O fascínio dos golpes honeypot está na sua capacidade de parecer legítimos e tentadores, aproveitando a ganância ou a boa vontade de potenciais vítimas. O site falso, carteira ou contrato inteligente — o "honeypot" — é projetado para enganar os usuários, fazendo-os pensar que estão interagindo com uma plataforma confiável, mas, na realidade, é uma armadilha cuidadosamente preparada.

Como funcionam os honeypots

Golpes de honeypot no mundo das criptomoedas são operações meticulosamente planejadas que enganam os usuários para que eles abram mão de seus ativos. Esses golpes geralmente se desenrolam em uma série de etapas calculadas, cada uma projetada para explorar a confiança e a ganância da vítima.

Configuração e criação

O processo começa com o golpista decidindo sobre o tipo de honeypot a ser implantado. Isso pode ser qualquer coisa, desde um contrato inteligente com uma vulnerabilidade aparente até um site falso imitando uma popular exchange de criptomoedas. A chave aqui é fazer o honeypot parecer legítimo, seja projetando um site que replica perfeitamente uma plataforma bem conhecida ou implantando um contrato inteligente que parece ter uma falha permitindo que os usuários extraiam tokens.

Por exemplo, em um honeypot de contrato inteligente típico, o contrato parece conter um bug que permitiria que qualquer um retirasse tokens dele. No entanto, para explorar essa "falha", o usuário deve primeiro depositar uma certa quantia de criptomoeda no contrato.

Promoção e Atração de Vítimas

Uma vez que o honeypot é configurado, o próximo passo é atrair vítimas. Golpistas geralmente usam plataformas de mídia social como X, Discord ou Reddit para alcançar alvos em potencial. Eles também podem empregar otimização de mecanismos de busca, anúncios pagos e campanhas de mídia social para direcionar tráfego para suas plataformas fraudulentas. Em alguns casos, os golpistas podem se passar por usuários novatos que precisam de ajuda para sacar ou transferir uma quantia substancial de criptomoeda, prometendo à vítima uma parte dos fundos em troca de assistência.

Para ganhar a confiança da vítima, o golpista pode até mesmo fornecer acesso ao que parece ser uma carteira de criptomoedas cheia de tokens valiosos. No entanto, esses tokens geralmente estão em criptomoedas menos conhecidas que não podem ser usadas para cobrir taxas de transação, forçando a vítima a depositar fundos adicionais em uma criptomoeda mais amplamente aceita.

Exploração e Roubo

Após a vítima transferir a criptomoeda necessária, ela tenta explorar a suposta vulnerabilidade no contrato inteligente ou concluir a transação na plataforma falsa. No entanto, é aqui que a segunda camada do golpe entra em jogo. A vítima descobre que não consegue sacar seu depósito inicial ou qualquer um dos tokens do contrato devido a uma falha oculta.

O golpe conclui quando o invasor, usando scripts automatizados ou 'sweeper bots', transfere rapidamente o depósito da vítima e quaisquer outros fundos no contrato ou carteira para um endereço inacessível, efetivamente roubando os ativos. A plataforma ou contrato fraudulento é então rapidamente retirado do ar para evitar a detecção.

Exemplo do mundo real

Um incidente notável ocorreu em 26 de fevereiro de 2024, quando o Dechat postou por engano um link para um contrato inteligente honeypot em suas plataformas de mídia social. Embora o erro tenha sido corrigido rapidamente, alguns usuários que interagiram com o link sofreram perdas financeiras antes que o problema fosse resolvido.

Tipos de Honeypots

Sites falsos

Os fraudadores geralmente criam sites falsos sofisticados que imitam exchanges de criptomoedas, carteiras ou plataformas de investimento reais. Esses sites são criados para parecer quase idênticos a serviços legítimos, usando nomes, logotipos e designs de sites semelhantes para enganar os usuários. As vítimas são encorajadas a criar contas, vincular seus dados bancários e depositar fundos, tudo o que os golpistas podem roubar. Com o surgimento das plataformas de finanças descentralizadas (DeFi), os golpistas estão cada vez mais mirando os usuários criando protocolos DeFi falsos que prometem altos rendimentos, apenas para desaparecer com os fundos.

E-mails de phishing

Golpistas enviam e-mails de phishing que parecem se originar de empresas ou serviços de criptomoedas bem conhecidos, como exchanges ou provedores de carteira. Esses e-mails geralmente apresentam logotipos e conteúdo de aparência oficial para parecerem legítimos. Eles podem alegar que há um problema com a conta do destinatário e solicitar que ele forneça detalhes de login para resolvê-lo. Em outros casos, os e-mails direcionam os usuários a depositar fundos em um endereço de carteira falso controlado pelo golpista. Depois que a vítima insere suas credenciais ou transfere fundos, o golpista ganha controle sobre seus ativos. Recentemente, houve um aumento nas tentativas de phishing direcionadas a usuários de plataformas de blockchain emergentes, onde os golpistas exploram a falta de conscientização entre novos usuários.

Golpes nas redes sociais

Os fraudadores usam plataformas de mídia social para promover oportunidades falsas de investimento, muitas vezes alavancando endossos falsos de celebridades, anúncios pagos ou contas de impostores. Em alguns casos, eles podem até mesmo hackear a conta de uma figura pública para dar credibilidade ao golpe. Por exemplo, os golpistas podem criar um perfil falso de uma celebridade promovendo uma ICO (Oferta Inicial de Moedas) de criptomoeda. Usuários, atraídos pela promessa de altos retornos, são enganados a enviar depósitos de criptomoedas, que os golpistas então roubam. Recentemente, houve um aumento nos golpes envolvendo brindes falsos de NFT (Token Não Fungível) em plataformas como X (antigo Twitter) e Instagram.

Moedas Manipuladas

Honeypot coins são outra tática em que golpistas criam tokens com contratos inteligentes aparentemente lucrativos. Os investidores são atraídos pela promessa de retornos astronômicos, apenas para descobrirem que não conseguem sacar seus fundos devido a regras ocultas do contrato. Depois que os golpistas coletam investimentos suficientes, eles executam um “rug pull”, drenando o contrato e deixando os investidores com tokens sem valor. À medida que os projetos DeFi continuam a crescer, também cresce a complexidade desses golpes, com os invasores frequentemente explorando brechas em contratos inteligentes para prender investidores desavisados.

Ataques de malware

Ataques de malware são um método comum usado por golpistas para se infiltrar no dispositivo de uma vítima. Normalmente, o malware é baixado por meio de links de phishing ou anexos de e-mail e, em seguida, executado em segundo plano sem o conhecimento do usuário. Este software malicioso pode roubar chaves privadas de carteira, senhas e outros dados confidenciais, permitindo que o invasor desvie criptomoedas. Embora o software antivírus às vezes possa detectar e remover malware, muitos ataques são altamente sofisticados, tornando-os difíceis de identificar até que seja tarde demais. Recentemente, houve um aumento no malware direcionado a carteiras móveis e aplicativos descentralizados (dApps), à medida que mais usuários gerenciam seus ativos criptográficos por meio de smartphones.

Airdrops falsos

Em esquemas de airdrop falsos, os golpistas atraem os usuários com a promessa de criptomoeda grátis. Eles instruem o destinatário a fornecer o endereço da carteira ou, mais perigosamente, sua chave privada para receber o airdrop. No entanto, isso dá ao golpista acesso à carteira do usuário, permitindo que ele roube qualquer criptomoeda armazenada nela. É importante observar que airdrops legítimos nunca exigem detalhes confidenciais da carteira. À medida que a popularidade dos airdrops aumenta, especialmente nos espaços NFT e DeFi, os usuários devem ser mais cautelosos e verificar a legitimidade da oferta antes de participar.

Como evitar honeypots

Evitar golpes de honeypot requer vigilância e práticas cuidadosas. Aqui estão algumas estratégias-chave para ajudar você a se manter seguro:

Pesquise antes de investir

Antes de comprometer quaisquer fundos ou fornecer informações pessoais, conduza uma pesquisa completa sobre a plataforma ou oportunidade. Procure avaliações de fontes confiáveis, verifique se há reclamações e confirme se a plataforma está legalmente registrada e em conformidade com os regulamentos relevantes. No mundo em rápida evolução das finanças descentralizadas (DeFi), também é importante revisar o whitepaper do projeto e examinar a equipe por trás dele para garantir a legitimidade.

Verifique a validade do certificado

Sempre verifique o certificado SSL dos sites que você visita, principalmente quando eles envolvem transações financeiras. Sites fraudulentos geralmente usam certificados inválidos ou autoassinados, o que pode ser um sinal de alerta. Ferramentas como verificadores de SSL podem ajudar a determinar se o certificado de um site é genuíno. Além disso, garanta que a URL comece com “https” e não “http”, pois isso indica uma conexão segura.

Monitorar Liquidez

Tenha cuidado com tokens ou moedas que não têm liquidez suficiente ou são difíceis de sacar. Ativos ilíquidos podem ser um sinal de honeypot, onde o golpista bloqueia os fundos, tornando impossível para os investidores venderem ou sacarem seus investimentos. Verificar o volume de negociação do token e sua presença em bolsas estabelecidas pode fornecer insights sobre sua liquidez.

Não confie em recomendações de celebridades

Os endossos de celebridades, especialmente no espaço das criptomoedas, são frequentemente fabricados para promover moedas ou projetos fraudulentos. Sempre verifique a autenticidade dos endossos antes de tomar qualquer decisão de investimento. Também é importante observar que até mesmo contas legítimas de celebridades podem ser hackeadas temporariamente, com golpistas usando-as para enganar seguidores a investir em esquemas fraudulentos. Seja cético em relação a quaisquer promoções de alto perfil e faça uma verificação cruzada com fontes confiáveis.

Desativar permissões automáticas

Ao conectar aplicativos ou serviços à sua carteira de criptomoedas, é mais seguro habilitar permissões manualmente do que permitir acesso automático a todos os recursos. Golpistas frequentemente exploram permissões automáticas para obter controle não autorizado sobre seus ativos. Revise e revogue regularmente permissões desnecessárias para minimizar o risco de acesso não autorizado.

Use armazenamento refrigerado

Para proteger seus ativos de criptomoeda, armazene a maioria de seus ativos em armazenamento frio — carteiras offline que não estão conectadas à internet. Isso reduz significativamente o risco de seus fundos serem comprometidos no caso de um golpe ou ataque cibernético. Mantenha apenas uma pequena quantia de criptomoeda em carteiras online para transações diárias.

Habilitar autenticação de dois fatores (2FA)

Adicionar autenticação de dois fatores (2FA) às suas contas e carteiras fornece uma camada extra de segurança. Mesmo que sua senha seja comprometida, a 2FA torna mais difícil para invasores obterem acesso aos seus ativos. Use aplicativos 2FA como o Google Authenticator ou tokens de hardware para proteção adicional e evite 2FA baseado em SMS, que pode ser vulnerável a ataques de troca de SIM.

Conclusão

À medida que a indústria de criptomoedas continua a crescer, também crescem os métodos usados por golpistas para explorar usuários desavisados. Golpes de honeypot, com seus enganos intrincados e armadilhas cuidadosamente elaboradas, são um lembrete potente da importância da vigilância e da devida diligência. Ao se manterem informados, conduzirem pesquisas completas e empregarem práticas de segurança fortes, como usar armazenamento a frio e habilitar a autenticação de dois fatores, os investidores podem se proteger de serem vítimas desses esquemas maliciosos. No mundo dos ativos digitais, ceticismo e cautela são essenciais para proteger seus investimentos e informações pessoais

Por favor, note que Plisio também oferece a você:

Crie faturas criptográficas em 2 cliques and Aceitar doações de criptografia

12 integrações

6 bibliotecas para as linguagens de programação mais populares

19 criptomoedas e 12 blockchains