O que é, na verdade, um ataque de phishing em cripto
Um ataque de phishing em cripto é uma tentativa de engenharia social concebida para levar um utilizador a assinar uma transação na blockchain, aprovar uma autorização de token ou entregar uma seed phrase. O atacante raramente precisa de encontrar uma falha de software. A blockchain em si, quer funcione sobre Bitcoin, Ethereum ou Solana, funciona exatamente como foi concebida. A vítima limita-se a autorizar uma transação que não compreende totalmente.
Esta é a parte que confunde quem está a começar. Se a cadeia é segura e a carteira está encriptada, como é que o dinheiro desaparece? A resposta honesta é que a criptografia protege a chave privada de uma carteira, mas não consegue proteger uma pessoa de assinar voluntariamente a mensagem errada. O phishing explora a diferença entre o que uma transação parece ser e o que ela efetivamente faz on-chain.
O phishing em cripto é também invulgarmente definitivo. Um banco pode reverter uma transferência fraudulenta. Uma blockchain não pode, por conceção. É esse o ponto central do dinheiro descentralizado, e é precisamente por isso que os scammers o adoram. Assim que uma transação de drainer é confirmada, os fundos movem-se para a carteira do atacante, e a recuperação depende da boa vontade de serviços centralizados que podem ou não existir a jusante.
Os riscos reais: o que corre efetivamente mal
Antes de falar sobre como o phishing funciona, vale a pena ser direto sobre o que está em jogo, porque os modos de falha não são abstratos.
Drenagem total da carteira. Uma assinatura bem-sucedida pode autorizar um smart contract a mover todos os tokens e NFTs na sua carteira, e não apenas um token. Este é o pior cenário, e o mais comum em 2024 e 2025. As vítimas entram muitas vezes na carteira à espera de ver o seu portfólio e encontram uma carteira vazia minutos depois de assinar.
Roubo de um token específico. Algumas aprovações estão limitadas a um único token ERC-20. O utilizador pode manter a maior parte do seu saldo, mas perde o ativo de elevado valor específico que o atacante visava, frequentemente uma stablecoin como USDT ou USDC, ou um token popular como ETH ou SOL.
Roubos repetidos a partir da mesma aprovação. Esta é a parte que os iniciantes ignoram. Uma aprovação não é um evento único. Depois de assinar setApprovalForAll numa coleção de NFTs, por exemplo, o atacante pode invocar essa aprovação vezes sem conta até que a aprovação seja revogada. Muitas vítimas são drenadas uma segunda vez porque nunca revogaram a assinatura original.
Perda total da seed phrase. Uma categoria mais pequena, mas muito mais catastrófica, de phishing visa a própria seed phrase. Aplicações de carteira falsas, falsos agentes de "suporte" e extensões de navegador maliciosas podem todos capturar as 12 ou 24 palavras que fazem o backup completo de uma carteira. Com essas palavras, o atacante não precisa de assinaturas. Limita-se a restaurar a carteira no próprio dispositivo e esvaziá-la.
Comprometimento da reputação e da conta. Em cadeias como Ethereum, assinar uma mensagem maliciosa pode publicar uma afirmação on-chain, como "eu sou um scammer", ou atribuir ao atacante um token que lhe permite fazer-se passar por si em determinadas aplicações. Estes casos são mais raros, mas mostram a flexibilidade do abuso de assinaturas.
O resumo honesto: o phishing é a causa mais comum de perdas individuais em cripto, e as perdas são, em geral, totais e irreversíveis. Não é uma ameaça de nicho.
A anatomia de um ataque moderno de phishing cripto
O phishing cripto moderno é vendido como um produto. Kits de drainer como Pink Drainer, Inferno Drainer e Angel Drainer têm sido oferecidos em fóruns da dark web como serviços de assinatura, completos com dashboards, apoio ao cliente e esquemas de partilha de lucros. A barreira de entrada para um aspirante a burlão é surpreendentemente baixa, e é por isso que o volume de ataques continua a aumentar.
Apesar da variedade, a kill chain segue uma sequência previsível. Compreender cada passo é a única forma fiável de a quebrar, porque os atacantes ganham ou perdem no momento da assinatura.
Passo 1: a isca
Todos os ataques começam com uma razão para clicares. As iscas mais comuns no ciclo atual são:
- Airdrops falsos. Uma mensagem afirma que és elegível para um airdrop gratuito de um projeto real. A ligação leva-te a um site que parece idêntico ao site verdadeiro do projeto. Sites de airdrop falsos e kits de drainer são frequentemente vendidos em conjunto, pelo que um único kit de phishing pode criar uma página de "reclamação", um contrato de token e um drainer de uma só vez.
- Ataques de envenenamento de endereço. Envias cripto para um endereço conhecido e, mais tarde, recebes uma pequena transação de "dust" de um endereço que começa e acaba com os mesmos caracteres. O atacante espera que, quando copiares o endereço do teu histórico para enviar um pagamento maior, copies o envenenado. A cadeia em si não é comprometida — o teu próprio histórico de transações é usado como arma.
- Extensões de navegador maliciosas. Extensões que fingem ser auxiliares de carteira, protetores de MEV ou rastreadores de preços podem ler tudo nas páginas que visitas. Quando ligas uma carteira, a extensão pode reescrever os dados da transação em trânsito, trocando o endereço de destino ou o contrato que estás a aprovar antes de assinares.
- Contas comprometidas de Discord, Telegram ou X. Projetos reais são hackeados. Quando a conta oficial de um projeto publica uma ligação de "reclama o teu airdrop", mesmo utilizadores cautelosos clicam. A ligação é real, a publicação é real, e o site é falso.
- Anúncios em motores de busca. Os atacantes compram anúncios para pesquisas como "Uniswap login" ou "MetaMask support". O anúncio aparece no topo do Google, acima do resultado verdadeiro. A ligação no anúncio aponta para um domínio semelhante.
Passo 2: o site semelhante
A isca leva-te a um site visualmente idêntico a um verdadeiro. O domínio é o único diferenciador, e é concebido para enganar num olhar rápido. uniswаp.org usa um "a" cirílico. metamask-io.com acrescenta um hífen e um sufixo. A página pede-te para ligar uma carteira, o que parece normal porque todas as dApps legítimas fazem o mesmo.
Nesta fase, ainda não houve movimento de fundos. A tua carteira ainda não está comprometida. O atacante apenas colocou uma porta falsa à tua frente. Se passas ou não por ela depende do que acontece a seguir.
Passo 3: o pedido de assinatura, onde reside a kill chain
Este é o momento em que tudo se decide. Ligar uma carteira a um site não move fundos. O que move fundos é assinar uma transação ou uma mensagem. Os drainers são concebidos para fazer com que essa assinatura pareça rotineira, para que o utilizador assine sem pensar.
Os tipos de assinatura mais explorados em 2024 e 2025 são:
- permit e permit2. Uma assinatura off-chain que permite a um contrato puxar um token específico da tua carteira mais tarde, sem que assines outra transação. A UI da carteira apresenta isto frequentemente como uma "aprovação sem gás" e esconde os detalhes técnicos. A assinatura é válida por tempo indeterminado e é difícil de revogar.
- setApprovalForAll em ERC-721 ou ERC-1155. Isto concede a um contrato permissão para mover todos os NFTs de uma coleção da tua carteira. A UI da carteira costuma descrevê-lo de forma simples, mas a maioria dos utilizadores não sabe o que setApprovalForAll significa, e os atacantes contam com isso.
- increaseAllowance em tokens ERC-20. O clássico "infinite approval". Assinas uma vez, e um contrato malicioso pode drenar esse token específico da tua carteira em qualquer momento futuro.
- eth_sign e personal_sign. Um pedido de assinatura em branco. A carteira mostra um aviso legível, mas é pedido ao utilizador que assine um hash. A mensagem assinada pode, por vezes, ser reproduzida como uma transação, dependendo da cadeia e da versão da carteira.
Este é o problema de assinar-o-que-vês (ou assinar-o-que-não-vês). As interfaces das carteiras melhoraram, mas ainda não conseguem traduzir totalmente uma chamada de smart contract em linguagem simples. Um pedido que diz "set approval for all tokens in collection X to address Y" é tecnicamente exato. É também exatamente o que um atacante precisa. O hábito de ler o nome do método, o endereço do spender e o contrato que está a ser chamado é a defesa mais útil que um utilizador pode construir.
Passo 4: o drain
Quando a assinatura maliciosa entra, o atacante chama a função aprovada. Num único bloco, o conteúdo da carteira move-se para o endereço do atacante. A vítima pode nem sequer ver a transação de saída antes de esta ser confirmada. Em cadeias como a Solana, onde as transações podem agrupar várias ações, o drain pode esvaziar uma carteira numa única assinatura que parece um simples "claim".
Após o drain, o atacante tipicamente faz passar os fundos por um mixer ou uma bridge cross-chain, depois por uma exchange sem KYC, e o rasto esfria-se. Alguns fundos acabam por ser congelados quando tocam numa exchange regulada, mas a maioria não. É por isso que a prevenção é o jogo inteiro.
Porque é que o phishing funciona tão bem, mesmo em utilizadores experientes
A razão pela qual o phishing continua a ter sucesso em cripto não é que os utilizadores são descuidados. É que as defesas são genuinamente difíceis.
A ilusão visual é fácil. Um clone perfeito de um site real custa a um burlão algumas centenas de dólares. A assimetria é brutal: um utilizador tem de estar vigilante 100% do tempo, um atacante só precisa de ganhar uma vez.
A UI da carteira não é o mesmo que um extrato bancário. Quando assinas uma transação, vês normalmente o nome do método, uma estimativa de gás e um campo de dados em hex. Os dados em hex são a parte que realmente descreve o que estás a autorizar, e quase ninguém os lê. A carteira mostra-te o suficiente para assinar, não o suficiente para compreender.
Os endereços não são legíveis. Um endereço de Ethereum ou Solana é uma longa cadeia de caracteres hex ou ruído em base58. Os ataques de envenenamento de endereço funcionam precisamente porque ninguém consegue distinguir visualmente dois endereços que diferem por um carácter no meio.
O contexto social é explorado. O phishing chega frequentemente dentro de uma conversa real, num Discord real, da conta comprometida de um amigo real. A confiança é emprestada.
FOMO e urgência. "Reclama nas próximas 2 horas ou a tua alocação desaparece" é uma tática clássica de pressão. Funciona com utilizadores de cripto porque os prazos de airdrop são reais, e o reflexo é agir depressa.
A solução não é ser mais esperto que o burlão. A solução é desenhar hábitos que não dependam de estares num bom dia.
Como defender-te, hábito a hábito
Apresenta-se de seguida um conjunto de hábitos que, em conjunto, quebram a kill chain num de vários pontos. Nenhum deles requer ferramentas ou conhecimentos especiais.
Verifica o URL antes de clicares, e outra vez antes de assinares
Escreve o URL do projeto tu mesmo, ou chega lá a partir de um marcador. Nunca confies numa ligação numa DM, num anúncio ou num resultado de pesquisa, mesmo que a página pareça idêntica. Olha para o domínio na barra de endereço do teu navegador, não para o texto da ligação. Se tiveres qualquer dúvida, navega para fora e volta a introduzir o URL de raiz.
Lê a assinatura, não apenas o pedido da carteira
A maioria das carteiras modernas mostra-te o endereço do contrato, a função que está a ser chamada e, por vezes, uma versão descodificada. Trata-o como ler um contrato antes de assinares. Se a função for setApprovalForAll, permit ou increaseAllowance num contrato que não reconheces, não assines. Se a carteira está a mostrar um genérico "Sign In With Ethereum" ou um hash em branco, abranda.
Também podes colar o endereço do contrato num block explorer como Etherscan ou Solscan antes de assinar. Se o contrato não está verificado, não tem nome, ou foi implementado nos últimos dias, esse é um sinal forte para te afastares.
Usa uma carteira "quente" separada e um cofre "frio"
Mantém a maior parte do teu ETH, SOL ou BTC numa carteira que nunca se liga a dApps. Usa uma segunda carteira, de saldo mais pequeno, para trading, airdrops e DeFi. Se a carteira quente for drenada, a perda é limitada. Esta é a defesa estrutural mais eficaz contra o phishing.
Revoga aprovações antigas periodicamente
As aprovações não expiram por defeito. Ferramentas como revoke.cash e o inspetor de aprovações da Etherscan permitem-te ver e revogar antigas permissões de tokens e NFTs. Revogar tem um pequeno custo de gás e é uma limpeza pontual. Uma revisão trimestral é um ritmo razoável.
Atenção ao envenenamento de endereços
Nunca copies um endereço de destinatário do teu histórico de transações. Copia-o sempre da fonte, idealmente lendo um código QR, ou usando uma funcionalidade da carteira que identifique contactos conhecidos. Se um estranho te enviar uma pequena quantidade de ETH ou SOL sem motivo, ignora. Não interajas com o endereço. É quase certamente um envenenamento.
Audita as tuas extensões de navegador
Remove qualquer extensão que não uses ativamente. As extensões de navegador têm acesso total às páginas que visitas, e as maliciosas podem reescrever os dados que a tua carteira está prestes a assinar. Se precisares de uma carteira, usa a extensão oficial do site da própria carteira, não um "auxiliar" de terceiros.
Nunca introduzas a tua seed phrase em lado nenhum
Nenhuma carteira legítima, dApp ou agente de apoio te pedirá a tua seed phrase. Quem quer que o faça está a atacar-te, sem exceção. Esta é a única regra sem exceções.
O que fazer se já assinaste algo suspeito
Se já assinaste um permit, approval ou setApprovalForAll num contrato em que não confias, o dano pode ainda não estar consumado. O contrato do atacante precisa de ser chamado para realmente mover os fundos, e há frequentemente uma janela antes que isso aconteça.
O primeiro passo é revogar a aprovação imediatamente, usando revoke.cash ou uma ferramenta semelhante. O segundo passo é mover quaisquer ativos valiosos da carteira comprometida para uma carteira nova que nunca tenha tocado no site malicioso. A velocidade é essencial, porque os drainers automatizados correm tipicamente em bots que monitorizam novas aprovações.
Se já foste drenado, os fundos são quase certamente irrecuperáveis on chain. O que podes fazer é reportar o incidente às autoridades, partilhar o endereço do atacante com serviços de etiquetagem de block explorers e notificar quaisquer exchanges centralizadas que possam estar a jusante. É uma pequena consolação, mas é a única honesta.
Não tenhas vergonha. Os kits de drainer são desenhados por equipas criminosas profissionais, e apanham utilizadores experientes. A resposta certa é aprender os hábitos acima e desenhar a tua configuração para que o próximo erro seja um erro pequeno.
Como seguir as ameaças de phishing de forma inteligente
As táticas de phishing mudam todos os trimestres. Surgem novos kits de drainer, novos formatos de isco viralizam e truques antigos reaparecem com uma nova aparência. Acompanhar que esquemas estão ativos e que contratos estão a ser denunciados como maliciosos é um trabalho a sério se tentar fazê-lo manualmente. O Zippfeed destaca notícias de ataques de phishing em cripto, alertas de segurança e avisos da comunidade com pontuação de sentimento, bullish, neutral ou bearish, e uma classificação de importância, para que possa detetar novas ameaças antes que estas cheguem à sua carteira. Combine esse feed com os hábitos acima e terá uma defesa muito mais difícil de apanhar desprevenida.
