Uma carteira de Bitcoin Gold (BTG) recentemente conseguiu arrecadar mais de US$ 3,2 milhões depois de aproveitar os usuários de bitcoins que procuraram reivindicar seus tokens BTG. Um link para o site fraudulento MyBTGWallet foi colocado no site do Bitcoin Gold antes que pudesse ser auditado, mas foi rapidamente removido quando os usuários começaram a perceber que seus saldos estavam sumindo.
De acordo com vários relatórios, o site que contém a carteira falsa incentivou essencialmente os usuários carregarem suas chaves privadas ou seeds de recuperação para reivindicar seu Bitcoin Gold, conforme mostra uma imagem de tela arquivada da página.
O resultado foi um roubo de US$ 3,2 milhões, já que o scammer por trás do site conseguiu obter pelo menos US$ 107,000 em Bitcoin Gold, US$ 72,000 de Litecoin, US$ 30.000 de Ethereum e US$ 3 milhões de bitcoin. Como um usuário do Reddit postou, quando ele foi verificar seu saldo, ele descobriu que todos os seus fundos em uma carteira da Electrum desapareceram, assim como o site MyBTGWallet.
"Ontem eu queria verificar o meu saldo BTG no site https://mybtgwallet.com/ hoje eu vejo que todo o meu BTC da minha carteira Electrum se foi! O site está completamente desaparecido! Estou com o coração partido e, claro, sei se é minha culpa por dar minha seed de 12 palavras…. não pensei que seria assim."Os usuários confiaram no site com suas chaves privadas – apesar dos especialistas de segurança que o assessoram – em parte devido ao suporte do Bitcoin Gold para a carteira e ao código do site sendo de código aberto. Através de sua conta do Twitter, o time do Bitcoin Gold assegurou aos usuários que a carteira estava segura em várias ocasiões, e até mesmo a listou em seu site como um recurso.
O código do site no Github foi então alterado após a invasão ter sido iniciada. Uma análise feita pelo usuário da Reddit, Uejji, descobriu que o site essencialmente codificava a seed dos usuários em Base64 e armazenava no cookie do site, que depois foi transmitido para o Google. Lá, o scammer estava livre para decodificá-lo e usá-lo roubar os fundos da pessoa.
O site MyBTGWallet foi desenvolvido por um usuário chamado John Dass. Uma transação liga sua carteira para a do ladrão, o que significa que ele é o golpista, ou também foi uma vítima. No entanto, não está claro se este é o nome real do indivíduo ou apenas um pseudônimo.
Resposta da equipe do Bitcoin Gold
Os representantes do Bitcoin Gold imediatamente emitiram uma declaração sobre o golpe da carteira, esclarecendo que estão descobrindo uma maneira de remediar a situação e que uma investigação interna foi lançada. A declaração diz que a equipe está “trabalhando com especialistas em segurança para chegar ao fundo do problema”, mas não esclarece quem são esses especialistas.
A declaração acrescenta ainda que as descobertas serão divulgadas ao público assim que for “apropriado para fazê-lo”, e que a equipe cooperará de todas as maneiras possíveis para descobrir exatamente o que aconteceu.
O Bitcoin Gold tem sido um tanto controverso. Conforme coberto pelo Guia do Bitcoin, o site do projeto já foi atingido com um ataque DDoS após o Hard Fork que criou a criptomoeda. Depois, foi revelado que um dos desenvolvedores supostamente adicionou uma taxa escondida de 0,5% em um pool de mineração BTG, enviando os fundos diretamente para a sua carteira.
Em sua declaração, a equipe afirmou que funcionou com várias plataformas – incluindo o Google, Facebook e Twitter – para impedir que os golpistas tirem os fundos das pessoas, mas acrescentou que sua influência é limitada e encorajou os usuários a denunciarem fraudes sempre que as verem.