A MetaMask negou ter enviado uma mensagem on-chain amplamente compartilhada que parecia zombar de Jaredfromsubway, o operador de MEV do Ethereum cujos fundos foram esvaziados em US$ 15 milhões em um exploit de honeypot.
O provedor da carteira esclareceu que a mensagem veio de um nome do Ethereum Name Service (ENS) semelhante, e não de nenhum de seus endereços oficiais. O equívoco expôs uma falha de design na forma como os nomes ENS são exibidos na maioria das plataformas.
Falsificação de ENS por trás da confusão com o nome do MetaMask
A maioria das plataformas converte os handles ENS para minúsculas antes de exibi-los. Essa convenção oculta uma diferença crítica. “MetaMask.eth” com letras maiúsculas e o verdadeiro “metamask.eth” parecem idênticos para a maioria dos usuários. Contudo, os dois nomes são resolvidos para endereços totalmente diferentes na cadeia.
O nome imitado rejeitou a ameaça legal de Jaredfromsubway, argumentando que a ação judicial não resistiria em tribunal. O MetaMask confirmou no X que não teve envolvimento na mensagem.
MetaMask esclarece seu papel após a exploração de Jaredfromsubway
Jaredfromsubway já havia oferecido ao atacante um acordo de 50% white hat com prazo de 48 horas. Ele ameaçou tomar ação legal se os fundos não fossem devolvidos. A história do Ethereum MEV bot drain atraiu grande atenção em toda a comunidade DeFi. Essa visibilidade tornou o incidente um alvo de alto valor para impostores.
O atacante não demonstrou qualquer sinal de aceitar o acordo. Os dados on-chain mostram que US$ 5,1 milhões dos US$ 7,5 milhões roubados já foram transferidos para o Tornado Cash. Os fundos entraram como 2.000 ETH divididos em 20 transações de 100 ETH cada. O atacante também trocou os 1.422 ETH restantes por US$ 2,44 milhões em DAI, segundo um analista da blockchain.
A exploração do MEV bot honeypot levantou novas questões sobre os riscos que operadores de MEV enfrentam em um ambiente competitivo. No entanto, a imitação do MetaMask introduz uma preocupação separada, não relacionada aos mecanismos de MEV. Ela reflete uma vulnerabilidade no sistema de nomeação que qualquer usuário de ethereum pode enfrentar.
Falha no design do ENS expõe usuários do ethereum
Os nomes ENS seguem um padrão de normalização que converte todos os caracteres maiúsculos para minúsculos. O processo torna os nomes insensíveis a maiúsculas e minúsculas no nível de exibição, mas os registros ainda distinguem entre diferentes combinações de caso. Assim, um agente malicioso que registrou “MetaMask.eth” detém um nome ENS tecnicamente válido com uma reivindicação tecnicamente válida.
O ENS não bloqueia registros de nomes que diferem dos existentes apenas na capitalização. Agentes de ameaças podem registrar nomes semelhantes com antecedência e ativá-los durante momentos de grande destaque. A onda mais ampla de ataques de criptomoeda em junho já expôs padrões semelhantes de engenharia social ligados a incidentes públicos.
Um padrão mais amplo na segurança DeFi
Enquanto isso, esforços de segurança em criptomoedas ao nível executivo concentram-se principalmente em padrões criptográficos. Vulnerabilidades de nomeação na camada de exibição caem em grande parte fora desse escopo regulatório, deixando uma lacuna que desenvolvedores e provedores de carteiras devem resolver independentemente.
O incidente do MetaMask se encaixa em um padrão visível em todo o DeFi. Atacantes exploram consistentemente a lacuna entre o que as interfaces exibem e o que os protocolos realmente executam. Perdas de protocolos de empréstimo DeFi refletem a mesma dinâmica em nível estrutural. Enquanto a indústria não fechar essas lacunas, a imitação na camada de exibição permanecerá um vetor de ataque de baixo custo e alto retorno.