A Indústria das Criptomoedas Deve Agir: É Necessário Urgente um Sistema Anti-Phishing de Endereços

Nas últimas desenvolvimentos preocupantes, um observador líder da indústria fez um apelo veemente ao ecossistema cripto para adotar medidas defensivas mais agressivas contra ataques de envenenamento de endereços. Este apelo surge após a divulgação de um incidente devastador no qual alguém perdeu cerca de $50 milhões em USDT—um dos casos de phishing on-chain mais prejudiciais já registados.

Como Um Clique Errado ao Colar Pode Se Tornar Uma Catástrofe

O evento ocorreu em um período de tempo surpreendente—menos de uma hora. Com base na análise do blockchain e em uma investigação de segurança aprofundada, a vítima inicialmente realizou uma retirada de fundos de uma plataforma de troca principal, e depois enviou uma pequena quantia para testar (50 USDT) ao destinatário pretendido.

No entanto, na etapa seguinte, o usuário tomou uma decisão fatal: copiou o endereço do histórico de transações e realizou uma combinação de (colar) o valor principal—de 49.999.950 USDT—para uma carteira que visualmente quase idêntica ao alvo real. Essa carteira falsa foi plantada pelos atacantes através de esquemas de microtransações anteriores, uma técnica comum em campanhas coordenadas de envenenamento de endereços.

Dados indicam que a carteira da vítima, que operou por aproximadamente 24 meses e é majoritariamente dedicada à transferência de USDT, realizou uma transferência imediatamente após a retirada na plataforma. Embora os relatórios iniciais indiquem que os fundos permaneceram temporariamente na carteira do atacante, análises históricas mostram que fundos semelhantes geralmente são movidos rapidamente através de rotas de conversão e lavagem complexas.

Soluções Técnicas Recomendadas

Especialistas da indústria propõem atualmente um sistema de defesa em camadas que pode ser aplicado universalmente. As principais recomendações incluem:

• Marca Automática: Carteiras digitais devem identificar e bloquear ativamente endereços maliciosos conhecidos através de consultas simples ao blockchain
• Alertas de Transação: Sistemas de notificação devem ser exibidos aos usuários antes da execução de transferências, especialmente para valores elevados
• Lista Negra em Tempo Real: Grupos de segurança da indústria devem manter uma lista que possa ser atualizada periodicamente e acessada por todos os provedores de carteiras
• Filtragem de Resíduos: Transações de poeira (dust transactions) devem ser completamente filtradas para que não apareçam no histórico do usuário

Algumas plataformas avançadas de carteiras já começaram a implementar essas proteções, demonstrando que soluções técnicas já estão disponíveis e podem ser operacionalizadas.

O Ecossistema Enfrentando Ameaças Crescentes

O envenenamento de endereços, às vezes referido como “ataque de poeira”, é uma variação de phishing na qual atacantes enviam quantidades mínimas de cripto de endereços projetados para imitar endereços legítimos. Quando os usuários copiam o endereço do histórico ao invés de usar uma fonte verificada, eles inadvertidamente direcionam fundos para terceiros maliciosos. A semelhança de alguns caracteres iniciais e finais muitas vezes é suficiente para enganar, especialmente em transferências de alto valor onde a vigilância diminui.

Pesquisas de segurança indicam que essa tática está crescendo exponencialmente, especialmente em blockchains com taxas de transação baixas, como TRON, onde transferências gratuitas ou quase gratuitas permitem que bots enviem dezenas de milhares de transações falsas para carteiras alvo. Os atacantes geram milhares de endereços de vaidade e usam sistemas automáticos para atingir carteiras novas ou com saldo elevado—com foco especial em detentores de stablecoins.

Perdas de cerca de $50 milhões estão ocorrendo enquanto uma onda mais ampla de fraudes em cripto está em ascensão. A indústria estima que quase $90 bilhões foram perdidos desde o início da era cripto devido a violações e explorações, com mais de $9 bilhões registrados apenas em 2025. Dados de novembro indicam que $276 milhões foram roubados, e o phishing foi identificado como a categoria de fraude mais destrutiva do ano passado, contribuindo com mais de $1 bilhões em perdas acumuladas.

Nos Estados Unidos, cidadãos perderam cerca de $9,3 bilhões com fraudes de investimento em cripto em 2024—um aumento significativo em relação a períodos anteriores. As respostas regulatórias também começaram a ressoar, com formuladores de políticas introduzindo estruturas legislativas para fortalecer a proteção ao consumidor.