O mundo das criptomoedas e dos NFTs sempre atraiu oportunistas, mas recentemente um antigo golpe voltou à tona nas comunidades de criptomoedas e jogos — o chamado ataque “tente meu jogo“.
A tática pode parecer inofensiva à primeira vista, mas já custou às vítimas quantias altíssimas, incluindo a artista de NFTs e usuária de criptomoedas Princess Hypio, que relatou ter perdido US$ 170.000 em ativos digitais em agosto após cair no esquema.
No caso dela, um golpista fez amizade com ela no Discord e a convidou para experimentar um novo jogo que supostamente estavam desenvolvendo.
Enquanto ela jogava casualmente no Steam, sem saber o que estava acontecendo, o invasor esvaziava suas carteiras e assumia o controle de sua conta no Discord.
De acordo com Hypio, pelo menos três de seus amigos foram alvos de ataques semelhantes, ressaltando que este não é um incidente isolado, mas parte de uma tendência crescente.
O golpe em si não é novo. Relatos do método “tente meu jogo” circulam em vários fóruns online há anos.
O que mudou foi sua adoção no espaço de criptomoedas e Web3, onde ativos como NFTs e carteiras de criptomoedas se tornam alvos lucrativos.
Nick Percoco, diretor de segurança da Kraken, explicou ao Cointelegraph que os invasores se integram às comunidades do Discord, observando discretamente como os membros interagem.
Assim que identificam indivíduos que detêm ativos valiosos, eles criam confiança antes de aplicar o golpe.
Normalmente, o golpista faz perguntas para avaliar que tipo de tokens ou NFTs uma pessoa possui.
No caso de Hypio, sua coleção de NFTs Milady chamou a atenção do invasor.
Assim que o alvo é identificado, o golpista envia um link para baixar um jogo.
O jogo em si pode parecer inofensivo, mas o download geralmente contém um malware Trojan hospedado em um servidor malicioso.
Esse malware fornece ao invasor acesso ao computador da vítima, permitindo que ele extraia dados pessoais e, mais importante, comprometa quaisquer carteiras de criptomoedas conectadas.
O que torna o golpe particularmente perigoso não é sua sofisticação técnica, mas sua exploração da psicologia humana.
Percoco foi claro:
“Esses golpes não exploram código; eles exploram a confiança.”
Os invasores aprendem a gíria, imitam a cultura da comunidade e até se passam por amigos para desarmar seus alvos.
Gabi Urrutia, diretor de segurança da informação da Halborn, descreveu o método como um híbrido de engenharia social e implantação de malware.
Embora não seja tão difundido quanto o phishing, ele observou que é cada vez mais comum em comunidades da Web3 e de jogos, onde a confiança entre pares é alta e os ativos em jogo podem valer milhares de dólares.
Usuários em plataformas como Reddit e fóruns do Malwarebytes também relataram ter caído nesse esquema.
Em alguns casos, as vítimas não apenas tiveram suas criptomoedas roubadas, como também enfrentaram pedidos de ransomware.
Apesar dos esforços recentes do Discord para reforçar sua política contra práticas enganosas, a plataforma continua sendo um campo de caça favorito para esses golpistas, justamente por sua natureza voltada para a comunidade.
Especialistas em segurança enfatizam que a defesa contra esse tipo de golpe requer vigilância pessoal e mudança cultural dentro das comunidades.
Do ponto de vista individual, Percoco aconselha a prática de “ceticismo saudável“: confirmar identidades por meio de um canal separado, evitar downloads desconhecidos e lembrar que “não fazer nada é mais seguro do que dar um passo arriscado”.
Urrutia acrescenta que hábitos como pausar antes de assinar transações, manter as atividades de jogo e carteira separadas e minimizar os privilégios do dispositivo podem reduzir significativamente o risco.
Do ponto de vista da comunidade, medidas como restringir mensagens diretas de estranhos, verificar novos membros e promover a conscientização sobre segurança podem ajudar a criar defesas mais fortes.
No entanto, como Urrutia apontou, o desafio é mais cultural do que tecnológico.
As pessoas devem aprender a priorizar a cautela em espaços construídos com base na abertura e na confiança.
Embora o golpe “tente meu jogo” esteja em ascensão, não é a única ameaça direcionada a usuários de criptomoedas.
Percoco observou que campanhas falsas de recrutamento, frequentemente vinculadas a agentes de ameaças norte-coreanos, se espalharam. Elas envolvem ofertas de emprego falsas, projetadas para induzir os candidatos a baixar malware que rouba credenciais e senhas de carteiras.
Da mesma forma, golpes que exploram assinaturas cegas e phishing de aprovação continuam a evoluir.
Um caso notável deste ano envolveu a Bybit, onde invasores abusaram da má gestão de permissões para desviar fundos.
O ponto em comum entre todos esses ataques é que eles raramente envolvem a quebra de defesas técnicas. Em vez disso, os golpistas convencem os usuários a baixar a guarda e entregar as chaves eles mesmos.
No setor de criptomoedas, onde a propriedade está diretamente ligada ao controle das chaves privadas, as consequências de um único lapso de julgamento podem ser catastróficas.
À medida que a Web3 cresce e mais ativos de alto valor migram para carteiras digitais, golpes como esses se tornarão cada vez mais tentadores para os invasores.
Manter-se seguro requer não apenas tecnologia segura, mas também uma cultura de vigilância — uma cultura em que cada convite, download ou oferta considerada boa demais para ser verdade é encarada com suspeita.
