Episódio 33 – Assinatura Cega: Muita Atenção a esse Vetor de Ataque!
Alguns golpes são tão velhor quanto o próprio tempo. A tecnologia e a segurança podem avançar… Vamos largar o sotaque, né? De rastrilhos e caldeirões de óleo fervente até redes descentralizadas e criptograficamente protegidas. Existe, é claro, um equivalente moderno de escadas e corda. E para isso, podemos voltar os olhos para as assinaturas cegas. Um processo legítimo em muitas transações cripto, mas também um dos principais vetores de ataque nas práticas dos hackers de cripto modernos. O que exatamente é isto? Como saber quando um golpe pode estar à sua espera? Quando assinar cegamente e quando exercer… vamos lá… precaução? Um cara cego levou meu celular, é? Bem, aperte a fivela da cota de malha, porque vamos explorar fraudes não tão medievais. Sim, bem-vindo à School of Block.
E, para nos ajudar ajudar você a alcançar liberdade financeira, que tal inscrever-se e curtir? O algoritmo nos alimenta e nos ajuda a alimentar você, como um passarinho. Só que com mais cripto. Os DApps e as DeFi, introduzidos no Episódio 13, se você estiver se perguntando, trouxeram um nível de liberdade sem precedentes às suas possibilidades financeiras. Sim, sim. Mas, infelizmente, esta liberdade tem seu preço. Sim, eu guardo dinheiro no meu suéter. E isto porque a nova tecnologia trouxe novas vulnerabilidades para serem aproveitadas por golpistas e novas responsabilidades para você no que se trata de manter sua cripto em segurança.
Tudo vem dos contratos inteligentes… usados nos DApps e NFTs de hoje em dia. Olhe só… tão inteligentes. E eles criam um desafio para a atual geração de carteiras cripto, porque seu código, contendo detalhes essenciais dos contratos, não pode se inteiramente extraído e exibido. Assim, os usuários assinam sem saber o que estão realmente assinando. Imagine assinar um contrato de aluguel de apartamento, mas vendado, ou não ler os termos e condições antes de clicar em Aceitar quando você está com um novo aparelho eletrônico. Pode ser mais provável fazer um do que o outro, mas quando o contrato que você assina mexe com o seu dinheiro, vale a pena ser prudente. Estamos, é claro, falando das assinaturas cegas, algo com que você se depara no mundo cripto assim que começa a explorar o espaço de NFTs e DApps. Este é o padrão da indústria, então não é ruim em si, você só precisa exercitar bom senso e boas práticas. O problema é que uma tela de computador nem sempre é de confiança. E, mesmo se a carteira de software mostra uma mensagem, ela pode ser comprometida. Vejamos um cenário típico: quero trocar ETH por USDT. Para fazer isto, vamos usar o ParaSwap. A primeira coisa que eu faço é conectar minha carteira, a MetaMask. Sim, lá vamos nós. Agora a carteira está conectada, é tudo muito simples. Vou lá fazer a troca. Então agora eu toco em “Trocar”. Me dão os detalhes de o que eu vou fazer. Verifico tudo, tudo parece em ordem. Confirmo o pedido e agora minha carteira vai aparecer com uma transação que eu preciso assinar. Agora, essa é a questão. Este site parece legítimo, mas na realidade não faço ideia se o site realmente é legítimo ou não. Agora, eu sei que paraswap.io é o endereço certo deste site, mas há um monte de coisas que podem acontecer entre isto e o momento em que eu confirmo a transação. Agora, a questão é, na blockchain, código é lei. Então, se eu digo que sim, estou confirmando a transação, o que é basicamente dizer que eu li todos os contratos inteligentes, vi com o que eu estou interagindo e que concordo com isto, que está tudo certo. Mas algum de nós realmente faz isso? Não.
Há alguma informação na MetaMask aqui sobre o contrato ingeligente. Não, então eu clico em “Confirmar” aqui e, na prática, estou cego. Não quer dizer que seja inseguro, porque é esta a forma como interagimos com esses contratos a maioria das vezes, mas quer dizer que estamos às cegas. E é disto que falamos ao dizer que assinamos às cegas com uma carteira quente. A solução é uma carteira hardware, já que a tela confiável na própria carteira não pode ser atingida. Mas a maioria das carteiras hardware usa intermediários como a MetaMask, ou WalletConnect e outros para acessar os DApps que você está tentando usar.
Embora estes intermediários possam ajudar, às vezes, a compreender os dados do contrato, a carteira hardware exibe seu conteúdo em forma crua, ou seja, um número hexadecimal, como 123AFE, etc. etc. Então, mesmo se uma carteira dardware tem o que chamamos tela confiável, as informações aqui podem ser confiadas, mas não podem ser verificadas facilmente. E por isso, mesmo se você não puder verificar o conteúdo da sua transação, porque ele é tão críptico, você acaba assinando às cegas, mesmo se estiver usando uma carteira hardware. Parece ridículo, né? Você nunca cairia nisso… cairia? Então, como funcionam estes golpes? Bem, não são só os novatos da cripto que são visados. Alguns veteranos em cripto conhecidos foram vítimas recentemente. E isto porque há dois elementos nas assinaturas cegas, a tecnologia e você.
E é por isso que o seu próprio discernimento nunca foi tão crucial. Tanto Jeff Nicholas quanto Sohrob Farudi foram ludibriados por golpistas no canal Discord do famoso marketplace de NFT OpenSea. Estes golpistas haviam conseguido imitar os nomes de usuários dos fundadores do OpenSea, e levaram Jeff e Nicholas a um lugar onde eles revelaram o QR code da MetaMask na sua extensão de navegador. Que é essencialmente o mesmo que dar sua frase semente. Erro fatal. No caso do Jeff, apesar do fato de ele ter uma carteira hardware, os golpistas o persuadiram a assinar cegamente uma série de transações, depois de terem chegado ao seu QR code final, a fim de transferir alguns de seus preciosos NFTs. Danem-se vocês todos! E esta é a principal lição, com a cripto virando cada vez mais popular cada vez mais gente está se educando sobre como manter seus ativos seguros, e há poucas oportunidades para os golpistas ganharem acesso aos seus ativos. Alguém na porta. Quem será que pode ser. Olá? Droga!
Então, em vez de tentar arrombar a porta, eles estão contando com você para abrir para eles, como o Muggins aqui, levando você a assinar cegamente. O Sohrob documenta a saga toda no Twitter. Já o Jeff, parece que ficou devastado demais para ser tão detalhado. E dá para culpá-lo? Não deixe de dar uma lida quando tiver tempo. É uma sequência de eventos bem inconveniente que pode ajudar você a evitar que algo assim aconteça com você. Com quem falo para trocar esta fechadura, ein, ein? Droga! A solução é integrar os DApps direto em seu catálogo de aplicativos no Ledger Live, a fim de garantir que a tecnologia seja compatível e que não haja assinatura cega. Em vez disso, há aquilo que chamam de assinatura transparente, onde uma transação no Ledger Live, via ParaSwap, por exemplos, é exibida claramente na tela confiável, mostrando todos os detalhes da transação. Assim, isso ajuda você a praticar uma das mensagens essenciais para se manter seguro. Não confie, e sim verifique.
Esta frase foi popularizada, acredite ou não, pelo Presidente Ronald Reagan, durante os anos 80, durante a Guerra Fria, se referindo às informações que os americanos tinham sobre o tamanho do arsenal nuclear dos seus oponentes. Mas sem dúvida também se aplica às transações em cripto, também. Então, vamos dar uma olhada em como funciona a assinatura transparente ao usar uma carteira hardware Ledger para verificar.
Então, agora o que vamos fazer é a mesmíssima ideia de transação, mas usando o Nano X. Pois bem: Há dois jeitos diferentes para você usar a Ledger. No passado, você poderia usar a MetaMask juntamente com a sua Ledger e, fazendo isto, sim, você pode interagir com os DApps diretamente da sua Ledger através da MetaMask. Mas quando se tratava de realmente assinar uma transação, haveria um momento onde você veria um ícone aqui que diz, “Dados presentes”, com um sinal de aviso, mas ele não conseguia fazer nada mais do que isto. E isto é porque a MetaMask, ou seja qual for o software que você usar, age como intermediário, e não consegue realmente ler os detalhes do contrato inteligente diretamente, então ele não consegue transmitir nenhuma informação ao dispositivo. Esta é uma assinatura cega. Mesmo se você de fato usar uma Ledger, ainda é às cegas. Então, o que a Ledger fez agora foi integrar aplicativos no Ledger Live, que é um ambiente protegido, onde você fica seguro. E os aplicativos que foram integrados ali, (mas sempre há outros mais chegando), foram auditados da cabeça aos pés e são seguros de usar. E falo isso sério, eles realmente são seguros. Então, o que podemos fazer é, quando abrimos o Ledger Live, na verdade, a primeira coisa a fazer após abrir o Ledger Live, é ativar o modo escuro. Então, vamos para o tema, mudamos para modo escuro.
Aí sim, agora ficou melhor. Então, o que queremos fazer agora é ir para a aba Explorar, que fica aqui. Vou descer para ParaSwap, mas como você pode ver, há vários outros aplicativos. Há mais um monte chegando. É uma API aberta, a Ledger está aberta para negócios. Se você queria integrar com a Ledger, é muito fácil. Há uma pequena aba aqui para os desenvolvedores. Você pode ir ao portal e ver exatamente como fazer isto. Não há tantos aplicativos assim no momento, e isto é porque eles estão tentando garantir que apenas os melhores aplicativos e os mais seguros sejam incluídos. Mas isto vai explodir daqui a muito pouco tempo. Então, podemos clicar na ParaSwap, e aqui temos minha carteira representada diretamente na ParaSwap. Então, isso vai me permitir trocar de ETH para USDT, do jeito que fiz antes. Então veja o que vai acontecer do mesmíssimo jeito que antes. Quero pagar 0.01 ETH e receber 44 USDT. É uma péssima transação, dadas as taxas no momento, mas vamos lá fazer isso. Então, aqui posso revisar o que está acontecendo, as taxas da transação… US$149, loucura… para receber US$42. Seja como for, não vamos chegar a finalizar a transação, então tanto faz.
A seguir vou confirmar o pedido. E agora, quando clico em “Continuar”, tenho a oportunidade de revisar os dados diretamente na minha Ledger. Agora, isto é uma assinatura transparente, porque a Ledger consegue ler o contrato inteligente, ler o que o aplicativo está pedindo para fazer, e dar a você estes dados diretamente no dispositivo no seu idioma humano, legível. Então, se eu completar agora, for para a ParaSwap. E agora estou no aplicativo no Ledger Live. Posso ver… sim, confirmar. Quero enviar 0.01 ETH. Vou receber o mínimo de 43 USDT. Máximo de taxas… é isso aí. E agora posso aceitar e enviar, para poder revisar o processo do contrato inteiro, na própria Ledger, o que não teria sido possível ao usar a integração com a MetaMask. Assim, a ParaSwap é um aplicativo que foi integrado ao Ledger Live, e com isto vem a assinatura transparente.
É uma grande atualização para o Ledger Live. E vai permitir que você ganhe muito mais confiança quando for hora de interagir com aplicativos e garantir que aquilo que você quer fazer é realmente aquilo que você quer fazer. Algumas regras básicas para você se manter seguro, nas vezes em que precisar assinar cegamente através de uma carteira intermediária, mas mitigando o risco. Primeiro, não use DApps dos quais nunca ouviu falar antes. Sempre verifique a autenticidade. Site de NFTs de que nunca ouviu falar antes? Opa, oooopa… peraí, Leslie. Contenha seu FOMO e faça seu trabalho de casa. Depois — e isso é fundamental! — Seja extremamente cético com mensagens privadas em redes sociais. Se alguém que você não conhece está tentando falar com você, considere o porquê. Lembre-se, pode ser qualquer um, então não saia clicando os links que mandarem, por mais Bitcoin grátis que prometerem ou ajuda que prometerem, tampouco. Em terceiro, sempre mantenha suas… espera aí… ah sim, suas chaves isoladas usando uma carteira hardware, seja qual for o tipo de transação que você estiver fazendo. Não, isso não vai funcionar! Usar algo como a Ledger Nano traz uma camada de segurança a todas suas interações. E finalmente, precisamos repetir? Nunca revele sua frase de recuperação a ninguém. não a guarde em um dispositivo conectado à internet, nem a insira na sua carteira software. Deixe a frase anotada num papel em um lugar seguro onde não vai esquecer, e pronto. O que queremos? Chaves seguras! Para quando queremos? Para já! Então, na Ledger, a equipe está tentando melhorar o processo.
No crescente catálogo de aplicativos no Ledger Live, não é preciso assinar às cegas, você sempre verifica toda transação e sabe exatamente o que está acontecendo com seus tokens. Esta assinatura transparente é uma inovação recente, mas incrivelmente necessária. De fato, ela é o futuro. Mas até ela estar por toda a parte, você precisa tomar cuidado por aí. Com a liberdade financeira, vem uma grande responsabilidade. E, por mais avançada que a sua carteira for, você é a última linha de defesa dos seus criptoativos. Então, esteja sempre atento com… Sai fora! Bandidos como este, tentando apoiar a escada na muralha ou simplesmente pedindo educadamente para você abrir a porta da frente, o que pode ser mais provável. Seja inteligente, seja cuidadoso e… aquele cavalo ali está pedindo para ser cavalgado até o horizonte. Você assistiu School of Block apresentado pela Ledger e The Defiant, desmistificando a descentralização, um passo por vez. Não se esqueça de se inscrever, deixe seu like, se é disso que você gosta, e como sempre… hi-ho, Silver! Até sua liberdade financeira. Vamos lá. Vamos lá! Ooa!