Usuário deixa frase de recuperação de seus Ethereum online por acidente e é roubado em 100 segundos

Um usuário perdeu o equivalente a R$6.300 em Ethereum ao ser roubado em menos de 100 segundos após acidentalmente colocar sua frase de recuperação em um repositório online.

Hackers desviaram os fundos em menos de 2 minutos com a ajuda de bots (robôs) maliciosos que monitoram as confirmações de código no GitHub, uma área on-line de armazenamento de arquivos e projetos.

A vítima que usava a carteira MetaMask, admitiu o erro em uma publicação no Reddit na terça-feira (26):

“Alguns dias atrás, um hacker pegou meu mnemônico e roubou US $1.200 em Ethereum da minha carteira Metamask em menos de 100 segundos”, revelou o usuário. “Os hackers estavam usando um bot para procurar as frases mnemônicas no GitHub e acidentalmente o deixei no meu código em um repositório enquanto estava enviando para um hackathon do Hack Money.”

As frases mnemônicas (ou sementes) são combinações de 12 palavras colocadas em uma ordem específica que permitem que o usuário restaure o acesso a uma carteira criptográfica.

Elas não devem ser armazenadas online ou apresentada para outras pessoas a menos que você esteja disposto a correr o risco em deixar que acessem seus fundos.

Fundos bloqueados

Nesse caso, os hackers ainda deixaram quase R$3.700 em tokens ERC-20 na carteira da vítima, segundo o relato. Contudo, os valores estão bloqueados no protocolo Compound DeFi (cETH), usado para emprestar criptomoedas para outras pessoas.

“Embora ainda restem algumas moedas e tokens, o bot sugará qualquer Ethereum que eu tiver para me impedir de mover minhas moedas e/ou superar minhas tentativas fornecendo mais gás* [usado para pagar as taxas de transação na rede]”, escreveu o usuário.

Em outras palavras, aquele que pagar uma taxa maior tem mais chances de conseguir que seu pedido seja processado na rede.

Recado para outros usuários

Depois de pagar caro pelo erro, o usuário resolveu deixar um recado para outros entusiastas:

“Só quero que vocês todos estejam cientes de nunca manter uma cópia digital da sua chave mnemônica ou privada. Especialmente não online”, declarou.

A vítima ainda disse que aqueles que estiverem usando a carteira MetaMask devem “gerar aleatoriamente chaves privadas para novas contas não associadas a quaisquer mnemônicos e importadas para a carteira”.

Por fim, declarou:

“Fiquei muito chateado e com medo no começo, mas não posso insistir nisso e vou seguir em frente”, disse. “Não preciso me estressar por milhares, quando posso me concentrar em ganhar milhões”.