Em janeiro de 2026, as perdas por phishing provenientes das carteiras de criptomoedas dispararam para 630 mil dólares, um aumento de 207% em relação a dezembro. Dados do Scam Sniffer mostram que os atacantes passaram a adotar uma estratégia de “caça à baleia”, com apenas duas vítimas a representarem 65% da perda total, com uma transação única máxima de 302 mil dólares. Outro incidente de “envenenamento por endereço” resultou numa perda de $1.225 para uma única vítima.
As perdas por phishing de assinatura dispararam 207% e o número de vítimas diminuiu
De acordo com o relatório Scam Sniffer, ataques de phishing por assinatura roubaram aproximadamente 630 mil dólares das carteiras de criptomoedas dos utilizadores no primeiro mês deste ano. Este método de ataque concede permissões indefinidas a terceiros ao induzir os utilizadores a assinar funções maliciosas de “Permissão” ou “IncreaseAllowance”, permitindo aos atacantes roubar fundos sem aprovação dos utilizadores para transações específicas.
O mais chocante é a tendência de divergência entre o número de perdas e o número de vítimas. Embora o número de vítimas tenha diminuído 11% em relação a dezembro, o total de roubos aumentou 207%. Esta disparidade destaca uma mudança fundamental nas táticas dos cibercriminosos, passando do modelo passado de “lançar uma rede ampla” para ataques precisos de “caça à baleia”, visando um pequeno número de indivíduos de alto património e grandes ativos, em vez de atacar um grande número de pequenas contas de retalho como no passado.
Esta mudança de estratégia apresenta um novo desafio para a segurança das carteiras de criptomoedas. A proteção tradicional contra phishing foca-se frequentemente em identificar o número de ataques e o número de vítimas, mas estes indicadores podem perder o seu efeito de alerta quando os atacantes desviam o foco para um pequeno número de alvos de alto valor. Mesmo com a diminuição do número de vítimas, o aumento explosivo do total de perdas ainda mostra que a gravidade da ameaça está a aumentar.
O que torna o phishing por assinatura perigoso é que explora as características técnicas das interações com blockchain. Muitas aplicações descentralizadas (DApps) exigem que os utilizadores concedam aos contratos inteligentes acesso a tokens, o que é um processo operacional normal. No entanto, os atacantes disfarçam contratos maliciosos como aplicações legítimas para induzir os utilizadores a assinar autorizações. Uma vez assinados, os atacantes podem transferir os ativos da carteira da vítima indefinidamente sem mais confirmação dos utilizadores.
A estratégia de caça à baleia representou 65% da perda total, com uma transação única máxima de 302 dólares
O relatório do Scam Sniffer revela um facto marcante: apenas duas vítimas representaram quase 65% de todas as perdas por phishing de assinaturas em janeiro. Num dos maiores casos individuais, um utilizador perdeu $302K após assinar uma função de permissão maliciosa. Esta distribuição altamente concentrada de perdas retrata claramente a nova tática do atacante – identificar e atacar carteiras de criptomoedas que contêm grandes quantidades de ativos.
O que distingue as táticas de caça à baleia do phishing tradicional reside na recolha de informações antes de um ataque. Em vez de enviar links de phishing aleatoriamente, os atacantes identificam alvos de alto valor através de análises de dados on-chain, estudam os seus padrões e hábitos de transação e depois adaptam os seus planos de ataque. Esta abordagem exige mais tempo de preparação e competências técnicas, mas os retornos são exponenciais.
Esta ameaça é particularmente grave para utilizadores que detêm grandes quantidades de ativos. Tradicionalmente, investidores de elevado património podem pensar que sabem proteger os seus ativos melhor do que o utilizador médio, mas na realidade, o seu elevado valor torna-os um alvo prioritário. Os atacantes estão dispostos a investir mais recursos no design de ataques direcionados de engenharia social, incluindo sites falsos mais realistas, a personagem de grupos de projetos conhecidos e até a construção de relações de confiança a longo prazo através das redes sociais.
Esta tendência reflete-se também no aperfeiçoamento dos métodos de ataque. No passado, o phishing dependia frequentemente de emails fraudulentos e sites obviamente falsos, mas os ataques modernos de caça à baleia podem envolver interfaces de utilizador perfeitamente replicadas, nomes de domínio falsos (ofuscação usando caracteres semelhantes como i e l) e cenários de emergência elaborados para levar os utilizadores a tomar decisões sob pressão.
O endereço envenenou uma única perda de 1225 dólares, copiando e colando numa armadilha mortal
Para além do phishing por assinatura, outra ameaça igualmente prejudicial – o “envenenamento de endereços” – também está a afetar os utilizadores de carteiras de criptomoedas. Num caso típico em janeiro, um investidor perdeu 1.225 mil dólares após enviar fundos para um endereço fraudulento, a maior perda individual num único mês.
O envenenamento de endereços tira partido dos hábitos dos utilizadores e das características técnicas dos endereços blockchain. Os endereços das carteiras de criptomoedas são tipicamente cadeias hexadecimais de 42 caracteres, e verificá-los na íntegra é extremamente trabalhoso. Muitos utilizadores desenvolveram o hábito de verificar apenas alguns caracteres no início e no fim de um endereço, e é esta fraqueza que os atacantes exploram. Geram endereços “falsos” ou “falsificados”, cadeias fraudulentas que imitam precisamente o início e o fim dos endereços legítimos de carteira no histórico de transações de um utilizador.
Abordar o processo de ataque por envenenamento
Monitorar alvos: Os atacantes acompanham o histórico de transações de carteiras de alto valor
Gerar endereços falsos: utiliza um algoritmo para criar endereços falsos com os mesmos primeiros e últimos caracteres
Enviar isco: Envio de pequenos tokens para a carteira alvo (normalmente um ataque de pó)
Histórico da poluição: Endereços falsos aparecem no histórico de transações da vítima
Espera por um erro: A vítima usou indevidamente o endereço falso ao copiar e colar do histórico
Em vez de verificar a cadeia completa, o atacante quer que o utilizador copie e cole o endereço roubado do histórico ao realizar a próxima transferência. Como os endereços falsos começam e terminam exatamente como os reais, a diferença é quase impossível de identificar a menos que a parte do meio seja cuidadosamente examinada. Uma vez que os fundos são enviados para um endereço falso, os ativos são imediatamente e permanentemente transferidos para os atacantes devido à natureza irreversível das transações em blockchain.
Uma única perda de 1.225 mil dólares sublinha a natureza devastadora deste ataque. Para investidores ou instituições que gerem grandes quantias de dinheiro, um único erro numa transação pode levar a consequências catastróficas. O que é ainda mais preocupante é que este ataque não requer vulnerabilidades técnicas sofisticadas e depende exclusivamente da psicologia humana e dos hábitos operacionais, tornando mais difícil a sua prevenção.
A Safe Labs alerta para 5.000 endereços maliciosos para lançar um ataque coordenado
O aumento destes incidentes levou a Safe Labs, o desenvolvedor da popular carteira multiassinatura anteriormente conhecida como Gnosis Safe, a emitir um aviso de segurança urgente. A empresa descobriu que uma gangue do crime organizado lançou um ataque massivo e coordenado de engenharia social contra a sua base de utilizadores, utilizando aproximadamente 5.000 endereços maliciosos.
A Safe Labs afirmou: “Identificámos agentes maliciosos a atuar em conjunto, criando milhares de endereços Safe que se parecem com aspetos, concebidos para enganar os utilizadores e levar-os a enviar fundos para o destino errado. Este é um método de ataque que combina engenharia social e envenenamento de combate.” Este ataque em grande escala mostra que o phishing evoluiu de um crime individual para uma cadeia industrial organizada.
A implementação coordenada de 5.000 endereços maliciosos significa que os atacantes dispõem de uma infraestrutura técnica robusta e ferramentas de automação. Gerar um número tão elevado de endereços falsos que correspondam precisamente às características do endereço-alvo requer recursos computacionais significativos e otimização de algoritmos. Esta capacidade de ataque de nível industrial sugere que organizações profissionais de cibercrime podem estar por trás dela, em vez de hackers individuais.
Para os fornecedores de carteiras de criptomoedas, este ataque em grande escala representa um novo desafio de segurança. Medidas tradicionais de segurança, como a autenticação de dois fatores (2FA) e o armazenamento em carteiras frias, são praticamente ineficazes contra envenenamento de endereços e phishing de assinaturas, pois estes ataques exploram mecanismos legítimos de transação e as próprias operações dos utilizadores. A prevenção exige partir de vários níveis, como o design da interface de utilizador, o processo de confirmação de transações e a educação do utilizador.
Medidas-chave para prevenir phishing e combater o envenenamento
Perante a crescente ameaça de phishing, a Safe Labs e especialistas em segurança tomaram várias medidas de precaução. A medida mais crucial é verificar sempre a cadeia alfanumérica completa do endereço do destinatário antes de fazer uma transferência grande, em vez de apenas verificar o início e o fim.
Boas práticas de segurança para carteiras de criptomoedas
Verifique totalmente o endereço: uma comparação carácter a carácter de um endereço completo de 42 bits, especialmente a parte do meio
Usar a agenda: Guardar endereços frequentemente usados como contactos para evitar cópias do histórico de transações
Pequenas transferências de teste: Envie um teste de pequena quantidade antes de transferir grandes quantias para confirmar que o endereço está correto
Verifique as permissões de autorização: Rever e revogar regularmente autorizações de tokens desnecessárias
Permitir simulação de negociação: Use uma carteira que suporte a visualização de transações e veja os resultados antes de assinar
Proteção multi-assinatura: Carteiras de alto valor usam multiassinatura, aumentando a dificuldade dos ataques
Além disso, os utilizadores devem manter-se vigilantes contra sites de phishing, inserir URLs diretamente nos seus navegadores em vez de clicarem em links e ler atentamente os detalhes dos pedidos de permissão antes de assinarem qualquer transação. Para utilizadores que gerem grandes ativos, considere o uso de carteiras de hardware e soluções de múltiplas assinaturas, que podem melhorar significativamente a segurança.
