Embora em outro artigo falaremos com mais profundidade sobre a base tecnológica dos tokens NFT, enfatizando os limites e o alcance que esta tecnologia promete, desta vez falaremos sobre os tipos mais comuns de fraude envolvendo esses criptoativos a fim de estabelecer alguns parâmetros que nos permitirão usá-los com segurança.

Os NFTs e as fraudes

Embora possamos dizer que o mundo dos tokens não fungíveis, mais conhecidos como NFTs ou nifties, começou por volta de 2012 com a criação das Colored Coins, ultimamente elas começaram a captar mais atenção dos usuários devido à explosão dessa tecnologia em vários segmentos como a arte, a criação de colecionáveis relacionados ao esporte ou o segmento de videogame.

De fato, vários videogames baseados em blockchain estão movendo a economia ao redor do mundo, por isso podemos estar certos de que este é um mercado em ascensão no qual o número de carteiras (wallets) ativas, compradores, vendedores e volumes de vendas também estão crescendo. É importante ressaltar que em 2020, o mercado de NFTs cresceu quase 300% em comparação com 2019 e as transações envolvendo NFTs atualmente excedem US$ 300 milhões em volume de transações. Sem surpresas, esta combinação de fatores despertou o interesse dos cibercriminosos, assim como ocorreu com as criptomoedas.

Entretanto, seja para comprar, vender ou armazenar NFTs, é necessária uma carteira digital. Manter essas carteiras e o uso de seus sistemas associados de forma segura é uma das maiores preocupações sobre a proteção desses criptoativos. Por exemplo, se alguém tentasse roubar uma obra de arte física, precisaria violar a segurança física do museu que abriga a obra, enquanto que roubar um bem digital requer violar a segurança do sistema que a abriga e daqueles envolvidos ao seu redor. Neste contexto, ameaças como o malware, o uso de técnicas de engenharia social como phishing e outras formas de fraude estão se tornando cada vez mais comuns devido ao aumento do interesse de atacantes que procuram se apropriar ou manipular esses criptoativos.

No contexto dos golpes e fraudes que se tornaram conhecidos nos últimos tempos, podemos apontar alguns exemplos de artistas que tiveram suas obras copiadas sem permissão e vendidas como NFT. Isto aconteceu, por exemplo, após a morte da artista Qing Han em 2020, quando um golpista se passou por ela e fez com que várias de suas obras ficassem disponíveis para compra como NFT. Da mesma forma, no ano passado, um golpista conseguiu comprometer o site oficial do Bansky e lançou um leilão através de uma página que já foi excluída, através do qual ele conseguiu vender um NFT supostamente feito pelo artista por US$ 336 mil.

Entre outros crimes podemos destacar o "sleepminting" que é conhecido como um processo que também pode permitir que um golpista consiga obter poder sobre um NFT na carteira de um artista e o transfira para sua própria conta sem que o artista se dê conta. Recentemente, uma série de crimes tem surgido em torno desses criptoativos. Os cibercriminosos se aproveitam do fato de que o mercado de NFT não está regulamentado e não tem nenhum recurso legal para lidar com tais crimes. Muitas obras de arte digital roubadas são vendidas de forma fraudulenta como NFT. Embora existam estratégias de segurança, tais como a funcionalidade proposta pela Adobe através do Photoshop para assegurar a atribuição adequada da arte NFT através da criação de um banco de dados de um sistema de arquivos interplanetário, certamente há muito a ser feito, pois as vulnerabilidades nos sistemas são reinventadas a cada dia e, como de costume na segurança, o elo mais fraco está no comportamento dos usuários.

Apesar de alguns dos golpes que acabamos de mencionar, juntamente com outras fraudes como o "rug pull", o roubo de identidade ou perfis falsos, serem os mais problemáticos na comunidade NFT, abaixo analisamos os golpes mais comuns em torno dos NFTs e compartilhamos algumas dicas sobre como evitá-los e como se manter seguro.

Além das modalidades mencionaremos a seguir, é importante ter em conta que cibercriminosos estão sempre procurando novos métodos para cometer fraudes, o que nos obriga a estar sempre informados e alerta.

Fraudes através de mensagens diretas no Discord

O Discord é um aplicativo bastante interessante para os cibercriminosos e há diferentes maneiras de enganar os usuários através desta plataforma. Em dezembro do ano passado, os criminosos comprometeram o canal Discord do Fractal, um Marketplace de jogos NFT, e enganaram 373 usuários ao roubar de suas wallets aproximadamente US$ 150 mil em criptomoeda Solana. Na verdade, os golpes que procuram roubar o acesso às contas do Discord são bastante comuns. Mas existem vários tipos de fraudes no Discord que os proprietários de NFTs devem estar cientes. Fazendo-se passar por amigos ou usando contas comprometidas, criminosos enviam mensagens diretas, inventando uma história e/ou se fazendo passar por um projeto, marca, artista ou influenciador de NFT.

Vale lembrar que o Discord é uma plataforma composta por servidores que reúnem usuários interessados em temáticas específicas. A plataforma permite que enviar mensagens diretas (DMs) que possibilitam conversas individuais e privadas com outros usuários na comunidade Discord. Além disso, também permite enviar mensagens diretas e iniciar conversas em grupo, independentemente do servidor em que o usuário esteja. Por esta mesma razão, quanto mais o usuário consiga expandir sua rede Discord, mais convites falsos receberá. Portanto, os usuários nunca devem clicar em links de fontes desconhecidas, por mais legítimos que pareçam, ou mensagens diretas de "amigos" pedindo dinheiro, ou "propagandas" para projetos NFT. Verifique sempre. Caso receba uma mensagem estranha de alguma pessoa conhecida, certifique-se de que ela seja quem diz ser, verificando sua identidade.

Perfis falsos nas redes sociais

Tanto no Twitter como em outras redes sociais, os usuários devem aprender a conviver com perfis falsos que tentarão atraí-los para armadilhas. Devemos nos acostumar a prestar atenção, já que muitas vezes eles copiam informações do perfil oficial. Portanto, se você não estiver atento, não será capaz de identificar que talvez a única diferença entre um perfil e outro seja apenas uma letra.

Em 2021, especialistas detectaram uma campanha que estava usando bots do Twitter. Os criminosos respondiam automaticamente publicações que incluíssem certas palavras-chave e se referissem a um problema com algum criptoativo. Depois de um tempo, os cibercriminosos respondiam se fazendo passar por representantes de suporte e acabavam enganando a vítima roubando a frase de recuperação ou seed phrase para ter acesso às carteiras de criptomoedas.

Além disso, através de contas falsas, criminosos podem tentar enviar para os usuários uma mensagem fingindo estar dispostos a conversar ou pedindo ajuda e conselhos sobre algo. Normalmente, se prestarmos atenção a certos elementos, tais como o número de seguidores, tweets copiados e colados de identificadores reais, muitos retweets de outras contas sem conteúdo original, notaremos que eles não são genuínos.

Sites falsos que se fazem passar por oficiais

É muito comum criar sites falsos que são cópias muito semelhantes de lojas de NFT, carteiras digitais, etc. Estes sites falsos podem ser distribuídos através de plataformas sociais como Discord, Twitter ou mesmo e-mail.

Site falso se faz passar pelo conhecido Marketplace do NFT OpenSea.

Site falso procura conexão com carteiras.

Outro site falso que se faz passar pelo OpenSea procura roubar carteiras de criptomoedas.

Instância que procura roubar carteiras de criptomoedas.

Sites falsos que se fazem passar por marcas legítimas existem e sempre existirão. Estas páginas podem ser distribuídas a partir de qualquer plataforma social, seja Discord, Twitter, fóruns, e-mail, etc. Os sites falsos podem parecer surpreendentemente semelhantes aos sites oficiais, embora com algumas pequenas alterações na URL ou no design.

Por esta razão, devemos sempre olhar cuidadosamente os links que recebemos por qualquer meio antes de clicar neles ou caso eles solicitem informações pessoais, tais como senha ou seed phrase. É importante lembrarmos da regra de ouro de que nunca devemos entrar com a seed phrase fora de nossa carteira e devemos sempre prestar atenção ao domínio que estamos navegando.

Por outro lado, e diante de uma possível falsificação do NFT, se quisermos comprar peças criptografadas caras e em demanda, vale a pena fazer algumas pesquisas, especialmente se a obra de arte custa menos do que deveria. É importante sempre verificar se o endereço no contrato do NFT é o verdadeiro, olhar quem está vendendo o NFT, o que mais eles venderam e se o NFT também está disponível em outros mercados, já que se trata de uma edição única não deveria haver mais de um para venda.

Veja mais:Falha no OpenSea permite comprar NFTs abaixo do preço de mercado

Criminosos se fazem passar por artistas ou criadores

Se você está pensando em comprar NFTs, lembre-se de comprar de artistas que são verificados ou que podem provar pelo seu trabalho que não estiveram envolvidos em nada suspeito. Além do caso do Bansky mencionado acima, no qual um golpista conseguiu vender a partir do site oficial do artista, também ocorreram outros casos de plágio. Por exemplo, quando Tyler Hobbs, o artista por trás da coleção de arte generativa (Art Blocks) chamada Fidenza, denunciou a plataforma SolBlocks para a comercialização de plágios de seu trabalho criado através de seu código sem sua permissão. Outro caso afetou o artista Derek Laufman, quando na Rarible, plataforma de compra e venda de NFTs, alguém criou uma conta em seu nome que até foi verificada e começou a vender seu trabalho como NFTs. A lista de artistas que foram vítimas de contas e sites que venderam NFTs de seus trabalhos sem o consentimento do artista é bastante extensa. De fato, vários artistas começaram a verificar em plataformas como OpenSea ou Rarible para verificar se seu trabalho estava sendo plagiado.

Fraude Pump & Dump

Pump & Dump é um termo que pode ser traduzido como "inflar e largar", que descreve um modelo de fraude na qual uma pessoa ou grupo compra uma grande quantidade de NFTs (embora possa ser token ou criptomoeda) para gerar um aumento na demanda e assim aumentar seu valor.

Geralmente, aqueles que caem no golpe são usuários ingênuos que acreditam que o preço vai aumentar e que sentem que encontraram uma grande oportunidade. Muitas vezes movidos por influencers que os divulgam através de seus canais de redes sociais. Entretanto, uma vez que o valor dos NFTs ou de outros ativos aumenta, os golpistas se desfazem de todos os seus ativos e obtêm um lucro significativo sobre eles, deixando as vítimas com NFTs sem valor e com grandes perdas.

Para detectar um esquema de Pump & Dump é recomendado verificar o histórico de transações, já que se trata de um projeto genuíno, o leque de compradores deve ser amplo e não apenas alguns poucos que estão vendendo e revendendo. Plataformas como OpenSea ou qualquer outra plataforma NFT permitem visualizar o número total de transações e quem comprou a coleção de NFTs.

Fraudes rug pull

Estes tipos de fraudes são comuns no mundo criptográfico e as NFTs ficam fora disso. Tem ocorrido vários casos de esquemas de rug pull nos últimos tempos, e isto é em parte porque podem ser difíceis de detectar até que seja tarde demais. Entre os casos mais recentes está o do “Evolved Apes”, um projeto no qual o criador simplesmente desapareceu com $2,7 milhões, e também o caso do token Squid (após a série Round 6), cujo valor passou de 1 centavo para US$2.800 em uma semana. A partir daí, o valor caiu e a conta oficial no Twitter desapareceu, assim como o website e a conta do token no Medium. Estima-se que os desenvolvedores do token ficaram com os US$ 3,3 milhões.

Esse tipo de fraude ocorre quando as pessoas por trás de um projeto o abandonam e guardam o dinheiro dos investidores para si mesmas.  Quando o valor do token e o número de investidores chega a um determinado ponto, os golpistas esvaziam os pools de liquidez de uma Exchange descentralizada (DEX) fazendo com que o valor da criptoativo despenque e deixando os proprietários desses ativos incapazes de vendê-los.

Essas fraudes costumam ocorrer camufladas através de desculpas como uma falha no software que será corrigida em um período de tempo. Esses golpes são mais comuns no ecossistema DeFi e no DEX (Intercâmbio Descentralizado).

Fraude do leilão

Um dos golpes mais populares são leilões falsos, conhecidas como Bidding Scams. Nesses casos, alguém leiloa uma NFT a um preço base para que os usuários façam lances, mas o golpista, sem o conhecimento do vendedor, troca a criptomoeda com a qual faz a compra por uma que tenha um valor inferior.

Existem algumas variações da mesma fraude. Vimos casos em que alguém coloca à venda uma NFT por um preço, depois a retira da lista e volta a inclui-la novamente, mas movendo a casa decimal para a direita. Como este usuário do Twitter explica, no ano passado ele detectou que a plataforma OpenSea não estava registrando essa mudança por 30 minutos, de modo que alguém poderia acabar pagando acidentalmente mais do pensavam. A recomendação para evitar cair neste tipo de fraude é verificar a criptomoeda utilizada e não aceitar uma quantia inferior ou comprar por uma quantia superior ao que a NFT supostamente declarou.

Perfis falsos e roubo de identidade de artistas ou colecionadores

Esta é uma fraude na qual os golpistas criam perfis falsos ou se fazem passar por colecionadores, artistas ou criadores de NFT. As vítimas são abordadas de diversas maneiras. Por exemplo, os criminosos podem tentar contatar esses criadores por mensagem direta para comprar um NFT deles fingindo ser alguém que eles não são, e antes solicitam ao vendedor que realize uma ação, como registrar-se em um site, ou que compartilhe uma imagem adulterada de sua carteira de criptomoedas mostrando uma grande soma. Também podem ocorrer através de contas no Twitter onde publicam que contam com 1 ETH para investir em NFTs e convidam os criadores a compartilhar seus trabalhos. Infelizmente, muitas vezes esses casos se tratam de fraudes.

Perfis falsos procuram atrair os criadores de NFTs.

Para aqueles que estão começando e procuram comprar seus NFTs, isso pode ser tentador, e os criminosos sabem disso. Portanto, caso se depare com uma dessas situações como vendedor, tenha cuidado.

Promoções, presentes e ofertas falsas

Muitas ofertas falsas e presentes inesperados em torno dos NFTs e outros criptoativos são frequentemente anunciados através de contas do Discord, Twitter e outras plataformas sociais. Em alguns casos, estas são contas que foram comprometidas e que teve o nome alterado. Assim, a partir dessas contas falsas, mas muito reais (em alguns casos com muitos seguidores e publicações), os criminosos se fazem passar por uma marca ou pessoa conhecida e anunciam, por exemplo, que estão dando criptomoedas. Mas para receber o suposto presente, os usuários devem fornecer algum tipo de senha ou frase secreta.

Falsos “mints”

Trata-se de um golpe no qual os desenvolvedores enviam os NFTs para influencers fazendo parecer que são eles que estão leiloando os NFTs. Eles fazem isso sabendo que muitos compradores monitoram as carteiras para ver as tendências e o que está sendo comprado para tentar antecipar o interesse massivo. Existem ferramentas para monitorar endereços de carteiras ETH e podem ser configuradas para receber notificações via Telegrama ou Discord. O problema também é que aqueles que monitoram carteiras estão confiando sem ter feito pesquisas anteriormente. Como revelado pela OpenSea, o principal Marketplace de NFTs, mais de 80% das NFTs extraídas com sua ferramenta de mineração gratuita eram falsas, plagiadas ou spam.

Neste post, a equipe do The Prometeus Project destaca algumas dicas sobre como identificar mints falsos.

Como se proteger?

Enquanto separamos os golpes mais comuns relacionados aos NFTs e em alguns casos como eles se combinam entre si, a verdade é que os cibercriminosos são inovadores e estão sempre encontrando novas estratégias para realizar novos ataques. Portanto, o mais importante é estar atento a qualquer coisa que seja boa demais para ser verdade. O ceticismo pode evitar uma grande dor de cabeça.

Como vimos ao longo deste artigo, todas essas fraudes envolvem vários vetores, tais como usuários, redes sociais onde as NFTs são promovidas, as ferramentas usadas para realizar transações, e assim por diante. Cada um desses vetores tem suas próprias fraquezas e suas respectivas combinações que levam a ataques mais sofisticados que estão mudando o tempo todo.

Além de saber que devemos estar sempre informados e nunca esquecer as técnicas mais comuns utilizadas em fraudes, tais como as fornecidas pela engenharia social, vamos agora rever alguns itens importantes para uma negociação com NFTs de uma forma mais segura.

  • Nunca compartilhe sua seed phrase ou senha a menos que tenha certeza absoluta e tenha verificado três vezes onde você clicou.
  • Verifique sempre o histórico das mensagens diretas e veja a origem.
  • Não clique em nenhum link que prometa presentes gratuitos, ofertas ou qualquer coisa que exija uma decisão rápida. Caso sinta-se tentado a clicar, primeiro verifique cuidadosamente quem está enviando os links, e especialmente no Discord.
  • Tente manter seus bens mais valiosos em uma "cold wallet". Uma carteira que não seja usada regularmente e que tenha várias medidas de segurança para acessá-la.
  • Tente usar uma carteira de hardware. Este tipo de carteira é altamente segura e permite armazenar fundos de forma off-line.
  • Adquira um gerenciador de senhas para todas as suas carteiras e contas. Esta ferramenta ajudam a gerar e armazenar senhas complexas.