No mercado de criptomoedas, os NFTs estão atraindo cada vez mais a atenção de investidores. Tendo a exclusividade como uma de suas principais características, os também chamados tokens não fungíveis se espalharam pelo mundo inteiro, inclusive no Brasil, que é apontado como uma das maiores referências globais no tema, de acordo com a pesquisa Statista Digital Economy Compass 2022, feita pela própria Statista. Segundo o estudo, cerca de 5 milhões de brasileiros possuem ao menos um ativo desse tipo.

Diante dessa popularização que movimenta um setor bilionário, infelizmente o segmento também chama a atenção de cibercriminosos. É cada vez mais comum acordar com notícias de golpes que resultaram em perdas de grandes montantes, especialmente por ser uma área relativamente nova e pouco regulamentada. Assim, cria-se um ambiente propício para os atacantes agirem e prejudicarem tanto usuários comuns, proprietários de NFTs, como corporações gigantescas.

Além disso, considerando que o Brasil é um país, de modo geral, que ainda precisa dar muitos passos nos quesitos de segurança da informação e privacidade de dados, a necessidade de uma evolução significativa no perfil dos investidores para lidar com essa nova tendência deve se intensificar. É indispensável que os agentes desse mercado tomem alguns cuidados importantes, começando no entendimento das ameaças às quais estão sujeitos nesse universo.

Um dos principais riscos no mundo dos NFTs é o rug pull (“puxada de tapete”, em português), em que a equipe de um projeto o abandona e desaparece com o dinheiro dos investidores. Para afastar esse perigo, é essencial frisar que a primeira precaução para conter ações criminosas é a pesquisa sobre o time e a comunidade da proposta em questão, analisando os canais de mídias sociais utilizados, como Twitter, Telegram e Discord.

Essa investigação também já dá início ao próximo cuidado, que está relacionado ao golpe mais comum desse universo de ativos, como revelam dados da  Kaspersky: o phishing, que é a obtenção de dados pessoais por meio de uma ação fraudulenta. Os vetores habituais desse tipo de ataque são justamente as plataformas oficiais de um determinado projeto, em que os atacantes se passam por administradores e tentam enganar as vítimas para transferirem tokens às suas carteiras ou falsificando os contratos (os endereços próprios desses projetos) com o mesmo nome do ativo, porém o direcionando para outro local.

Nesse sentido, é fundamental que os usuários se atentem ao fazer qualquer transação, sempre verificando os endereços dos destinatários e certificando-se de que é o mesmo do site oficial do projeto. O sinal de alerta também deve estar ligado para os golpistas que tentam se passar por uma equipe de suporte técnico, induzindo investidores a clicar em links falsos ou compartilhar a tela, expondo a sua palavra-chave.

Dentro dessa lógica, é válido observar que o armazenamento de informações pessoais, como senhas, é o grande chamariz para ataques cibernéticos. Geralmente, os usuários salvam dados em arquivos de texto puro no próprio computador ou até mesmo no seu e-mail, que não possui um segundo fator de autenticação. Isso torna a exposição das carteiras maior, podendo ser acessada por meio da internet e facilitando a ação criminosa. Por isso, a alternativa para evitar essa fragilidade é a chamada cold wallet (“carteira fria“, em português), que é um tipo de carteira de criptomoedas para armazenar os ativos que não está conectada à rede.

Portanto, todas essas questões comprovam que, apesar da grande maioria dos projetos de NFTs apresentarem documentos atestando que foram auditados, a prevenção contra cibercrimes no setor é muito mais abrangente. Dessa forma, é primordial que aqueles que querem começar a investir nesses ativos adentrem o universo com um bom conhecimento prévio ou recorram a empresas especializadas em segurança da informação, que podem ajudar a estruturar uma barreira de proteção enquanto o tema é mais explorado no mundo todo.

Só assim as eventuais vulnerabilidades que podem ser utilizadas por usuários maliciosos a seu favor ficarão expostas com clareza, criando alternativas de combate eficientes.

*Julio Cesar Fort é sócio e Diretor de Serviços Profissionais da Blaze Information Security, uma das principais empresas globais especializadas em segurança ofensiva com foco em pentest  (teste de intrusão) e desenvolvimento seguro contra ataques cibernéticos. Especialista em cibersegurança com quase 20 anos de experiência, o executivo foi o responsável por agregar a equipe de segurança cibernética das Olimpíadas de Londres de 2012 e do banco de investimentos UBS.