Golpistas de phishing desviaram mais de US$ 4 milhões de Solana carteiras em dezembro de 2023, segundo estimativas postou no X por Scam Sniffer, um rastreador de golpes. Os ataques afetaram cerca de 4.000 usuários, de acordo com o Scam Sniffer.
Os bens roubados incluem aqueles roubados pelo arco-íris atacante através de um ataque de phishing de lançamento aéreo. Os golpistas empregaram “técnicas anti-simluação” que impediram que as carteiras refletissem os saldos alterados.
Quando vítimas inocentes tentaram reivindicar os tokens não fungíveis (NFTs) de pesca por lançamento aéreo, elas assinaram transações maliciosas, permitindo que os invasores drenassem suas carteiras. Os golpistas de phishing de lançamento aéreo roubaram US$ 2,14 milhões de mais de 2.189 vítimas, de acordo com o Scam Sniffer.
Outro golpista notável foi o drenador de nós Solana, que vitimou mais de 1.700 usuários e roubou mais de US$ 2 milhões em menos de duas semanas. O drenador de nós usou uma campanha de phishing de Natal para atrair vítimas.
De acordo com para Scam Sniffer, o drenador de nó Solana obteve mais de US$ 1 milhão em lucro ao converter USDC roubado em Ethereum (ETH) usando AllBridge.
Diferente Ethereum, onde a maioria dos roubos acontece devido a problemas de aprovação, em Solana, o principal truque de phishing envolve enganar as pessoas para que façam transferências diretas. Solana suporta simulação de transações, mas alguns métodos sorrateiros aproveitam medidas anti-simulação e resultados de simulação falsos. Isso é feito para confundir os usuários e torná-los mais propensos a cair em esquemas de assinatura maliciosos.
O que é mais preocupante, entretanto, é que o blockchain Solana não possui um sistema de lista negra de NFT que impeça atores mal-intencionados de exibi-los. Isso significa que os invasores podem continuar com suas campanhas de phishing sem a necessidade de implantar novos NFTs falsos para atrair as vítimas.
Curiosamente, estes ataques de phishing ocorreram no mesmo mês em que Shakeeb Ahmed se declarou culpado ao roubo de US$ 12 milhões ao explorar aplicativos de finanças descentralizadas (DeFi) Solana em 2022. A confissão de culpa de Ahmed levou à primeira condenação por fraude de contrato inteligente no mês passado. Ahmed deverá ser sentenciado em março de 2024.
