#Gate广场四月发帖挑战 2.85 mil milhões de dólares a zerar em dez segundos: Quando hackers de nível estatal se transformam em RH do Vale do Silício, quantas calças ainda restam na Web3?

2,85 mil milhões de dólares.
Quando o Drift Protocol monitoriza os números no ecrã e estes zeram em apenas dez segundos, os traders quantitativos de Wall Street nem sequer tiveram tempo de engolir um café expresso. Neste paraíso descentralizado que se diz “código é lei”, dez segundos são suficientes para consumar um assalto a grande escala. Mas se pensas que isto foi apenas um ataque vulgar a vulnerabilidades de smart contracts, ou a obra de um génio hacker que, numa cave, bate loucamente no teclado, estás a ser demasiado ingénuo.
O verdadeiro ponto de partida desta farra avaliada em quase três mil milhões de dólares não foi naqueles dez segundos fatais, mas numa mensagem privada no LinkedIn, meio ano antes, cheia de “atenção e preocupação”. Neste mundo cripto cheio de magia, os hackers já não se dão ao trabalho de enfrentar de frente a quebra do teu algoritmo de criptografia assimétrica. Tiraram as hoodies, vestiram fatos virtuais Armani de alta-costura e, num canal Slack falsificado, falaram-te longamente sobre planos de carreira e angariação de financiamento de milhões. Achas que encontraste um “mecenas” que te leva à liberdade financeira? Na verdade, só querem mesmo é os privilégios do sistema, lá no fundo, no teu computador.

A mais alta mestria do phishing é seres levado a conversar, durante dois meses, sobre sonhos profissionais

No setor cripto, sempre existiu uma forma extremamente absurda de desalinhamento. Os promotores estão dispostos a gastar alguns milhões de dólares para contratar as principais empresas de auditoria e verificar, linha a linha, cada camada de lógica embutida nos smart contracts, mas não ligam a mínima ao núcleo de desenvolvedores que tem permissões para fundir código, nem à questão de saber com quem eles conversam online. A UNC1069, ou seja, aquela organização de hackers de nível estatal da Coreia do Norte que há muito se esconde no fundo da dark web, agarrou precisamente esta “folha de alface” fácil. Agora, quando executam ataques, seguem exatamente a via do headhunting sofisticado, apostando em “longo prazo” e “valor emocional”. É um tipo de ataque de redução de dimensão completamente industrializado. No caso das operações de penetração contra os mantenedores da biblioteca open source da Axios, Jason Saayman, e vários grandes vultos da comunidade Node, é praticamente um manual na engenharia social.
Não atiraram logo um pacote comprimido com trojans, nem fizeram a abordagem primária de “a tua conta está suspeita de lavagem de dinheiro, clica para confirmar”. Esses hackers com cadastro estatal passaram semanas, ou até meses, a construir com cuidado uma falsa “carcaça” de empresa tecnológica. Criaram um website corporativo sem falhas, montaram um espaço Slack com vários canais ativos e, até lá dentro, colocaram “colegas” de diferentes departamentos a discutir alegremente os assuntos do negócio. Eles conhecem demasiado bem a psicologia dos técnicos. Para parecerem executivos reais, atarefadíssimos todos os dias, até marcam reuniões com antecedência e, pouco antes do horário, enviam emails educados a pedir para reagendar. Estas pequenas fricções que só existem no mundo real dos negócios tornaram-se o golpe final, a última martelada, na barreira psicológica da vítima.
Quando, após semanas de cumprimentos, conversas, análise e elogios mútuos, a sensação de confiança fica totalmente preenchida, começa uma entrevista de vídeo online aparentemente banal no Microsoft Teams. A vítima, cheia de alegria, clica em entrar na reunião, e no ecrã surge uma caixa de aviso perfeitamente normal, a dizer-te que “faltam plugins de atualização no sistema, não é possível juntar-se à chamada”. Para não fazer esperar o “chefe”, o programador clica, logo, para descarregar e instalar. É exatamente nesse instante que uma cadeia de trojans de controlo remoto se infiltra, silenciosamente, nesta máquina que movimenta fluxos de dinheiro de valor astronómico.
Meio ano de “atenção e preocupação”, só por causa deste pormenor fatal. Achavas que estavas à procura de emprego; na realidade, estavas a pregar a última tábua no teu caixão digital.

A tua verificação em dois passos é apenas uma luz ambiente na porta do backdoor dos hackers

Muitos profissionais de Web3 têm uma confiança inexplicável, achando que, ao ativar 2FA (autenticação de dois fatores) e esconder a chave privada num cold wallet, é como vestir uma armadura anti-projéteis cibernética. Mas diante de hackers de nível estatal, isso é como usar uma mangueira de água para se defender de um ataque nuclear. No instante em que um plugin malicioso é executado, todo o teu sistema operativo passa a pertencer aos hackers. Cada pixel que vês no ecrã é um efeito, uma ilusão, que eles querem que tu vejas. A stack tecnológica usada por estes infiltrados, diga-se de passagem, leva a “parasitação” ao extremo. Eles exploram, em grande escala, os ficheiros de atalho .LNK que vêm de origem no Windows. Para uma pessoa comum, é apenas um ícone no ambiente de trabalho, mas nas mãos do hacker pode ser uma longa sequência de scripts de PowerShell ofuscados e executados.
O mais certeiro é que já não usam domínios maliciosos fáceis de bloquear por firewall; em vez disso, constroem diretamente os servidores de comando e controlo (C2) no GitHub. Quando o sistema de monitorização de segurança da tua empresa deteta que um determinado dispositivo está a pedir dados ao GitHub, ninguém acha estranho, porque programadores em todo o mundo estão sempre a descarregar código do GitHub. Assim, os hackers aproveitam as infraestruturas públicas legítimas e montam um corredor secreto direto até ao coração do teu computador. Depois de o sistema de base ser totalmente assumido, conceitos como 2FA, assinaturas múltiplas ou confirmação em hardware wallet tornam-se uma piada.
Os hackers têm controlo unilateral do teu computador: podem registar cada tecla que tu introduzes, intercetar os códigos de verificação por SMS e até, enquanto dormes, acordar silenciosamente os processos do teu navegador, transportando a tua sessão de login completa, para empurrarem pacotes no repositório NPM sem que ninguém se aperceba. Foi assim que a Axios, uma biblioteca open source descarregada mais de 1 bilião de vezes por semana, acabou por ser comprometida. Depois de tomarem o computador do mantenedor, injetaram uma dependência maliciosa que contém o trojan de controlo remoto XenoRAT. Se essa bomba cibernética não tivesse sido descoberta e removida de forma milagrosa pela comunidade em apenas 3 horas, a sua capacidade de explosão seria suficiente para fazer voltar centenas de milhões de servidores de aplicações dependentes à Idade da Pedra. Isto não é apenas um esquema de burla tipo “gancho para lisonjear e roubar”; é envenenar as águas de uma fábrica de abastecimento de água da cidade.

A floresta escura do ciberespaço, e o teste do “porco gordo” impossível de atravessar

Sair do labirinto do código é, na verdade, uma projeção, no mundo digital, de uma luta geopolítica cruel pelo poder. Nesta era turbulenta, cada vez que um programador carrega numa tecla, pode estar ligada a financiamento para desenvolvimento de armas nucleares do outro lado do planeta. O regime de Kim Jong-un, sob sanções internacionais severas, já considera o ciberroubo como uma das indústrias que sustentam as finanças do Estado. De acordo com relatórios das Nações Unidas, milhares de hackers norte-coreanos foram altamente organizados, e o seu único KPI é sangrar sem parar o mercado de criptomoedas — esse buraco negro de liquidez sem regulação.
A popularização da tecnologia de IA ainda dá mais asas a este tipo de comportamento de hackers de nível estatal. Antes, ataques de engenharia social entre culturas e entre línguas eram extremamente dispendiosos, porque era fácil deixarem sinais no modo de comunicação. Agora, grandes modelos de linguagem conseguem gerar, de imediato, gíria de “Vale do Silício” perfeitamente natural e fluente, ajudando os hackers a manter a sua persona de elite, sem falhas. O custo de clicar fica em zero, e o custo de construir confiança cai vertiginosamente. A dificuldade de defender esta guerra assimétrica aumentou exponencialmente. Isto porque as vulnerabilidades do código podem ser corrigidas com provas matemáticas, mas as fraquezas humanas são um poço sem fundo. Perante infiltrações armadas até aos dentes, a revisão técnica torna-se uma contradição secundária; os meios de defesa verdadeiramente eficazes acabam por parecer absurdos, quase ridículos.
No meio desta tempestade, um vídeo que circula no X tornou-se o epílogo mais surreal, cheio de magia. Um executivo ocidental, a entrevistar um candidato remoto para uma função de TI, ao detetar que a identidade do outro lado parecia suspeita, não pediu problemas complexos de algoritmos para resolver; exigiu diretamente que o candidato gritasse em inglês uma frase: “Kim Jong-un é um porco gordo feio”. Do outro lado do ecrã, o “engenheiro full-stack sénior” ficou instantaneamente paralisado, fingiu não entender a questão e, pouco depois, saiu a correr, em situação embaraçosa, da reunião. Sob a pressão política intensa e constante, mesmo hackers que estão no estrangeiro e trabalham para o regime ganhar divisas não se atrevem a arriscar a vida deles e da família por causa de um meme destes.
Isto, sem dúvida, é uma sátira extremamente mordaz do panorama atual de segurança em DeFi. Construímos as provas de conhecimento zero mais apertadas da história da humanidade, concebemos a mais complexa convergência tolerante a falhas bizantinas, injectámos quantias de dinheiro na ordem das centenas de milhões para evitar ataques de bruxaria; e no fim, o método definitivo para identificar ameaças centrais acaba por ser, afinal, uma frase de discurso político banal, carregada de ataque pessoal. Os mais de 200 milhões de dólares do Drift Protocol viraram fogo-de-artifício no céu de Pyongyang, enquanto esta indústria de realismo mágico continua, dia após dia, à procura do próximo mito de riqueza supostamente inabalável — mas, na realidade, cheio de buracos.