Como Você é Hackeado: Um Guia de Usuários de Cripto para Exploits

intermediário6/5/2025, 1:24:34 AM
Este artigo fornece uma análise detalhada dos métodos de ataque comuns que visam usuários de cripto, incluindo phishing, malware e ataques de engenharia social. Também revela como esses ataques operam e se espalham por meio de estudos de caso do mundo real.

Resumo

  • A maioria dos usuários de cripto não é hackeada por meio de explorações complexas, mas sim por clicar, assinar ou confiar na coisa errada. Este relatório analisa como essas falhas cotidianas acontecem.
  • De kits de phishing e drenadores de carteira a malware e golpes de suporte falso, a maioria dos ataques visa os usuários diretamente, não os protocolos, tornando o contexto humano o fio comum, não o código.
  • Este relatório descreve o 101 dos exploits cripto na medida em que se refere a usuários individuais, cobrindo uma lista de exploits comuns, bem como exemplos da vida real e o que observar.

1. Precisamos saber: Você é a superfície de ataque

Cripto é auto-custodial por design. Essa é a característica. Mas esse atributo fundamental, que é central aos valores da indústria, pode muitas vezes fazer de você, o usuário, um ponto único de falha. Em muitos casos de indivíduos perdendo seus fundos em cripto, não é um erro no protocolo: é um clique. Uma DM. Uma aprovação. Um momento de confiança ou descuido ao realizar uma tarefa cotidiana aparentemente não consequente que pode alterar o curso das experiências de cripto de alguém.

Este relatório não é um whitepaper técnico ou uma análise da lógica de contratos inteligentes, mas sim um modelo de ameaça para indivíduos. Uma análise de como os usuários são explorados na prática e o que fazer a respeito. O relatório se concentrará em explorações em nível pessoal: phishing, aprovações de carteira, engenharia social, malware. Também abordará brevemente os riscos em nível de protocolo no final, para fornecer uma visão do espectro de explorações que acontecem em cripto.

2. O Playbook Completo de Exploração (Meio que)

A natureza permanente e irreversível das transações que ocorrem em ambientes sem permissão, muitas vezes sem a intervenção de intermediários, combinada com o fato de que os usuários individuais são responsáveis por interagir com contraparte anônimas nos mesmos dispositivos e navegadores que mantêm ativos financeiros, torna o cripto um terreno de caça único para hackers e outros criminosos. Abaixo está uma lista extensa dos tipos de explorações que os indivíduos podem enfrentar, mas os leitores devem estar cientes de que, embora esta lista cubra a maioria das explorações, ela não é exaustiva. A lista pode ser avassaladora para aqueles que não estão familiarizados com cripto, mas uma boa parte delas são explorações "regulares" que aconteceram há bastante tempo na era da internet e não são exclusivas deste setor. §3 abordará alguns métodos-chave de exploração em detalhes.

2.1 Ataques de Engenharia Social

Ataques que dependem de manipulação psicológica para enganar indivíduos a comprometerem sua segurança.

  • Phishing: E-mails, mensagens ou sites falsos imitam plataformas reais para roubar credenciais ou frases-semente (mais em §3).
  • Golpes de Impersonação: Os atacantes se fazem passar por influenciadores, líderes de projetos ou suporte ao cliente para ganhar confiança e extrair fundos ou informações sensíveis.
  • Golpes de Frase Semente: Usuários são enganados a revelar frases de recuperação por meio de ferramentas de recuperação falsas ou sorteios.
  • Airdrops Falsos: Atrair usuários com tokens gratuitos para incentivar interações inseguras com carteiras ou compartilhamento de chaves privadas.
  • Ofertas de Trabalho Falsas: Disfarçadas como oportunidades de emprego, mas voltadas para instalar malware ou coletar dados sensíveis.
  • Esquemas de Pump-and-Dump: Esforços coordenados socialmente para promover e despejar tokens em participantes de varejo desavisados.

Figura 1: As consequências da engenharia social podem ser muito severas
Fonte: Cointelegraph

2.2 Telecom e Assunção de Conta

Explorando fraquezas na infraestrutura de telecomunicações ou a nível de conta para contornar a autenticação.

  • Troca de SIM: Ataques em que os invasores sequestram o número de celular da vítima para interceptar códigos de 2FA e redefinir credenciais de conta (mais em §3).
  • Credential Stuffing: Reutilizando credenciais vazadas de brechas para acessar carteiras ou contas de corretoras.
  • Bypass de 2FA: Explorando autenticação fraca ou baseada em SMS para obter acesso não autorizado.
  • Sequestro de Sessão: Roubo de sessões de navegador através de malware ou redes não seguras para assumir contas logadas.

Figura 2: Um tweet falso da SEC via uma troca de SIM
Fonte: Twitter

2.3 Malware & Exploits de Dispositivos

Comprometer o dispositivo do usuário para extrair o acesso à carteira ou manipular transações (mais em §3).

  • Keyloggers: Registram toques de tecla para roubar senhas, PINs e frases-semente.
  • Sequestradores de Área de Transferência: Substitua os endereços de carteira colados por aqueles controlados por atacantes.
  • Trojans de Acesso Remoto (RATs): Permitem que atacantes tenham controle total da máquina de uma vítima, incluindo carteiras.
  • Extensões de Navegador Maliciosas: Extensões comprometidas ou falsas roubam dados ou manipulam transações.
  • Wallets ou Apps Falsos: Aplicativos falsificados (móveis ou de navegador) que drenam fundos ao serem utilizados.
  • Ataques Man-in-the-Middle (MITM): Interceptar e modificar a comunicação entre o usuário e o serviço, especialmente em redes inseguras.
  • Ataques a Wi-Fi Não Seguro: Wi-Fi público ou comprometido permite a interceptação de dados sensíveis durante logins ou transferências.

Figura 3: Carteiras falsas são um golpe comum que visa usuários iniciantes de cripto
Fonte: cryptorank

2.4 Exploits em Nível de Carteira

Ataques que visam como os usuários gerenciam ou interagem com carteiras e interfaces de assinatura.

  • Drenagens de Aprovação: Contratos inteligentes maliciosos exploram aprovações de token anteriores para drenar tokens.
  • Ataques de Assinatura Cega: Usuários assinam cargas obscuras que resultam na perda de fundos (por exemplo, de carteiras de hardware).
  • Furto de Frase Semente: Exfiltração de frases de recuperação via malware, phishing ou higiene de armazenamento inadequada.
  • Chaves Privadas Comprometidas: Armazenamento inseguro (por exemplo, em drives na nuvem ou notas em texto simples) levando ao vazamento de chaves.
  • Carteras de Hardware Comprometidas: Dispositivos adulterados ou falsificados vazam chaves privadas para atacantes.

2.5 Riscos de Contratos Inteligentes & Nível de Protocolo

Riscos decorrentes de interações com código on-chain malicioso ou vulnerável.

  • Contratos Inteligentes Maliciosos: Lógica maliciosa oculta que drena fundos quando interagido.
  • Ataques de Empréstimos Rápidos: Explorações usando empréstimos não garantidos para manipular preços ou a lógica do protocolo.
  • Manipulação de Oracle: O atacante distorce as fontes de preço para explorar protocolos que dependem de dados falhos.
  • Saídas de Golpes de Liquidez: Criadores projetam tokens/pools onde apenas eles podem retirar valor, deixando os usuários presos.
  • Ataques Sybil: Identidades falsas distorcem sistemas descentralizados, particularmente a governança ou a elegibilidade para airdrops.

Figura 4: Um empréstimo relâmpago foi responsável por um dos maiores exploits do DeFi
Fonte: Elliptic

2.6. Fraudes de Manipulação de Projetos e Mercados

Golpes ligados à estrutura de tokens, projetos DeFi ou coleções de NFTs.

  • Rug Pulls: Fundadores do projeto desaparecem após levantar capital, deixando tokens sem valor para trás.
  • Projetos Falsos: Coleções fraudulentas atraem usuários para golpes de mintagem ou para assinar transações prejudiciais.
    Ataques de Poeira: Transferências minúsculas de tokens usadas para desanonimizar carteiras e identificar alvos para phishing ou golpes.

2.7. Ataques à Web e Infraestrutura

Explorando a infraestrutura de front-end ou de nível DNS na qual os usuários confiam.

  • Desvios de Front-End / Spoofing de DNS: Os atacantes redirecionam os usuários para interfaces maliciosas para roubar credenciais ou induzir transações inseguras.
  • Explorações de Pontes: Hacks de pontes entre cadeias que comprometem os fundos dos usuários durante a transferência.

2.8. Ameaças físicas

Riscos do mundo real envolvendo coerção, roubo ou vigilância.

  • Ataque de chave inglesa de $ 5: As vítimas são fisicamente coagidas a transferir fundos ou revelar frases iniciais.
  • Roubo Físico: Dispositivos ou backups (por exemplo, carteiras de hardware, cadernos) são roubados para obter acesso.
  • Shoulder Surfing: Observando ou filmando usuários inserindo dados sensíveis em ambientes públicos ou privados.

Figura 5: Infelizmente, ameaças físicas têm sido comuns
Fonte: The New York Times

3. Exploits Chave para Ficar de Olho

Alguns exploits acontecem mais do que outros. Aqui estão três exploits que indivíduos que possuem ou interagem com cripto devem conhecer, incluindo como preveni-los. Uma agregação de técnicas de prevenção e atributos-chave a serem observados será listada no final da seção, pois há sobreposições entre os vários métodos de exploit.

3.1 Phishing (Incluindo Carteiras Falsas & Airdrops)

O phishing precede o cripto por décadas e o termo surgiu na década de 1990 para descrever atacantes "pescando" informações sensíveis, geralmente credenciais de login, por meio de e-mails e sites falsos. À medida que o cripto emergiu como um sistema financeiro paralelo, o phishing naturalmente evoluiu para atacar frases-semente, chaves privadas e autorizações de carteira, ou seja, os equivalentes cripto de "controle total".

Phishing de Cripto é especialmente perigoso porque não há recurso: sem estornos, sem proteção contra fraudes e sem suporte ao cliente que possa reverter uma transação. Uma vez que sua chave é roubada, seus fundos estão praticamente perdidos. Também é importante lembrar que o phishing às vezes é apenas o primeiro passo em uma exploração mais ampla, tornando o risco real não a perda inicial, mas a longa sequência de compromissos que se seguem, por exemplo, credenciais comprometidas podem permitir que um atacante se passe pela vítima e enganem outros.

Como funciona o phishing?

No seu cerne, o phishing explora a confiança humana ao apresentar uma versão falsa de uma interface confiável, ou ao se passar por alguém autoritário, para enganar os usuários a entregarem voluntariamente informações sensíveis ou aprovarem ações maliciosas. Existem vários vetores de entrega principais:

  • Sites de Phishing
    • Versões falsas de carteiras (por exemplo, MetaMask, Phantom), exchanges (por exemplo, Binance) ou dApps.
    • Frequentemente promovido através de anúncios no Google ou compartilhado via grupos do Discord/Twitter, projetado para parecer idêntico ao site real, pixel por pixel.
    • Os usuários podem ser solicitados a "importar uma carteira" ou "recuperar fundos", colhendo sua frase-semente ou chave privada.
  • E-mails & Mensagens de Phishing
    • Parecer comunicação oficial (por exemplo, "atualização de segurança urgente" ou "conta comprometida").
    • Inclua links para portais de login falsos ou direcione você a interagir com tokens ou contratos inteligentes maliciosos.
    • Comum no Telegram, Discord, DMs do Twitter e até mesmo SMS.
  • Carteiras Falsas ou Extensões de Navegador
    • Disponível nas lojas de aplicativos ou como extensões do Chrome.
    • Imitam funcionalmente carteiras reais, mas encaminham sua chave privada ou dados de transação para atacantes.
    • Alguns até permitem que você transfira fundos apenas para serem drenados minutos depois.
  • Golpes de Airdrop
    • Quedas de tokens falsos enviadas para carteiras (especialmente em cadeias EVM).
    • Clicar no token ou tentar negociá-lo provoca uma interação com um contrato malicioso.
    • Pode solicitar silenciosamente aprovações de token ilimitadas ou roubar seu token nativo por meio de uma carga útil assinada.

Figura 6: Sempre tenha cautela quando você ver "grátis" em cripto
Fonte: Presto Research

Exemplos de phishing
O hack do Atomic Wallet em junho de 2023, atribuído ao Grupo Lazarus da Coreia do Norte, se destaca como um dos ataques de phishing puro mais destrutivos na história do cripto. Ele resultou no roubo de mais de $100 milhões em criptomoeda ao comprometer mais de 5.500 carteiras não custodiadas sem exigir que os usuários assinassem transações maliciosas ou interagissem com contratos inteligentes. Este ataque se concentrou exclusivamente na extração de frases-semente e chaves privadas por meio de interfaces enganosas e malware - um exemplo clássico de roubo de credenciais baseado em phishing.
Atomic Wallet é uma carteira multi-chain e não-custodial que suporta mais de 500 Criptomoedas. Neste incidente, os atacantes lançaram uma campanha de phishing coordenada que explorou a confiança que os usuários depositavam na infraestrutura de suporte da carteira, nos processos de atualização e na identidade da marca. As vítimas foram atraídas por meio de e-mails, sites falsos e atualizações de software trojanizadas, todas projetadas para imitar comunicações legítimas da Atomic Wallet.

Os vetores de phishing incluíam:

  • E-mails falsos se passando pelo suporte da Atomic Wallet ou alertas de segurança, pedindo ação urgente.
  • Sites falsificados (por exemplo, atomic-wallet[.]co) que imitava a interface de recuperação da carteira ou de reivindicação de recompensa.
  • Atualizações maliciosas distribuídas através do Discord, e-mail e fóruns comprometidos, que direcionavam os usuários para páginas de phishing ou extraíam credenciais via malware local.

Uma vez que os usuários inseriram suas frases-semente de 12 ou 24 palavras ou chaves privadas nessas interfaces fraudulentas, os atacantes obtiveram acesso total às suas carteiras. Esta exploração não envolveu nenhuma interação on-chain da vítima: nenhuma conexão de carteira, nenhum pedido de assinatura e nenhuma envolvimento de contrato inteligente. Em vez disso, baseou-se inteiramente em engenharia social e na disposição do usuário em restaurar ou verificar sua carteira em uma plataforma que parecia confiável.

3.2 Drenadores de Carteira & Aprovações Maliciosas

Um drainer de carteira é um tipo de contrato inteligente malicioso ou dApp projetado para extrair ativos da sua carteira, não roubando sua chave privada, mas enganando você para autorizar o acesso a tokens ou assinar transações perigosas. Ao contrário do phishing, que busca suas credenciais, os drainers exploram permissões - o mecanismo elemental de confiança que impulsiona o Web3.

À medida que os aplicativos DeFi e Web3 se tornaram populares, carteiras como MetaMask e Phantom popularizaram a ideia de "conectar" a dApps. Isso trouxe conveniência, mas também uma enorme superfície de ataque. De 2021 a 2023, os drenos de aprovação explodiram em popularidade por meio de mintagens de NFT, airdrops falsos e dApps que foram rug-pulled, começaram a embutir contratos maliciosos em UIs de outra forma familiares. Os usuários, muitas vezes animados ou distraídos, conectavam suas carteiras e clicavam em "Aprovar" sem perceber o que estavam autorizando.

Como isso é diferente de phishing?
Phishing envolve enganar alguém para revelar voluntariamente credenciais sensíveis, como uma frase-semente, senha ou chave privada. Conectar sua carteira não revela suas chaves ou frases, pois você não está entregando segredos, você está assinando transações ou concedendo permissões. Esses exploits ocorrem por meio da lógica de contratos inteligentes, não pelo roubo de suas credenciais, tornando-os mecanicamente diferentes do phishing. Você está autorizando o esvaziamento, muitas vezes sem perceber, o que é mais parecido com uma "armadilha de consentimento" do que com o roubo de credenciais.
Você pode pensar em phishing como baseado em CREDENCIAIS e drenadores de carteira / aprovações maliciosas como baseadas em PERMISSÕES.

A mecânica do ataque
Aprovações maliciosas exploram os sistemas de permissão em padrões de blockchain como ERC-20 (tokens) e ERC-721/ERC-1155 (NFTs). Elas enganam os usuários para conceder acesso contínuo aos atacantes sobre seus ativos.

  • Noções básicas de aprovação de token:
    • Tokens ERC-20: A função approve(address spender, uint256 amount) permite que um “spender” (por exemplo, um DApp ou atacante) transfira uma quantidade especificada de tokens da carteira do usuário.
    • NFTs: A função setApprovalForAll(endereço operador, bool aprovado) concede a um "operador" permissão para transferir todos os NFTs em uma coleção.
    • Essas aprovações são padrão para DApps (por exemplo, Uniswap precisa de aprovação para trocar tokens), mas os atacantes as exploram maliciosamente.
  • Como os atacantes obtêm aprovação:
    • Prompts enganosos: Um site de phishing ou DApp comprometido solicita ao usuário que assine uma transação rotulada como “conexão de carteira”, “troca de token” ou “reivindicação de NFT”. A transação na verdade chama approve ou setApprovalForAll para o endereço do atacante.
    • Aprovações ilimitadas: Os atacantes frequentemente solicitam limites de token ilimitados (por exemplo, uint256.max) ou setApprovalForAll(true), dando-lhes controle total sobre os tokens ou NFTs do usuário.
    • Assinatura Cega: Alguns DApps exigem a assinatura de dados opacos, tornando difícil identificar aprovações maliciosas. Mesmo com carteiras de hardware como a Ledger, os detalhes exibidos podem parecer benignos (por exemplo, “Aprovar Token”), mas ocultam a intenção do atacante.
  • Exploração:
    • Roubo imediato: O atacante usa a aprovação para transferir tokens/NFTs para sua carteira logo após a transação.
    • Furto atrasado: O atacante espera (às vezes semanas ou meses) para drenar ativos, reduzindo a suspeita. Por exemplo, um atacante com setApprovalForAll pode transferir NFTs sempre que quiser.
    • Ataques em massa: Drainers como Angel Drainer escaneiam por aprovações em várias carteiras e drenam-nas em massa durante pumps de mercado ou lançamentos de NFTs de alto valor.

Exemplos de drenadores de carteira / aprovações maliciosas
O golpe Monkey Drainer, ativo principalmente em 2022 e no início de 2023, foi uma notória ferramenta de phishing "drainer-as-a-service" responsável por roubar milhões em cripto (incluindo NFTs) através de sites enganosos e contratos inteligentes maliciosos. Ao contrário do phishing tradicional, que se baseia na coleta de frases-semente ou senhas dos usuários, o Monkey Drainer operava por meio de assinaturas de transação maliciosas e abuso de contratos inteligentes, permitindo que os atacantes extraíssem tokens e NFTs sem comprometer diretamente as credenciais. Ao enganar os usuários para que assinassem aprovações perigosas na blockchain, o Monkey Drainer possibilitou mais de $4,3 milhões em roubos em centenas de carteiras antes de seu encerramento no início de 2023.

Figura 7: O famoso detetive on-chain ZachXBT revela os golpes do Monkey Drainer
Fonte: Twitter (@zachxbt)

O kit era popular entre atacantes de baixa habilidade e amplamente comercializado em comunidades clandestinas do Telegram e da dark web. Ele permitia que afiliados clonassem sites de mintagem falsos, impersonificassem projetos reais e configurassem o backend para encaminhar transações assinadas para um contrato centralizado de drenagem. Esses contratos foram projetados para explorar permissões de token, dependendo dos usuários para assinarem inadvertidamente mensagens que concediam ao endereço do atacante acesso a ativos por meio de funções como setApprovalForAll() (NFTs) ou permit() (tokens ERC-20).

Notavelmente, o fluxo de interação evitou phishing direto: as vítimas não foram solicitadas a fornecer suas chaves privadas ou frases-semente. Em vez disso, elas interagiram com dApps aparentemente legítimos, muitas vezes em páginas de mintagem com contagens regressivas ou marcas hypeadas. Uma vez conectados, os usuários eram solicitados a assinar uma transação que não compreendiam completamente, frequentemente mascarada por uma linguagem de aprovação genérica ou ofuscação da interface da carteira. Essas assinaturas não transferiam fundos diretamente, mas autorizavam o atacante a fazê-lo a qualquer momento. Com permissões concedidas, o contrato drainer poderia executar retiradas em lote em um único bloco.

Uma característica do método Monkey Drainer era sua execução atrasada: os ativos roubados eram frequentemente drenados horas ou dias depois, para evitar suspeitas e maximizar o rendimento. Isso o tornava particularmente eficaz contra usuários com grandes carteiras ou atividades de negociação ativas, cujas aprovações se misturavam aos padrões normais de uso. As vítimas de alto perfil incluíam colecionadores de NFT que perderam ativos de projetos como CloneX, Bored Apes e Azuki.

Embora o Monkey Drainer tenha encerrado suas operações em 2023, presumivelmente para "ficar na moita", a era dos drenos de carteira continua a evoluir, representando uma ameaça persistente para os usuários que não compreendem ou subestimam o poder de uma aprovação on-chain.

3.3 Malware e Exploits de Dispositivo

Finalmente, ‘malware e explorações de dispositivos’ referem-se a uma ampla e versátil gama de ataques que abrangem vários vetores de entrega, todos com o objetivo de comprometer o computador, telefone ou navegador de um usuário, geralmente por meio de software malicioso instalado via engano. O objetivo geralmente é roubar informações sensíveis (por exemplo, frases-semente, chaves privadas), interceptar interações de carteira ou dar ao atacante controle remoto do dispositivo da vítima. Em cripto, esses ataques geralmente começam com engenharia social, como uma oferta de emprego falsa, uma atualização de aplicativo falsa ou um arquivo enviado via Discord, mas rapidamente se escalonam para um comprometimento total do sistema.

O malware existe desde os primeiros dias da computação pessoal. Em contextos tradicionais, era usado para roubar informações de cartões de crédito, coletar logins ou sequestrar sistemas para spam ou ransomware. À medida que o cripto ganhou força, os atacantes mudaram de estratégia: em vez de direcionar credenciais para bancos online (que podem ser revertidas), agora visam roubar ativos cripto irreversíveis.

Como Esses Ataques Começam… O Ângulo da Engenharia Social

A maioria dos malwares não se espalha aleatoriamente: ela requer que a vítima seja enganada para executá-lo. É aqui que a engenharia social entra.

Métodos de Entrega Comuns:

  • Ofertas de Emprego Falsas: A vítima se candidata a um emprego falso em Web3, recebe um "teste técnico" ou "link de entrevista" contendo malware.
  • Links do Discord ou Telegram: Enviados como "ferramentas de sorteio", "capturas de tela" ou arquivos de suporte falsos.
  • Anexos de Email: Currículo, whitepaper ou formatos de fatura (PDF, .docx, .exe) que contêm código malicioso.
  • Atualizações Falsas: Pop-ups ou sites falsificados oferecendo "última versão do MetaMask/Phantom".
  • Downloads automáticos: Simplesmente visitar um site pode acionar um payload em segundo plano, especialmente em navegadores desatualizados.

O fio comum: O atacante cria um contexto convincente que convence o usuário a clicar, baixar ou abrir algo perigoso.

Tipos de Malware Comuns em Explorações Cripto

  • Keyloggers: Registram cada tecla digitada, incluindo frases-semente, senhas e PINs. Especialmente perigosos se o usuário digitar sua frase-semente em um editor de texto, login de exchange ou campo de recuperação de carteira.
  • Sequestradores de Área de Transferência: Monitoram endereços de carteira copiados e os substituem pelo endereço do atacante ao colá-los. As vítimas muitas vezes não percebem e enviam fundos, pensando que colaram seu próprio endereço, mas ele já foi trocado.
  • Trojan de Acesso Remoto (RATs): Dão ao atacante controle total sobre o dispositivo da vítima. Isso inclui ler arquivos, assistir telas, capturar sessões de navegador e até exportar frases-semente diretamente de aplicativos de carteira como Exodus ou carteiras baseadas em navegador.
  • Carteiras ou Aplicativos Falsos: Parecem carteiras legítimas, mas estão carregadas com código malicioso. Comuns em sites de APK do Android ou lojas de extensões do Chrome. Algumas parecem funcionais até que você envie fundos ou restaure uma semente, momento em que os fundos são exfiltrados.
  • Extensões de Navegador Maliciosas: Comprometer ou imitar extensões cripto reais para monitorar atividades, injetar cargas maliciosas ou solicitar pedidos de assinatura falsos. Elas geralmente pedem permissões extensas sob o pretexto de "integração de carteira".
  • Infraestrutura Man-in-the-Middle (MITM): O malware configura um proxy ou sequestro de DNS para interceptar e manipular o tráfego entre você e a web, incluindo troca de endereços ou redirecionamento de transações assinadas.

Exemplo: O Golpe de Emprego Axie Infinity 2022

O golpe de trabalho Axie Infinity de 2022, que levou ao maciço hack do Ronin Bridge, é um exemplo primário de um malware e exploração de dispositivos no espaço cripto, impulsionado por engenharia social sofisticada. Este ataque, atribuído ao grupo Lazarus patrocinado pelo estado norte-coreano, resultou no roubo de aproximadamente $620 milhões em criptomoedas, tornando-se um dos maiores hacks de finanças descentralizadas (DeFi) até hoje.

Figura 8: O exploit do Axie Infinity chegou à mídia TradFi
Fonte: Bloomberg TV

O hack foi uma operação de múltiplas etapas combinando engenharia social, implantação de malware e exploração de vulnerabilidades da infraestrutura de blockchain.

Os hackers, se passando por recrutadores de uma empresa fictícia, miraram os funcionários da Sky Mavis através do LinkedIn: a Sky Mavis é a empresa por trás da Ronin Network, uma sidechain ligada ao Ethereum que alimenta o Axie Infinity, um popular jogo de blockchain do tipo play-to-earn. Na época, Ronin e Axie Infinity tinham respectivas capitalizações de mercado de cerca de $300 milhões e $4 bilhões.

Vários funcionários foram abordados, mas um engenheiro sênior se tornou o alvo principal, com o qual os atacantes realizaram várias rodadas de entrevistas de emprego falsas para construir confiança, oferecendo um pacote de compensação extremamente generoso para atrair o engenheiro. Os atacantes enviaram um documento PDF, disfarçado como uma oferta de emprego formal, para o engenheiro. O engenheiro, acreditando que fazia parte do processo de contratação, baixou e abriu o arquivo em um computador da empresa. O PDF continha um RAT que infectou o sistema do engenheiro ao ser aberto, concedendo aos hackers acesso aos sistemas internos da Sky Mavis, provavelmente através de elevação de privilégios ou movimento lateral dentro da rede. Essa violação forneceu uma base para atacar a infraestrutura da Ronin Network.

A mecânica do hack que continuou a explorar a ponte Ronin e o Axie DAO está além do escopo deste artigo de pesquisa, no entanto, esse exploit resultou em um roubo de $620 milhões (173.600 ETH e 25,5MM USDC) com apenas $30 milhões recuperados.

4. Como se Proteger

As tentativas de exploração estão cada vez mais sofisticadas, mas ainda dependem de sinais reveladores. Sinais de alerta incluem:

  • “Importe sua carteira para reivindicar X”: Nenhum serviço legítimo jamais pedirá sua frase-semente.
  • DMs não solicitados: Especialmente oferecendo apoio, dinheiro ou ajuda com um problema que você não pediu.
  • Domínios ligeiramente incorretos: Ex: metamask.io vs metarnask.io.
  • Google Ads: Links de phishing frequentemente aparecem acima do link real nos resultados de busca.
  • Ofertas boas demais para serem verdade: Como promoções de "reclame 5 ETH" ou "dobre suas moedas".
  • Urgência ou táticas de medo: “Sua conta foi bloqueada”, “Reclame agora ou perca fundos”.
  • Aprovações de Token Ilimitadas: Os usuários devem definir os valores dos tokens por conta própria.
  • Solicitações de Assinatura Cega: Payloads Hex sem explicação legível.
  • Contratos não verificados ou obscuros: Se um token ou dApp é novo, verifique o que você está aprovando.
  • Urgentes Mensagens de UI: Táticas clássicas de pressão como “Você deve assinar isso agora ou perder a oportunidade”.
  • Pop-ups de Assinatura do MetaMask: Especialmente com cargas úteis pouco claras, transações sem gás, ou uma mistura de chamadas de função que você não entende.

Regras adicionais de OpSec (segurança operacional):

  • Regras de Ouro
    • Nunca compartilhe sua frase-semente com ninguém, por qualquer motivo.
    • Adicione aos favoritos os sites oficiais: Sempre navegue diretamente. Nunca use motores de busca para carteiras ou exchanges.
    • Não clique em tokens de airdrop aleatórios: Especialmente se você não optou por participar.
    • Evite DMs não solicitadas: Projetos legítimos RARAMENTE DMs primeiro… (Exceto quando eles fazem)
    • Use carteiras de hardware: Elas reduzem o risco de assinatura cega e previnem a exposição de chaves.
    • Ative ferramentas de proteção contra phishing: Use extensões como PhishFort, Revoke.cash e bloqueadores de anúncios.
    • Use exploradores somente leitura: Ferramentas como Etherscan Token Approvals ou Revoke.cash mostram quais permissões sua carteira possui.
    • Use carteiras temporárias: Crie uma nova carteira com zero~poucos fundos para testar mintagens ou links primeiro. Isso minimizará quaisquer perdas.
    • Segmente seus ativos: Não tenha todos os seus ativos em um só lugar.
  • Práticas Avançadas Para O Usuário Cripto Experiente
    • Use um dispositivo ou perfil de navegador dedicado para atividades cripto - além disso, você pode ter um dispositivo dedicado para abrir links e DMs.
    • Verifique os rótulos de aviso de tokens do Etherscan: Muitos tokens fraudulentos são sinalizados.
    • Verifique os endereços dos contratos com os anúncios oficiais do projeto.
    • Inspecione os URLs com cuidado: Especialmente em e-mails e chats, erros de ortografia sutis são comuns. Muitos aplicativos de mensagem e, claro, sites permitem hiperlinks - isso permite que alguém faça isso:www.google.com (tudo bem, você pode clicar no link).
    • Cuidado com o que você assina: Sempre decodifique transações (por exemplo, via MetaMask, Rabby ou um simulador) antes de confirmar.

5. Palavra Final

A maioria dos usuários pensa em explorações em cripto como algo técnico e inevitável, especialmente aqueles que são novos na indústria. Embora isso possa ser verdade para métodos de ataque complexos, muitas vezes o passo inicial visa o indivíduo de maneiras não técnicas, tornando o restante da exploração prevenível.

A vasta maioria das perdas pessoais neste espaço não vem de algum bug novo de zero-day ou protocolo obscuro, mas sim de pessoas assinando coisas que não leram ou importando carteiras em aplicativos falsos, ou confiando em uma DM que parece apenas plausível o suficiente. As ferramentas podem ser novas, mas as táticas são tão antigas quanto o tempo: engano, urgência, desvio.

As pessoas vêm ao cripto pela auto-custódia e pela natureza sem permissão, mas os usuários precisam lembrar que aqui as apostas são maiores; nas finanças tradicionais, você é enganado e liga para o banco. No cripto, você é enganado e essa é a fim da história.

Isenção de responsabilidade:

  1. Este artigo é reproduzido de [Presto Research]. Todos os direitos autorais pertencem ao autor original [Presto Research]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learn equipe, e eles vão lidar com isso prontamente.
  2. Isenção de Responsabilidade: As opiniões e visões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outras línguas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.

Como Você é Hackeado: Um Guia de Usuários de Cripto para Exploits

intermediário6/5/2025, 1:24:34 AM
Este artigo fornece uma análise detalhada dos métodos de ataque comuns que visam usuários de cripto, incluindo phishing, malware e ataques de engenharia social. Também revela como esses ataques operam e se espalham por meio de estudos de caso do mundo real.

Resumo

  • A maioria dos usuários de cripto não é hackeada por meio de explorações complexas, mas sim por clicar, assinar ou confiar na coisa errada. Este relatório analisa como essas falhas cotidianas acontecem.
  • De kits de phishing e drenadores de carteira a malware e golpes de suporte falso, a maioria dos ataques visa os usuários diretamente, não os protocolos, tornando o contexto humano o fio comum, não o código.
  • Este relatório descreve o 101 dos exploits cripto na medida em que se refere a usuários individuais, cobrindo uma lista de exploits comuns, bem como exemplos da vida real e o que observar.

1. Precisamos saber: Você é a superfície de ataque

Cripto é auto-custodial por design. Essa é a característica. Mas esse atributo fundamental, que é central aos valores da indústria, pode muitas vezes fazer de você, o usuário, um ponto único de falha. Em muitos casos de indivíduos perdendo seus fundos em cripto, não é um erro no protocolo: é um clique. Uma DM. Uma aprovação. Um momento de confiança ou descuido ao realizar uma tarefa cotidiana aparentemente não consequente que pode alterar o curso das experiências de cripto de alguém.

Este relatório não é um whitepaper técnico ou uma análise da lógica de contratos inteligentes, mas sim um modelo de ameaça para indivíduos. Uma análise de como os usuários são explorados na prática e o que fazer a respeito. O relatório se concentrará em explorações em nível pessoal: phishing, aprovações de carteira, engenharia social, malware. Também abordará brevemente os riscos em nível de protocolo no final, para fornecer uma visão do espectro de explorações que acontecem em cripto.

2. O Playbook Completo de Exploração (Meio que)

A natureza permanente e irreversível das transações que ocorrem em ambientes sem permissão, muitas vezes sem a intervenção de intermediários, combinada com o fato de que os usuários individuais são responsáveis por interagir com contraparte anônimas nos mesmos dispositivos e navegadores que mantêm ativos financeiros, torna o cripto um terreno de caça único para hackers e outros criminosos. Abaixo está uma lista extensa dos tipos de explorações que os indivíduos podem enfrentar, mas os leitores devem estar cientes de que, embora esta lista cubra a maioria das explorações, ela não é exaustiva. A lista pode ser avassaladora para aqueles que não estão familiarizados com cripto, mas uma boa parte delas são explorações "regulares" que aconteceram há bastante tempo na era da internet e não são exclusivas deste setor. §3 abordará alguns métodos-chave de exploração em detalhes.

2.1 Ataques de Engenharia Social

Ataques que dependem de manipulação psicológica para enganar indivíduos a comprometerem sua segurança.

  • Phishing: E-mails, mensagens ou sites falsos imitam plataformas reais para roubar credenciais ou frases-semente (mais em §3).
  • Golpes de Impersonação: Os atacantes se fazem passar por influenciadores, líderes de projetos ou suporte ao cliente para ganhar confiança e extrair fundos ou informações sensíveis.
  • Golpes de Frase Semente: Usuários são enganados a revelar frases de recuperação por meio de ferramentas de recuperação falsas ou sorteios.
  • Airdrops Falsos: Atrair usuários com tokens gratuitos para incentivar interações inseguras com carteiras ou compartilhamento de chaves privadas.
  • Ofertas de Trabalho Falsas: Disfarçadas como oportunidades de emprego, mas voltadas para instalar malware ou coletar dados sensíveis.
  • Esquemas de Pump-and-Dump: Esforços coordenados socialmente para promover e despejar tokens em participantes de varejo desavisados.

Figura 1: As consequências da engenharia social podem ser muito severas
Fonte: Cointelegraph

2.2 Telecom e Assunção de Conta

Explorando fraquezas na infraestrutura de telecomunicações ou a nível de conta para contornar a autenticação.

  • Troca de SIM: Ataques em que os invasores sequestram o número de celular da vítima para interceptar códigos de 2FA e redefinir credenciais de conta (mais em §3).
  • Credential Stuffing: Reutilizando credenciais vazadas de brechas para acessar carteiras ou contas de corretoras.
  • Bypass de 2FA: Explorando autenticação fraca ou baseada em SMS para obter acesso não autorizado.
  • Sequestro de Sessão: Roubo de sessões de navegador através de malware ou redes não seguras para assumir contas logadas.

Figura 2: Um tweet falso da SEC via uma troca de SIM
Fonte: Twitter

2.3 Malware & Exploits de Dispositivos

Comprometer o dispositivo do usuário para extrair o acesso à carteira ou manipular transações (mais em §3).

  • Keyloggers: Registram toques de tecla para roubar senhas, PINs e frases-semente.
  • Sequestradores de Área de Transferência: Substitua os endereços de carteira colados por aqueles controlados por atacantes.
  • Trojans de Acesso Remoto (RATs): Permitem que atacantes tenham controle total da máquina de uma vítima, incluindo carteiras.
  • Extensões de Navegador Maliciosas: Extensões comprometidas ou falsas roubam dados ou manipulam transações.
  • Wallets ou Apps Falsos: Aplicativos falsificados (móveis ou de navegador) que drenam fundos ao serem utilizados.
  • Ataques Man-in-the-Middle (MITM): Interceptar e modificar a comunicação entre o usuário e o serviço, especialmente em redes inseguras.
  • Ataques a Wi-Fi Não Seguro: Wi-Fi público ou comprometido permite a interceptação de dados sensíveis durante logins ou transferências.

Figura 3: Carteiras falsas são um golpe comum que visa usuários iniciantes de cripto
Fonte: cryptorank

2.4 Exploits em Nível de Carteira

Ataques que visam como os usuários gerenciam ou interagem com carteiras e interfaces de assinatura.

  • Drenagens de Aprovação: Contratos inteligentes maliciosos exploram aprovações de token anteriores para drenar tokens.
  • Ataques de Assinatura Cega: Usuários assinam cargas obscuras que resultam na perda de fundos (por exemplo, de carteiras de hardware).
  • Furto de Frase Semente: Exfiltração de frases de recuperação via malware, phishing ou higiene de armazenamento inadequada.
  • Chaves Privadas Comprometidas: Armazenamento inseguro (por exemplo, em drives na nuvem ou notas em texto simples) levando ao vazamento de chaves.
  • Carteras de Hardware Comprometidas: Dispositivos adulterados ou falsificados vazam chaves privadas para atacantes.

2.5 Riscos de Contratos Inteligentes & Nível de Protocolo

Riscos decorrentes de interações com código on-chain malicioso ou vulnerável.

  • Contratos Inteligentes Maliciosos: Lógica maliciosa oculta que drena fundos quando interagido.
  • Ataques de Empréstimos Rápidos: Explorações usando empréstimos não garantidos para manipular preços ou a lógica do protocolo.
  • Manipulação de Oracle: O atacante distorce as fontes de preço para explorar protocolos que dependem de dados falhos.
  • Saídas de Golpes de Liquidez: Criadores projetam tokens/pools onde apenas eles podem retirar valor, deixando os usuários presos.
  • Ataques Sybil: Identidades falsas distorcem sistemas descentralizados, particularmente a governança ou a elegibilidade para airdrops.

Figura 4: Um empréstimo relâmpago foi responsável por um dos maiores exploits do DeFi
Fonte: Elliptic

2.6. Fraudes de Manipulação de Projetos e Mercados

Golpes ligados à estrutura de tokens, projetos DeFi ou coleções de NFTs.

  • Rug Pulls: Fundadores do projeto desaparecem após levantar capital, deixando tokens sem valor para trás.
  • Projetos Falsos: Coleções fraudulentas atraem usuários para golpes de mintagem ou para assinar transações prejudiciais.
    Ataques de Poeira: Transferências minúsculas de tokens usadas para desanonimizar carteiras e identificar alvos para phishing ou golpes.

2.7. Ataques à Web e Infraestrutura

Explorando a infraestrutura de front-end ou de nível DNS na qual os usuários confiam.

  • Desvios de Front-End / Spoofing de DNS: Os atacantes redirecionam os usuários para interfaces maliciosas para roubar credenciais ou induzir transações inseguras.
  • Explorações de Pontes: Hacks de pontes entre cadeias que comprometem os fundos dos usuários durante a transferência.

2.8. Ameaças físicas

Riscos do mundo real envolvendo coerção, roubo ou vigilância.

  • Ataque de chave inglesa de $ 5: As vítimas são fisicamente coagidas a transferir fundos ou revelar frases iniciais.
  • Roubo Físico: Dispositivos ou backups (por exemplo, carteiras de hardware, cadernos) são roubados para obter acesso.
  • Shoulder Surfing: Observando ou filmando usuários inserindo dados sensíveis em ambientes públicos ou privados.

Figura 5: Infelizmente, ameaças físicas têm sido comuns
Fonte: The New York Times

3. Exploits Chave para Ficar de Olho

Alguns exploits acontecem mais do que outros. Aqui estão três exploits que indivíduos que possuem ou interagem com cripto devem conhecer, incluindo como preveni-los. Uma agregação de técnicas de prevenção e atributos-chave a serem observados será listada no final da seção, pois há sobreposições entre os vários métodos de exploit.

3.1 Phishing (Incluindo Carteiras Falsas & Airdrops)

O phishing precede o cripto por décadas e o termo surgiu na década de 1990 para descrever atacantes "pescando" informações sensíveis, geralmente credenciais de login, por meio de e-mails e sites falsos. À medida que o cripto emergiu como um sistema financeiro paralelo, o phishing naturalmente evoluiu para atacar frases-semente, chaves privadas e autorizações de carteira, ou seja, os equivalentes cripto de "controle total".

Phishing de Cripto é especialmente perigoso porque não há recurso: sem estornos, sem proteção contra fraudes e sem suporte ao cliente que possa reverter uma transação. Uma vez que sua chave é roubada, seus fundos estão praticamente perdidos. Também é importante lembrar que o phishing às vezes é apenas o primeiro passo em uma exploração mais ampla, tornando o risco real não a perda inicial, mas a longa sequência de compromissos que se seguem, por exemplo, credenciais comprometidas podem permitir que um atacante se passe pela vítima e enganem outros.

Como funciona o phishing?

No seu cerne, o phishing explora a confiança humana ao apresentar uma versão falsa de uma interface confiável, ou ao se passar por alguém autoritário, para enganar os usuários a entregarem voluntariamente informações sensíveis ou aprovarem ações maliciosas. Existem vários vetores de entrega principais:

  • Sites de Phishing
    • Versões falsas de carteiras (por exemplo, MetaMask, Phantom), exchanges (por exemplo, Binance) ou dApps.
    • Frequentemente promovido através de anúncios no Google ou compartilhado via grupos do Discord/Twitter, projetado para parecer idêntico ao site real, pixel por pixel.
    • Os usuários podem ser solicitados a "importar uma carteira" ou "recuperar fundos", colhendo sua frase-semente ou chave privada.
  • E-mails & Mensagens de Phishing
    • Parecer comunicação oficial (por exemplo, "atualização de segurança urgente" ou "conta comprometida").
    • Inclua links para portais de login falsos ou direcione você a interagir com tokens ou contratos inteligentes maliciosos.
    • Comum no Telegram, Discord, DMs do Twitter e até mesmo SMS.
  • Carteiras Falsas ou Extensões de Navegador
    • Disponível nas lojas de aplicativos ou como extensões do Chrome.
    • Imitam funcionalmente carteiras reais, mas encaminham sua chave privada ou dados de transação para atacantes.
    • Alguns até permitem que você transfira fundos apenas para serem drenados minutos depois.
  • Golpes de Airdrop
    • Quedas de tokens falsos enviadas para carteiras (especialmente em cadeias EVM).
    • Clicar no token ou tentar negociá-lo provoca uma interação com um contrato malicioso.
    • Pode solicitar silenciosamente aprovações de token ilimitadas ou roubar seu token nativo por meio de uma carga útil assinada.

Figura 6: Sempre tenha cautela quando você ver "grátis" em cripto
Fonte: Presto Research

Exemplos de phishing
O hack do Atomic Wallet em junho de 2023, atribuído ao Grupo Lazarus da Coreia do Norte, se destaca como um dos ataques de phishing puro mais destrutivos na história do cripto. Ele resultou no roubo de mais de $100 milhões em criptomoeda ao comprometer mais de 5.500 carteiras não custodiadas sem exigir que os usuários assinassem transações maliciosas ou interagissem com contratos inteligentes. Este ataque se concentrou exclusivamente na extração de frases-semente e chaves privadas por meio de interfaces enganosas e malware - um exemplo clássico de roubo de credenciais baseado em phishing.
Atomic Wallet é uma carteira multi-chain e não-custodial que suporta mais de 500 Criptomoedas. Neste incidente, os atacantes lançaram uma campanha de phishing coordenada que explorou a confiança que os usuários depositavam na infraestrutura de suporte da carteira, nos processos de atualização e na identidade da marca. As vítimas foram atraídas por meio de e-mails, sites falsos e atualizações de software trojanizadas, todas projetadas para imitar comunicações legítimas da Atomic Wallet.

Os vetores de phishing incluíam:

  • E-mails falsos se passando pelo suporte da Atomic Wallet ou alertas de segurança, pedindo ação urgente.
  • Sites falsificados (por exemplo, atomic-wallet[.]co) que imitava a interface de recuperação da carteira ou de reivindicação de recompensa.
  • Atualizações maliciosas distribuídas através do Discord, e-mail e fóruns comprometidos, que direcionavam os usuários para páginas de phishing ou extraíam credenciais via malware local.

Uma vez que os usuários inseriram suas frases-semente de 12 ou 24 palavras ou chaves privadas nessas interfaces fraudulentas, os atacantes obtiveram acesso total às suas carteiras. Esta exploração não envolveu nenhuma interação on-chain da vítima: nenhuma conexão de carteira, nenhum pedido de assinatura e nenhuma envolvimento de contrato inteligente. Em vez disso, baseou-se inteiramente em engenharia social e na disposição do usuário em restaurar ou verificar sua carteira em uma plataforma que parecia confiável.

3.2 Drenadores de Carteira & Aprovações Maliciosas

Um drainer de carteira é um tipo de contrato inteligente malicioso ou dApp projetado para extrair ativos da sua carteira, não roubando sua chave privada, mas enganando você para autorizar o acesso a tokens ou assinar transações perigosas. Ao contrário do phishing, que busca suas credenciais, os drainers exploram permissões - o mecanismo elemental de confiança que impulsiona o Web3.

À medida que os aplicativos DeFi e Web3 se tornaram populares, carteiras como MetaMask e Phantom popularizaram a ideia de "conectar" a dApps. Isso trouxe conveniência, mas também uma enorme superfície de ataque. De 2021 a 2023, os drenos de aprovação explodiram em popularidade por meio de mintagens de NFT, airdrops falsos e dApps que foram rug-pulled, começaram a embutir contratos maliciosos em UIs de outra forma familiares. Os usuários, muitas vezes animados ou distraídos, conectavam suas carteiras e clicavam em "Aprovar" sem perceber o que estavam autorizando.

Como isso é diferente de phishing?
Phishing envolve enganar alguém para revelar voluntariamente credenciais sensíveis, como uma frase-semente, senha ou chave privada. Conectar sua carteira não revela suas chaves ou frases, pois você não está entregando segredos, você está assinando transações ou concedendo permissões. Esses exploits ocorrem por meio da lógica de contratos inteligentes, não pelo roubo de suas credenciais, tornando-os mecanicamente diferentes do phishing. Você está autorizando o esvaziamento, muitas vezes sem perceber, o que é mais parecido com uma "armadilha de consentimento" do que com o roubo de credenciais.
Você pode pensar em phishing como baseado em CREDENCIAIS e drenadores de carteira / aprovações maliciosas como baseadas em PERMISSÕES.

A mecânica do ataque
Aprovações maliciosas exploram os sistemas de permissão em padrões de blockchain como ERC-20 (tokens) e ERC-721/ERC-1155 (NFTs). Elas enganam os usuários para conceder acesso contínuo aos atacantes sobre seus ativos.

  • Noções básicas de aprovação de token:
    • Tokens ERC-20: A função approve(address spender, uint256 amount) permite que um “spender” (por exemplo, um DApp ou atacante) transfira uma quantidade especificada de tokens da carteira do usuário.
    • NFTs: A função setApprovalForAll(endereço operador, bool aprovado) concede a um "operador" permissão para transferir todos os NFTs em uma coleção.
    • Essas aprovações são padrão para DApps (por exemplo, Uniswap precisa de aprovação para trocar tokens), mas os atacantes as exploram maliciosamente.
  • Como os atacantes obtêm aprovação:
    • Prompts enganosos: Um site de phishing ou DApp comprometido solicita ao usuário que assine uma transação rotulada como “conexão de carteira”, “troca de token” ou “reivindicação de NFT”. A transação na verdade chama approve ou setApprovalForAll para o endereço do atacante.
    • Aprovações ilimitadas: Os atacantes frequentemente solicitam limites de token ilimitados (por exemplo, uint256.max) ou setApprovalForAll(true), dando-lhes controle total sobre os tokens ou NFTs do usuário.
    • Assinatura Cega: Alguns DApps exigem a assinatura de dados opacos, tornando difícil identificar aprovações maliciosas. Mesmo com carteiras de hardware como a Ledger, os detalhes exibidos podem parecer benignos (por exemplo, “Aprovar Token”), mas ocultam a intenção do atacante.
  • Exploração:
    • Roubo imediato: O atacante usa a aprovação para transferir tokens/NFTs para sua carteira logo após a transação.
    • Furto atrasado: O atacante espera (às vezes semanas ou meses) para drenar ativos, reduzindo a suspeita. Por exemplo, um atacante com setApprovalForAll pode transferir NFTs sempre que quiser.
    • Ataques em massa: Drainers como Angel Drainer escaneiam por aprovações em várias carteiras e drenam-nas em massa durante pumps de mercado ou lançamentos de NFTs de alto valor.

Exemplos de drenadores de carteira / aprovações maliciosas
O golpe Monkey Drainer, ativo principalmente em 2022 e no início de 2023, foi uma notória ferramenta de phishing "drainer-as-a-service" responsável por roubar milhões em cripto (incluindo NFTs) através de sites enganosos e contratos inteligentes maliciosos. Ao contrário do phishing tradicional, que se baseia na coleta de frases-semente ou senhas dos usuários, o Monkey Drainer operava por meio de assinaturas de transação maliciosas e abuso de contratos inteligentes, permitindo que os atacantes extraíssem tokens e NFTs sem comprometer diretamente as credenciais. Ao enganar os usuários para que assinassem aprovações perigosas na blockchain, o Monkey Drainer possibilitou mais de $4,3 milhões em roubos em centenas de carteiras antes de seu encerramento no início de 2023.

Figura 7: O famoso detetive on-chain ZachXBT revela os golpes do Monkey Drainer
Fonte: Twitter (@zachxbt)

O kit era popular entre atacantes de baixa habilidade e amplamente comercializado em comunidades clandestinas do Telegram e da dark web. Ele permitia que afiliados clonassem sites de mintagem falsos, impersonificassem projetos reais e configurassem o backend para encaminhar transações assinadas para um contrato centralizado de drenagem. Esses contratos foram projetados para explorar permissões de token, dependendo dos usuários para assinarem inadvertidamente mensagens que concediam ao endereço do atacante acesso a ativos por meio de funções como setApprovalForAll() (NFTs) ou permit() (tokens ERC-20).

Notavelmente, o fluxo de interação evitou phishing direto: as vítimas não foram solicitadas a fornecer suas chaves privadas ou frases-semente. Em vez disso, elas interagiram com dApps aparentemente legítimos, muitas vezes em páginas de mintagem com contagens regressivas ou marcas hypeadas. Uma vez conectados, os usuários eram solicitados a assinar uma transação que não compreendiam completamente, frequentemente mascarada por uma linguagem de aprovação genérica ou ofuscação da interface da carteira. Essas assinaturas não transferiam fundos diretamente, mas autorizavam o atacante a fazê-lo a qualquer momento. Com permissões concedidas, o contrato drainer poderia executar retiradas em lote em um único bloco.

Uma característica do método Monkey Drainer era sua execução atrasada: os ativos roubados eram frequentemente drenados horas ou dias depois, para evitar suspeitas e maximizar o rendimento. Isso o tornava particularmente eficaz contra usuários com grandes carteiras ou atividades de negociação ativas, cujas aprovações se misturavam aos padrões normais de uso. As vítimas de alto perfil incluíam colecionadores de NFT que perderam ativos de projetos como CloneX, Bored Apes e Azuki.

Embora o Monkey Drainer tenha encerrado suas operações em 2023, presumivelmente para "ficar na moita", a era dos drenos de carteira continua a evoluir, representando uma ameaça persistente para os usuários que não compreendem ou subestimam o poder de uma aprovação on-chain.

3.3 Malware e Exploits de Dispositivo

Finalmente, ‘malware e explorações de dispositivos’ referem-se a uma ampla e versátil gama de ataques que abrangem vários vetores de entrega, todos com o objetivo de comprometer o computador, telefone ou navegador de um usuário, geralmente por meio de software malicioso instalado via engano. O objetivo geralmente é roubar informações sensíveis (por exemplo, frases-semente, chaves privadas), interceptar interações de carteira ou dar ao atacante controle remoto do dispositivo da vítima. Em cripto, esses ataques geralmente começam com engenharia social, como uma oferta de emprego falsa, uma atualização de aplicativo falsa ou um arquivo enviado via Discord, mas rapidamente se escalonam para um comprometimento total do sistema.

O malware existe desde os primeiros dias da computação pessoal. Em contextos tradicionais, era usado para roubar informações de cartões de crédito, coletar logins ou sequestrar sistemas para spam ou ransomware. À medida que o cripto ganhou força, os atacantes mudaram de estratégia: em vez de direcionar credenciais para bancos online (que podem ser revertidas), agora visam roubar ativos cripto irreversíveis.

Como Esses Ataques Começam… O Ângulo da Engenharia Social

A maioria dos malwares não se espalha aleatoriamente: ela requer que a vítima seja enganada para executá-lo. É aqui que a engenharia social entra.

Métodos de Entrega Comuns:

  • Ofertas de Emprego Falsas: A vítima se candidata a um emprego falso em Web3, recebe um "teste técnico" ou "link de entrevista" contendo malware.
  • Links do Discord ou Telegram: Enviados como "ferramentas de sorteio", "capturas de tela" ou arquivos de suporte falsos.
  • Anexos de Email: Currículo, whitepaper ou formatos de fatura (PDF, .docx, .exe) que contêm código malicioso.
  • Atualizações Falsas: Pop-ups ou sites falsificados oferecendo "última versão do MetaMask/Phantom".
  • Downloads automáticos: Simplesmente visitar um site pode acionar um payload em segundo plano, especialmente em navegadores desatualizados.

O fio comum: O atacante cria um contexto convincente que convence o usuário a clicar, baixar ou abrir algo perigoso.

Tipos de Malware Comuns em Explorações Cripto

  • Keyloggers: Registram cada tecla digitada, incluindo frases-semente, senhas e PINs. Especialmente perigosos se o usuário digitar sua frase-semente em um editor de texto, login de exchange ou campo de recuperação de carteira.
  • Sequestradores de Área de Transferência: Monitoram endereços de carteira copiados e os substituem pelo endereço do atacante ao colá-los. As vítimas muitas vezes não percebem e enviam fundos, pensando que colaram seu próprio endereço, mas ele já foi trocado.
  • Trojan de Acesso Remoto (RATs): Dão ao atacante controle total sobre o dispositivo da vítima. Isso inclui ler arquivos, assistir telas, capturar sessões de navegador e até exportar frases-semente diretamente de aplicativos de carteira como Exodus ou carteiras baseadas em navegador.
  • Carteiras ou Aplicativos Falsos: Parecem carteiras legítimas, mas estão carregadas com código malicioso. Comuns em sites de APK do Android ou lojas de extensões do Chrome. Algumas parecem funcionais até que você envie fundos ou restaure uma semente, momento em que os fundos são exfiltrados.
  • Extensões de Navegador Maliciosas: Comprometer ou imitar extensões cripto reais para monitorar atividades, injetar cargas maliciosas ou solicitar pedidos de assinatura falsos. Elas geralmente pedem permissões extensas sob o pretexto de "integração de carteira".
  • Infraestrutura Man-in-the-Middle (MITM): O malware configura um proxy ou sequestro de DNS para interceptar e manipular o tráfego entre você e a web, incluindo troca de endereços ou redirecionamento de transações assinadas.

Exemplo: O Golpe de Emprego Axie Infinity 2022

O golpe de trabalho Axie Infinity de 2022, que levou ao maciço hack do Ronin Bridge, é um exemplo primário de um malware e exploração de dispositivos no espaço cripto, impulsionado por engenharia social sofisticada. Este ataque, atribuído ao grupo Lazarus patrocinado pelo estado norte-coreano, resultou no roubo de aproximadamente $620 milhões em criptomoedas, tornando-se um dos maiores hacks de finanças descentralizadas (DeFi) até hoje.

Figura 8: O exploit do Axie Infinity chegou à mídia TradFi
Fonte: Bloomberg TV

O hack foi uma operação de múltiplas etapas combinando engenharia social, implantação de malware e exploração de vulnerabilidades da infraestrutura de blockchain.

Os hackers, se passando por recrutadores de uma empresa fictícia, miraram os funcionários da Sky Mavis através do LinkedIn: a Sky Mavis é a empresa por trás da Ronin Network, uma sidechain ligada ao Ethereum que alimenta o Axie Infinity, um popular jogo de blockchain do tipo play-to-earn. Na época, Ronin e Axie Infinity tinham respectivas capitalizações de mercado de cerca de $300 milhões e $4 bilhões.

Vários funcionários foram abordados, mas um engenheiro sênior se tornou o alvo principal, com o qual os atacantes realizaram várias rodadas de entrevistas de emprego falsas para construir confiança, oferecendo um pacote de compensação extremamente generoso para atrair o engenheiro. Os atacantes enviaram um documento PDF, disfarçado como uma oferta de emprego formal, para o engenheiro. O engenheiro, acreditando que fazia parte do processo de contratação, baixou e abriu o arquivo em um computador da empresa. O PDF continha um RAT que infectou o sistema do engenheiro ao ser aberto, concedendo aos hackers acesso aos sistemas internos da Sky Mavis, provavelmente através de elevação de privilégios ou movimento lateral dentro da rede. Essa violação forneceu uma base para atacar a infraestrutura da Ronin Network.

A mecânica do hack que continuou a explorar a ponte Ronin e o Axie DAO está além do escopo deste artigo de pesquisa, no entanto, esse exploit resultou em um roubo de $620 milhões (173.600 ETH e 25,5MM USDC) com apenas $30 milhões recuperados.

4. Como se Proteger

As tentativas de exploração estão cada vez mais sofisticadas, mas ainda dependem de sinais reveladores. Sinais de alerta incluem:

  • “Importe sua carteira para reivindicar X”: Nenhum serviço legítimo jamais pedirá sua frase-semente.
  • DMs não solicitados: Especialmente oferecendo apoio, dinheiro ou ajuda com um problema que você não pediu.
  • Domínios ligeiramente incorretos: Ex: metamask.io vs metarnask.io.
  • Google Ads: Links de phishing frequentemente aparecem acima do link real nos resultados de busca.
  • Ofertas boas demais para serem verdade: Como promoções de "reclame 5 ETH" ou "dobre suas moedas".
  • Urgência ou táticas de medo: “Sua conta foi bloqueada”, “Reclame agora ou perca fundos”.
  • Aprovações de Token Ilimitadas: Os usuários devem definir os valores dos tokens por conta própria.
  • Solicitações de Assinatura Cega: Payloads Hex sem explicação legível.
  • Contratos não verificados ou obscuros: Se um token ou dApp é novo, verifique o que você está aprovando.
  • Urgentes Mensagens de UI: Táticas clássicas de pressão como “Você deve assinar isso agora ou perder a oportunidade”.
  • Pop-ups de Assinatura do MetaMask: Especialmente com cargas úteis pouco claras, transações sem gás, ou uma mistura de chamadas de função que você não entende.

Regras adicionais de OpSec (segurança operacional):

  • Regras de Ouro
    • Nunca compartilhe sua frase-semente com ninguém, por qualquer motivo.
    • Adicione aos favoritos os sites oficiais: Sempre navegue diretamente. Nunca use motores de busca para carteiras ou exchanges.
    • Não clique em tokens de airdrop aleatórios: Especialmente se você não optou por participar.
    • Evite DMs não solicitadas: Projetos legítimos RARAMENTE DMs primeiro… (Exceto quando eles fazem)
    • Use carteiras de hardware: Elas reduzem o risco de assinatura cega e previnem a exposição de chaves.
    • Ative ferramentas de proteção contra phishing: Use extensões como PhishFort, Revoke.cash e bloqueadores de anúncios.
    • Use exploradores somente leitura: Ferramentas como Etherscan Token Approvals ou Revoke.cash mostram quais permissões sua carteira possui.
    • Use carteiras temporárias: Crie uma nova carteira com zero~poucos fundos para testar mintagens ou links primeiro. Isso minimizará quaisquer perdas.
    • Segmente seus ativos: Não tenha todos os seus ativos em um só lugar.
  • Práticas Avançadas Para O Usuário Cripto Experiente
    • Use um dispositivo ou perfil de navegador dedicado para atividades cripto - além disso, você pode ter um dispositivo dedicado para abrir links e DMs.
    • Verifique os rótulos de aviso de tokens do Etherscan: Muitos tokens fraudulentos são sinalizados.
    • Verifique os endereços dos contratos com os anúncios oficiais do projeto.
    • Inspecione os URLs com cuidado: Especialmente em e-mails e chats, erros de ortografia sutis são comuns. Muitos aplicativos de mensagem e, claro, sites permitem hiperlinks - isso permite que alguém faça isso:www.google.com (tudo bem, você pode clicar no link).
    • Cuidado com o que você assina: Sempre decodifique transações (por exemplo, via MetaMask, Rabby ou um simulador) antes de confirmar.

5. Palavra Final

A maioria dos usuários pensa em explorações em cripto como algo técnico e inevitável, especialmente aqueles que são novos na indústria. Embora isso possa ser verdade para métodos de ataque complexos, muitas vezes o passo inicial visa o indivíduo de maneiras não técnicas, tornando o restante da exploração prevenível.

A vasta maioria das perdas pessoais neste espaço não vem de algum bug novo de zero-day ou protocolo obscuro, mas sim de pessoas assinando coisas que não leram ou importando carteiras em aplicativos falsos, ou confiando em uma DM que parece apenas plausível o suficiente. As ferramentas podem ser novas, mas as táticas são tão antigas quanto o tempo: engano, urgência, desvio.

As pessoas vêm ao cripto pela auto-custódia e pela natureza sem permissão, mas os usuários precisam lembrar que aqui as apostas são maiores; nas finanças tradicionais, você é enganado e liga para o banco. No cripto, você é enganado e essa é a fim da história.

Isenção de responsabilidade:

  1. Este artigo é reproduzido de [Presto Research]. Todos os direitos autorais pertencem ao autor original [Presto Research]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learn equipe, e eles vão lidar com isso prontamente.
  2. Isenção de Responsabilidade: As opiniões e visões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outras línguas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
Comece agora
Inscreva-se e ganhe um cupom de
$100
!