El cofundador del motor de juegos de metaverso Web3 “Webaverse” ha revelado que fueron víctimas de un hack criptográfico de $ 4 millones después de reunirse con estafadores que se hacían pasar por inversores en el vestíbulo de un hotel en Roma.
El aspecto extraño de la historia, según el cofundador Ahad Shams, es que la criptografía fue robada de una Trust Wallet recién creada y que el hackeo tuvo lugar durante la reunión en algún momento.
Afirma que los ladrones no pudieron haber visto la clave privada, ni estaba conectado a una red WiFi pública en ese momento.
Los ladrones de alguna manera pudieron obtener acceso mientras tomaban una foto del saldo de la billetera, cree Shams.
La carta que fue compartido en Twitter el 7 de febrero, contiene declaraciones de Webarverse y Shams, que explican que se reunieron con un hombre llamado “Sr. Safra” el 26 de noviembre después de varias semanas de discusiones sobre posibles fondos.
“Nos conectamos con el ‘Sr. Safra’ por correo electrónico y videollamadas y él explicó que quería invertir en emocionantes empresas de Web3”, explicó Shams.
“Explicó que antes había sido estafado por personas en criptografía, por lo que recopiló nuestras identificaciones para KYC, y estipuló como requisito que voláramos a Roma para reunirnos con él porque era importante conocer a IRL para ‘sentirnos cómodos’ con quiénes somos. con los que cada uno estaba haciendo negocios”, agregó.
historia completa https://t.co/vdkAHyBaG9
— 0xngmi (arco agregador) (@0xngmi) 6 de febrero de 2023
Si bien inicialmente se mostró “escéptico”, Sham accedió a reunirse con el “señor Safra” y su “banquero” en persona en el vestíbulo de un hotel en Roma, donde luego mostraría la “prueba de fondos” del proyecto, que según el Sr. Safra era su requisito para comenzar el “papeleo”.
“Aunque a regañadientes aceptamos la ‘prueba’ de Trust Wallet, creamos una nueva cuenta de Trust Wallet en casa usando un dispositivo que no usábamos principalmente para interactuar con ellos. Pensamos que sin nuestras claves privadas o frases iniciales, los fondos estarían seguros de todos modos”, dijo Shams.
Sin embargo, resulta que Sham estaba completamente equivocado:
“Cuando nos conocimos, nos sentamos frente a estos tres hombres y transferimos 4 millones de USDC a Trust Wallet. El “Sr. Safra” pidió ver los saldos en la aplicación Trust Wallet y sacó su teléfono para “tomar algunas fotos”.
Shams explicó que pensó que estaba bien porque no se revelaron claves privadas ni frases semilla al “Sr. Safra”.
Pero después de que el “Sr. Safra” tomara una foto y saliera de la sala de reuniones para consultar a sus colegas bancarios, la tripulación desapareció y Shams vio cómo se desviaban los fondos.
“Nunca más lo volvimos a ver. Minutos después los fondos salieron de la billetera”.
Casi inmediatamente después, Shams denunció el robo en una comisaría local de Roma y, unos días después, presentó un formulario de Denuncia de delitos en Internet (IC3) ante la Oficina Federal de Investigaciones (FBI) de EE. UU.
Shams dijo que todavía no tiene idea de cómo “Mr. Safra” y su equipo de estafa cometieron el exploit:
“La actualización provisional de las investigaciones en curso es que todavía no podemos establecer con confianza el vector de ataque. Los investigadores han revisado la evidencia disponible y se han involucrado en largas entrevistas con las personas relevantes, pero se necesita más información técnica para que lleguen a establecer conclusiones con confianza”.
“Específicamente, necesitamos más información de Trust Wallet con respecto a la actividad en la billetera que se vació para llegar a una conclusión técnica y los estamos buscando activamente para sus registros. Es probable que esto nos brinde una mejor imagen de cómo sucedió esto”, agregó.
Cointelegraph contactó a Shams y este confirmó que no estaba conectado al WiFi del lobby del hotel cuando reveló los fondos en su Trust Wallet.
Relacionado: Solo saca a los estafadores de phishing de tu camino
El cofundador de Webaverse cree que el exploit se llevó a cabo de manera similar a una historia de estafa de NFT compartida por el empresario de NFT Jacob Riglin el 21 de julio de 2021.
Allí, Riglin explicó que se reunió con posibles socios comerciales en Barcelona, demostró que tenía fondos suficientes en su computadora portátil y luego, en 30-40 minutos, los fondos se agotaron.
NFT Scam historia completa;
Después de la respuesta a mis tweets anteriores sobre la estafa de $ 90,000 en la que estuve involucrado, quería compartir más detalles para ayudar a advertir a otros de ser víctimas de ella.
Me contactó Philippe Maloof de Canbury Properties Limited. Dijo que tenía un
— Jacob (@jacobriglin) 21 de julio de 2021
Shams tiene desde compartido la transacción basada en Ethereum donde se explotó su Trust Wallet, señalando que los fondos se “dividieron rápidamente en seis transacciones y se enviaron a seis direcciones nuevas, ninguna de las cuales tenía actividad previa”.
El valor de $ 4 millones de USDC se convirtió casi en su totalidad en Ether (ETH), Bitcoin envuelto (wBTC) y Tether (USDT) a través de la función de intercambio de direcciones de 1 pulgada.
Shams admitió que “el evento me persigue hasta el día de hoy” y que el exploit de $ 4 millones es “sin duda un revés” para Webaverse.
Sin embargo, enfatizó que el exploit de $ 4 millones y la investigación pendiente no tendrán impacto en los compromisos y planes a corto plazo de la empresa:
“Tenemos una pista suficiente de 12 a 16 meses según nuestros pronósticos actuales y estamos bien encaminados para cumplir con nuestros planes”.
Cointelegraph también se ha comunicado con Trust Wallet para hacer comentarios.