Scams existem desde o começo da humanidade, onde homens das cavernas enganavam uns aos outros trocando maça por pedra no escuro. E a cada dia que passa os scams estão se tornando cada vez mais sofisticados e serelepes, principalmente no meio tecnológico. Aqui vão algumas dicas para se manter seguro na Web3:
Golpes em contratos inteligentes:
Um contrato inteligente, como qualquer contrato, estabelece os termos de um acordo. Mas, diferentemente de um contrato tradicional, os termos de um contrato inteligente são executados como código em um blockchain, como a Ethereum.
O próprio código é replicado em vários nós de uma blockchain e, portanto, beneficia da segurança, permanência e imutabilidade que uma blockchain oferece. Os contratos inteligentes são uma infraestrutura poderosa para automação porque não são controlados por um administrador central e não são vulneráveis a pontos únicos de ataque de entidades maliciosas.
Dentro desses contratos existem funções, que são pedaços de código dentro do contrato que permitem realizar ações específicas – acionar uma função inicia uma determinada interação entre sua carteira e a plataforma que você estiver utilizando.
Set Approval For all
A função setApprovalForAll é usada para atribuir ou revogar todos os direitos de aprovação para um determinado operador.
Você verá essa função mais comumente ao listar seus NFTs para venda em um mercado, e seu objetivo é simples: permite que esse mercado mova seu NFT da sua carteira para a carteira de outra pessoa, sempre que for vendido, no caso de sites/contratos confiáveis.
Existem alguns riscos associados à função SetApprovalforAll, embora o comando seja essencial para contratos inteligentes e transações NFT, ele também pode expor sua carteira a roubos se um mercado conectado à sua carteira for hackeado ou for afetado por um vírus malicioso.
Isso significa que se você conectar sua carteira e assinar:
- Um falso mercado da web
- Página da web infectada
- Projeto de mint falso
- Interajir com NFT Airdrop desconhecido
O golpista poderá esgotar sua carteira instantaneamente.
Nesta imagem podemos ver como seria a transação se você estivesse interagindo com OpenSea e carteira metamask.
Esta mensagem é segura se você estiver listando seu NFT em um mercado ou interagindo com um DEX ou CEX . Isso faz sentido, pois você precisa dar permissão a essa plataforma para mover tokens de sua carteira quando eles são vendidos ou negociados. Mas fora dessas situações, deve-se desconfiar. Se você interagir com outra coisa e a caixa de transação disser: setApprovalForAll
, Fique atento porque provavelmente é uma porta aberta para scammers.
SafeTransferFrom:
Outra forma de scam utlizando o contrato inteligente é usar a função SafeTransferFrom
Nesse golpe, o invasor usa um site de phishing falso ou um site hackeado do projeto para fazer as pessoas clicarem no botão “mint”.
Isso trará uma mensagem se aprovação acredito SafeTransferFrom (que os usuários aprovaram pensando que fazia parte do processo de mint). Isso deu aprovação ao contrato para transferir um NFT da carteira alvo. Um dos casos mais famosos foi o phishing que ocorreu com o BAYC em 2022.
SendEthSendEth, como o nome sugere, significa literalmente que você está enviando Ether para outra carteira. Isso pode ocorrer porque você está enviando ETH entre diferentes endereços de carteira (se você acabou de comprar um Ledger. Por exemplo, e está transferindo seus fundos para segurança) ou se está fazendo uma compra em um mercado.
Mas fique atento caso essa mensagem apareça onde não deveria, como por exemplo durante uma mintagem de NFT – aqui, os usuários acreditam que estão mintando, quando na realidade estão apenas transferindo seus fundos para outro endereço.
Scam pelas redes sociais:
Sempre que você entrar em um discord de projeto, vai chover na sua DM mensagens de scammers prometendo mints grátis, ou qualquer outra coisa que chame a sua atenção e faça clicar no link. JAMAIS clique em links que não sejam oficiais, muito menos conecte sua carteira a estes sites.
Dinheiro nem (sempre) cai do céu.
Scams de airdrop são muito comuns em carteiras gordas e com NFTs valiosos. Normalmente vêm acompanhados de grandes ofertas para você interagir com o contrato aceitando a “oferta”. Uma vez que você clique em aceitar oferta, todos os seus NFTs e fundos serão drenados. Por isso quando ver algo suspeita na sua carteira apenas selecione e clique em “hide” para deixar escondido, e nem ter risco de interagir com o scam por engano.
Como evitar tomar golpes.Como sabemos que é possível criar contratos inteligentes com funções fraudulentas, é importante reconhecê-los e gerar sinais de alerta para que outros usuários não caiam nessa.
Entenda também que existem técnicas de engenharia social que podem nos fazer assinar uma transação mesmo sem saber. Por esta razão:
- É importante verificar quais contratos inteligentes estão sendo assinados e evitar conectar sua carteira a locais desconhecidos. Abra o contrato no etherscan e cheque as carteiras que assinaram o contrato para ver se foram hackeadas.
- LEIA oque você está aprovando, não se deixe levar pela pressa de mintar rápido.
- Evite locais de mint onde você possa ver funções como: SafeTransferFrom e setApprovalForAll, pois a função correta deve ser MINT.
- Não clique em nenhum botão a menos que você saiba que é um site seguro.
- Sempre verifique anomalias se o seu projeto tiver um anúncio surpresa ou mutar o chat na hora do mint.
- Procure a devida diligência e auditorias: muitos projetos legítimos, (sem ser NFTs normalmente) terão passado pela devida diligência e auditorias para garantir que o código seja seguro. No entanto, tenha em mente que as auditorias não são uma garantia de segurança.
- Procure nos comentários dos posts do projeto no twitter relatos de pessoas scamadas e etc.
- Caso você não tenha certeza da procedência do projeto mas mesmo assim ele não parece scam, utilize uma coldwallet, ou seja: uma carteira que exclusiva para mints “arriscados”, onde você coloca apenas a liquidez do mint e nada mais.
- Além fazer a pesquisa padrão: sobre os fundadores do projeto, verificar se o projeto possui um whitepaper, verificar se as supostas parcerias são reais mesmo, etc.
- Caso você tiver entrado em contato com contratos suspeitos, você pode entrar no revoke.cash, conectar sua carteira (verifique se é o site certo) e revogar contratos que você não sabe a procedência.
- Depois que você fez o que precisava em qualquer site, clique nos três pontinhos ao lado do seu nome –> sites conectados, e após isso clique em “desconectar” de todos os sites que estiveram conectados a sua carteira. Nesse caso se o site sofrer um ataque, a sua carteira não estará conectada naquele momento, o que pode evitar um scam como aconteceu quando hackearam o premint em 2022, gerando um prejuízo para todos os conectados naquele momento.
Considerações finais: Aqui o foco foi golpes voltados pra contratos/NFTs. Porém existem por exemplo grupos que prometem pumps em moedas, porém quando você compra e o gráfico começa a subir, a liquidez é travada e você não consegue tirar o seu dinheiro e etc. Por isso fique atento a TUDO que promete um retorno GARANTIDO e ALTO. Infelizmente nada é fácil, então desconfie.