Incidentes de segurança

A equipa por trás da carteira de criptomoedas Ledger descobriu que a cadeia de arranque seguro do processador MediaTek apresenta uma vulnerabilidade, permitindo que atacantes, com contacto físico, extraiam chaves criptográficas, afetando cerca de 25% dos telemóveis Android. A vulnerabilidade pode ser corrigida através de um patch, mas destaca os riscos de armazenar chaves em dispositivos não seguros, recomendando aos utilizadores que atualizem prontamente.

A Moonwell protocolo de empréstimo sofreu um acidente de segurança na cadeia devido a uma configuração incorreta do oráculo, levando a uma avaliação incorreta do preço do ativo cbETH. Este incidente resultou de um erro na lógica do código gerado por IA, com o bot de liquidação aproveitando essa vulnerabilidade para obter lucros. Apesar de não ter havido uma intervenção de hackers tradicionais, os usuários sofreram uma perda de 1,78 milhões de dólares. O evento revela uma negligência na revisão do processo de programação por IA, destacando a importância da revisão humana no contexto da automação tecnológica.

11 de março, o Ministério da Indústria e Tecnologia da Informação publicou recomendações sobre a prevenção dos riscos de segurança do agente inteligente de código aberto OpenClaw, destacando os riscos potenciais nas transações financeiras, e propôs a estratégia de "seis deve e seis não deve", como implementar isolamento de rede, confirmação secundária e reforçar a auditoria da cadeia de suprimentos, para evitar transações incorretas e o sequestro de contas.

Aave sofreu uma liquidação anormal em 11 de março, com aproximadamente 27 milhões de dólares em posições de empréstimo sendo afetadas devido a uma configuração incorreta do parâmetro do módulo de segurança interno CAPO, que resultou numa subestimação do valor do wstETH em 2,85%. A liquidação afetou 34 contas, com cerca de 10.938 wstETH sendo forçadamente liquidados. Chaos Labs compromete-se a compensar integralmente os utilizadores afetados e enfatiza a necessidade de melhorar os mecanismos de gestão de risco. Este incidente destaca os riscos associados a erros de configuração interna em sistemas de finanças descentralizadas.

Lido respondeu ao evento de liquidação ocorrido em 10 de março devido a um erro na cotação do oráculo CAPO, afirmando que não haverá dívidas inadimplentes e que compensará integralmente os usuários afetados. O produto Lido Earn não foi afetado, e os fundos dos usuários estão seguros.

O Presidente da BWA Dilip Chenoy participou na sessão de perguntas e respostas. Ele pediu uma verificação independente rigorosa antes de investir em criptomoedas. A medida imediata para as vítimas é registrar uma queixa junto das autoridades. Dilip Chenoy, Presidente da Bharat Web3 Association (BWA), interagiu com a imprensa e pa

11 de março, o protocolo de empréstimo descentralizado Aave sofreu um grande evento de liquidação devido a uma configuração incorreta na oráculo de preços, com cerca de 34 contas liquidadas, envolvendo 26 milhões de dólares. O problema foi causado por uma desincronização na configuração do mecanismo CAPO, levando a uma avaliação incorreta do preço do wstETH por um curto período. Apesar de alguns usuários terem sofrido perdas, o protocolo Aave não foi afetado financeiramente e irá implementar um mecanismo de compensação. Após o evento, o mercado reagiu de forma estável, e o preço do AAVE subiu.

Em 11 de março, ocorreu um assalto violento no oeste de Paris, França, onde três criminosos, disfarçados de policiais, forçaram um casal a transferir cerca de 90 milhões de euros em Bitcoin. O caso revelou o risco de ataques de "chave inglesa", fazendo da França uma região de alta incidência desse tipo de crime. As autoridades já iniciaram investigações, e especialistas em segurança alertam os detentores de ativos criptográficos para valorizarem a segurança pessoal e a proteção das informações.

A investigação da Bloomberg revelou que Chen Zhi, fundador do grupo príncipe do Camboja, através de ligações políticas e empresariais, construiu um império de fraudes de "pig butchering" que gerava 30 milhões de dólares por dia, e que acabou por desmoronar após os Estados Unidos confiscar 127.271 bitcoins. Os crimes de Chen Zhi e as sanções internacionais demonstram a sua organização de grande escala e influência. Apesar de ter sido detido e extraditado para a China, os resquícios da indústria de fraudes continuam a afetar o setor.

Relatório do Departamento do Tesouro dos Estados Unidos indica que os caixas automáticos de Bitcoin se tornaram uma ferramenta de fraude, com o FBI recebendo mais de 10.900 denúncias em 2024, com perdas de aproximadamente 2,467 milhões de dólares. Os fraudadores aproveitam o anonimato e a irreversibilidade dos caixas automáticos de criptomoedas, especialmente para enganar idosos. A Austrália também enfrenta desafios semelhantes, com o setor a pedir uma maior regulamentação e já a implementar limites de transação, mas especialistas acreditam que apenas limitar os valores não é suficiente para impedir as fraudes.

Os operadores de ativos digitais na Tailândia ativaram o mecanismo de "faixa de redução", congelando mais de 10.000 contas suspeitas de criptomoedas, para combater atividades de lavagem de dinheiro. Este mecanismo aplica um bloqueio de 24 horas para transferências superiores a 50.000 bahts tailandeses e exige autenticação adicional. Embora tenha reforçado a supervisão e prevenção, a experiência de transação dos utilizadores em conformidade foi afetada. Os operadores também avançaram na colaboração com as autoridades de aplicação da lei e na implementação da regra de viagem, enfrentando o desafio de uma aplicação da lei global inconsistente.

Aave em 10 de março sofreu uma falha no oráculo, levando à liquidação indevida de aproximadamente 26 milhões de dólares em wstETH, afetando 34 contas. A falha foi causada por uma inconsistência entre a taxa de captura do mecanismo CAPO e o carimbo de data/hora, resultando numa taxa de câmbio final inferior ao valor real de mercado. Aave irá compensar com 141,5 ETH recuperados e 345 ETH fornecidos pelo tesouro DAO. Não houve situação de inadimplência de protocolo.

GoPlus emite alertas, alertando os utilizadores para terem atenção aos atacantes que, através de anúncios de pesquisa no Google, falsificam a página oficial do Claude Code e distribuem malware para roubar passwords e informações de carteiras de criptomoedas. Recomenda-se aos utilizadores verificar o URL, instalar e usar ferramentas de proteção de forma segura.

Slow Fog Technology CISO 23pds alerta que equipas sem base técnica ao implementar OpenClaw podem levar a novas vulnerabilidades, e não a riqueza. OpenClaw é uma ferramenta de produtividade para empresas com capacidade de segurança, mas para equipas sem fundamentos é inútil. Além disso, as três principais ameaças de segurança incluem invasões por pacotes maliciosos, envenenamento de resultados de pesquisa e riscos de alucinações de IA, alertando os utilizadores para a importância do conhecimento em cibersegurança.

A análise da Chaos Labs aponta que o recente evento de liquidação de 27 milhões de dólares da Aave foi causado por um problema na configuração da oracle de risco CAPO, levando a um erro no cálculo da taxa de câmbio. A inconsistência nos parâmetros do contrato inteligente causou a liquidação, mas o protocolo não gerou inadimplência; o tesouro da Aave cobrirá o restante das perdas, e espera-se que a compensação pelo DAO não ultrapasse 345 ETH.

Três suspeitos disfarçados de agentes de polícia atacaram um casal em Versalhes, forçando-os a transferir aproximadamente €900.000 em Bitcoin. As autoridades francesas confirmam o roubo e estão a investigar a crescente tendência de assaltos violentos direcionados a detentores de criptomoedas.

A Procuradoria de Gwangju, na Coreia do Sul, vendeu recentemente 320,8 bitcoins apreendidos, obtendo um valor de 31,6 mil milhões de won sul-coreanos. Estes bitcoins foram inicialmente confiscados entre 2018 e 2021 durante operações contra plataformas de jogo ilegais. Embora, devido a um erro de um funcionário público, os bitcoins tenham sido roubados por hackers, estes posteriormente devolveram os bitcoins. As autoridades já iniciaram investigações e também descobriram outros casos de bitcoins apreendidos que se perderam.

Em 10 de março, um casal na França foi assaltado por três indivíduos que se fizeram passar por policiais, invadiram a sua casa armados com facas e forçaram a transferência de cerca de 90 mil euros em Bitcoin. Os dois ficaram feridos e foram amarrados, enquanto os criminosos fugiram. Este caso é o mais recente exemplo de um "ataque de chave inglesa" em criptomoedas. Vários incidentes semelhantes ocorreram na França este ano.

O Centro Nacional de Resposta a Emergências de Internet publicou um aviso de risco, pois o uso indevido do agente inteligente OpenClaw já apresentou riscos de segurança. Recomenda-se aos utilizadores reforçar o controlo da rede, melhorar a gestão de credenciais, gerir rigorosamente as fontes de plugins e acompanhar as atualizações de segurança para garantir aplicações seguras.