Resumo

• A maioria dos utilizadores de cripto não é hackeada através de explorações complexas, mas sim, é hackeada ao clicar, assinar ou confiar na coisa errada. Este relatório analisa como essas falhas do dia a dia acontecem.
• Desde kits de phishing e drenadores de carteiras até malware e fraudes de suporte falso, a maioria dos ataques visa os usuários diretamente, não os protocolos, tornando o fio comum o contexto humano, não o código.
• Este relatório delineia o 101 dos exploits cripto no que diz respeito a utilizadores individuais, abrangendo uma lista de exploits comuns, bem como exemplos da vida real e o que ter em atenção.

1. O que precisa de saber: Você é a superfície de ataque

Cripto é autoconservado por design. Essa é a característica. Mas esse atributo fundamental, que é central para os valores da indústria, pode muitas vezes tornar você, o usuário, um ponto único de falha. Em muitos casos de indivíduos perdendo seus fundos em cripto, não é um erro no protocolo: é um clique. Uma DM. Uma aprovação. Um momento de confiança ou descuido ao realizar uma tarefa cotidiana aparentemente não consequente que pode alterar o curso das experiências de um com cripto.

Este relatório não é um whitepaper técnico nem uma revisão da lógica de contratos inteligentes, mas sim um modelo de ameaça para indivíduos. Uma análise de como os usuários são explorados na prática e o que fazer a respeito. O relatório focará em explorações a nível pessoal: phishing, aprovações de carteira, engenharia social, malware. Também cobrirá brevemente os riscos a nível de protocolo no final para dar uma visão do espectro de explorações que ocorrem em cripto.

2. O Livro de Jogadas de Exploração Completo (Meio que)

A natureza permanente e irreversível das transações que ocorrem em ambientes sem permissão, muitas vezes sem a intervenção de intermediários, combinada com o fato de que os usuários individuais são responsáveis por interagir com contrapartes anônimas nos mesmos dispositivos e navegadores que mantêm ativos financeiros, torna o cripto um terreno de caça único para hackers e outros criminosos. Abaixo está uma lista extensa dos tipos de explorações que os indivíduos podem enfrentar, mas os leitores devem estar cientes de que, embora esta lista cubra a maioria das explorações, ela não é exaustiva. A lista pode ser avassaladora para aqueles que não estão familiarizados com cripto, mas uma boa parte dessas são explorações “regulares” que ocorrem há bastante tempo na era da internet e não são exclusivas desta indústria. O §3 cobrirá alguns métodos de exploração chave em detalhe.

2.1 Ataques de Engenharia Social

Ataques que dependem de manipulação psicológica para enganar indivíduos a comprometer sua segurança.

• Phishing: E-mails, mensagens ou sites falsos imitam plataformas reais para roubar credenciais ou frases-semente (mais em §3).
• Fraudes de Impersonação: Os atacantes fazem-se passar por influenciadores, líderes de projetos ou suporte ao cliente para ganhar confiança e extrair fundos ou informações sensíveis.
• Fraudes de Frases Sementes: Os utilizadores são enganados a revelar frases de recuperação através de ferramentas de recuperação falsas ou sorteios.
• Airdrops Falsos: Atrair usuários com tokens gratuitos para incitar interações inseguras com carteiras ou compartilhamento de chaves privadas.
• Ofertas de Emprego Falsas: Disfarçadas de oportunidades de emprego mas destinadas a instalar malware ou a coletar dados sensíveis.
• Esquemas Pump-and-Dump: Esforços coordenados socialmente para promover e despejar tokens em participantes de varejo desavisados.

Figura 1: As consequências da engenharia social podem ser muito severas
Fonte: Cointelegraph

2.2 Telecom & Account Takeover

Explorando infraestruturas de telecomunicações ou fraquezas a nível de conta para contornar a autenticação.

• Troca de SIM: Os atacantes sequestram o número de telefone de uma vítima para interceptar códigos de 2FA e redefinir credenciais de conta (mais em §3).
• Credential Stuffing: Reutilização de credenciais vazadas de violações para aceder a carteiras ou contas de câmbio.
• Bypass 2FA: Explorando autenticação fraca ou baseada em SMS para obter acesso não autorizado.
• Sequestro de Sessão: Roubo de sessões de navegador através de malware ou redes não seguras para assumir contas já logadas.

Figura 2: Um Tweet falso da SEC via uma troca de SIM
Fonte: Twitter

2.3 Malware e Exploits de Dispositivo

Comprometer o dispositivo do utilizador para extrair o acesso à carteira ou manipular transações (mais em §3).

• Keyloggers: Registam as teclas para roubar palavras-passe, PINs e frases-semente.
• Sequestradores de Área de Transferência: Substitua endereços de carteira colados por aqueles controlados por atacantes.
• Trojans de Acesso Remoto (RATs): Permitem que os atacantes tenham controle total da máquina de uma vítima, incluindo carteiras.
• Extensões de Navegador Maliciosas: Extensões comprometidas ou falsas roubam dados ou manipulam transações.
• Carteiras ou Apps Falsas: Aplicações falsas (móveis ou de navegador) que drenam fundos ao serem utilizadas.
• Ataques Man-in-the-Middle (MITM): Interceptar e modificar a comunicação entre o utilizador e o serviço, especialmente em redes inseguras.
• Ataques a Wi-Fi Não Seguros: Wi-Fi público ou comprometido permite a intercepção de dados sensíveis durante logins ou transferências.

Figura 3: Carteiras falsas são um golpe comum que visa utilizadores iniciantes de cripto.
Fonte: cryptorank

2.4 Explorações a Nível de Carteira

Ataques direcionados a como os usuários gerenciam ou interagem com carteiras e interfaces de assinatura.

• Drenos de Aprovação: Contratos inteligentes maliciosos exploram aprovações de tokens anteriores para drenar tokens.
• Ataques de Assinatura Cega: Os usuários assinam cargas obscuras que resultam em perda de fundos (por exemplo, de carteiras de hardware).
• Roubo de Frases Sementes: Exfiltração de frases de recuperação via malware, phishing ou má higiene de armazenamento.
• Chaves Privadas Comprometidas: Armazenamento inseguro (por exemplo, em drives na nuvem ou notas em texto simples) levando ao vazamento de chaves.
• Carteiras de Hardware Comprometidas: Dispositivos adulterados ou falsificados expõem chaves privadas a atacantes.

2.5 Riscos de Contratos Inteligentes e a Nível de Protocolo

Riscos decorrentes de interações com código on-chain malicioso ou vulnerável.

• Contratos Inteligentes Rogue: Lógica maliciosa oculta que drena fundos quando interagida.
• Ataques de Empréstimos Rápidos: Explorações que utilizam empréstimos não garantidos para manipular preços ou a lógica do protocolo.
• Manipulação de Oracle: O atacante distorce as feeds de preços para explorar protocolos que dependem de dados falhos.
• Saídas de Golpes de Liquidez: Criadores desenham tokens/pools onde apenas eles podem retirar valor, deixando os usuários presos.
• Ataques Sybil: Identidades falsas distorcem sistemas descentralizados, particularmente a governança ou a elegibilidade para airdrop.

Figura 4: Um empréstimo relâmpago foi responsável por um dos maiores exploits do DeFi
Fonte: Elliptic

2.6. Projetos e Fraudes de Manipulação de Mercado

Esquemas ligados à estrutura de tokens, projetos DeFi ou coleções de NFT.

• Rug Pulls: Os fundadores do projeto desaparecem após levantar capital, deixando tokens sem valor para trás.
• Projetos Falsos: Coleções fraudulentas atraem usuários para golpes de mintagem ou para assinar transações prejudiciais.
  Ataques de Poeira: Transferências minúsculas de tokens usadas para desanonimizar carteiras e identificar alvos para phishing ou fraudes.

2.7. Ataques à Web & Infraestrutura

Explorando a infraestrutura de nível de front-end ou DNS em que os usuários confiam.

• Ataques de Front-End / Falsificação de DNS: Os atacantes redirecionam os usuários para interfaces maliciosas para roubar credenciais ou induzir transações inseguras.
• Explorações de Pontes: Hacks de pontes entre cadeias que comprometem os fundos dos usuários durante a transferência.

2.8. Ameaças Físicas

Riscos do mundo real envolvendo coerção, roubo ou vigilância.

• $5 Wrench Attack: As vítimas são fisicamente coagidas a transferir fundos ou a revelar frases de semente.
• Roubo Físico: Dispositivos ou backups (por exemplo, carteiras de hardware, cadernos) são roubados para obter acesso.
• Shoulder Surfing: Observar ou filmar utilizadores a introduzir dados sensíveis em ambientes públicos ou privados.

Figura 5: Infelizmente, as ameaças físicas têm sido comuns
Fonte: The New York Times

3. Exploits Chave a Ter em Conta

Alguns exploits acontecem mais do que outros. Aqui estão três exploits que indivíduos que detêm ou interagem com cripto devem conhecer, incluindo como preveni-los. Uma agregação de técnicas de prevenção e características chave a ter em conta será listada no final da seção, uma vez que existem sobreposições entre os vários métodos de exploit.

3.1 Phishing (Incluindo Carteiras Falsas e Airdrops)

O phishing existe há décadas antes do cripto e o termo surgiu na década de 1990 para descrever atacantes que "pescam" informações sensíveis, geralmente credenciais de login, através de e-mails e sites falsos. À medida que o cripto surgiu como um sistema financeiro paralelo, o phishing evoluiu naturalmente para visar frases-semente, chaves privadas e autorizações de carteiras, ou seja, os equivalentes cripto de "controle total."

O phishing cripto é especialmente perigoso porque não há recurso: sem estornos, sem proteção contra fraudes e sem suporte ao cliente que possa reverter uma transação. Uma vez que a sua chave é roubada, os seus fundos estão praticamente perdidos. É também importante lembrar que o phishing é às vezes apenas o primeiro passo em uma exploração mais ampla, tornando o verdadeiro risco não a perda inicial, mas a longa sequência de compromissos que se seguem, por exemplo, credenciais comprometidas podem permitir que um atacante se passe pela vítima e engane outros.

Como funciona o phishing?

No seu núcleo, o phishing explora a confiança humana ao apresentar uma versão falsa de uma interface de confiança, ou ao se passar por alguém autoritário, para enganar os usuários a entregarem voluntariamente informações sensíveis ou a aprovarem ações maliciosas. Existem vários vetores de entrega principais:

• Sites de Phishing
  • Versões falsas de carteiras (por exemplo, MetaMask, Phantom), exchanges (por exemplo, Binance) ou dApps.
  • Frequentemente promovido através de anúncios do Google ou partilhado em grupos do Discord/Twitter, projetado para parecer idêntico ao site real, pixel a pixel.
  • Os utilizadores podem ser convidados a "importar uma carteira" ou "recuperar fundos", colhendo a sua frase-semente ou chave privada.
• Emails & Mensagens de Phishing
  • Parece comunicação oficial (por exemplo, "atualização de segurança urgente" ou "conta comprometida").
  • Incluir links para portais de login falsos ou direcioná-lo a interagir com tokens ou contratos inteligentes maliciosos.
  • Comum no Telegram, Discord, DMs do Twitter e até SMS.
• Carteiras Falsas ou Extensões de Navegador
  • Disponível nas lojas de aplicativos ou como extensões do Chrome.
  • Imitam funcionalmente carteiras reais, mas encaminham a sua chave privada ou dados de transação para atacantes.
  • Alguns permitem até que você transfira fundos apenas para serem drenados minutos depois.
• Esquemas de Airdrop
  • Envios de tokens falsos para carteiras (especialmente em cadeias EVM).
  • Clicar no token ou tentar negociá-lo provoca uma interação com um contrato malicioso.
  • Pode solicitar furtivamente aprovações de token ilimitadas ou roubar o seu token nativo através de uma carga assinada.

Figura 6: Tenha sempre cuidado quando vir "grátis" em cripto
Fonte: Presto Research

Exemplos de phishing
O hack do Atomic Wallet de junho de 2023, atribuído ao Grupo Lazarus da Coreia do Norte, é um dos ataques de phishing puro mais destrutivos na história do cripto. Levou ao roubo de mais de 100 milhões de dólares em criptomoeda, comprometendo mais de 5.500 carteiras não custodiais, sem exigir que os usuários assinassem quaisquer transações maliciosas ou interagissem com contratos inteligentes. Este ataque focou exclusivamente na extração de frases-semente e chaves privadas através de interfaces enganosas e malware - um exemplo clássico de roubo de credenciais baseado em phishing.
Atomic Wallet é uma carteira multi-chain e não custodial que suporta mais de 500 criptomoedas. Neste incidente, atacantes lançaram uma campanha de phishing coordenada que explorou a confiança que os usuários depositavam na infraestrutura de suporte da carteira, nos processos de atualização e na identidade da marca. As vítimas foram atraídas através de e-mails, sites falsos e atualizações de software trojanizadas, todas projetadas para imitar comunicações legítimas da Atomic Wallet.

Os vetores de phishing incluíam:

• Emails falsos que se fazem passar pelo suporte ou alertas de segurança da Atomic Wallet, urgindo uma ação imediata.
• Sites falsificados (e.g. atomic-wallet[.]co) que imitou a interface de recuperação da carteira ou de reivindicação de recompensa.
• Atualizações maliciosas distribuídas através do Discord, email e fóruns comprometidos, que direcionavam os usuários para páginas de phishing ou extraíam credenciais através de malware local.

Uma vez que os utilizadores inseriram as suas frases-semente de 12 ou 24 palavras ou chaves privadas nestas interfaces fraudulentas, os atacantes obtiveram acesso total às suas carteiras. Esta exploração não envolveu qualquer interação on-chain por parte da vítima: nenhuma ligação à carteira, nenhum pedido de assinatura e nenhuma envolvência de contratos inteligentes. Em vez disso, baseou-se inteiramente em engenharia social e na disposição do utilizador em restaurar ou verificar a sua carteira numa plataforma que parecia ser de confiança.

3.2 Drainers de Carteira e Aprovações Maliciosas

Um drainer de carteira é um tipo de contrato inteligente ou dApp malicioso projetado para extrair ativos da sua carteira, não roubando a sua chave privada, mas enganando-o para autorizar o acesso a tokens ou assinar transações perigosas. Ao contrário do phishing, que busca as suas credenciais, os drainers exploram permissões - o mecanismo elemental de confiança que alimenta o Web3.

À medida que as aplicações DeFi e Web3 se tornaram mainstream, carteiras como MetaMask e Phantom popularizaram a ideia de "conectar" a dApps. Isso trouxe conveniência, mas também uma enorme superfície de ataque. Entre 2021 e 2023, os drenos de aprovação explodiram em popularidade através de mintagens de NFT, airdrops falsos e dApps que foram rug-pull começaram a embutir contratos maliciosos em interfaces familiares. Os usuários, muitas vezes entusiasmados ou distraídos, conectavam suas carteiras e clicavam em "Aprovar" sem perceber o que estavam a autorizar.

Como isso é diferente de phishing?
Phishing envolve enganar alguém para que revele voluntariamente credenciais sensíveis, como uma frase-semente, palavra-passe ou chave privada. Conectar a sua carteira não revela as suas chaves ou frases, uma vez que não está a entregar segredos, está a assinar transações ou a conceder permissões. Estas explorações ocorrem através da lógica de contratos inteligentes, não pelo roubo das suas credenciais, tornando-as mecanicamente diferentes de phishing. Está a autorizar o esvaziamento, muitas vezes sem se aperceber, o que se assemelha mais a uma "armadilha de consentimento" do que ao roubo de credenciais.
Você pode pensar em phishing como baseado em CREDENTIALS e drenadores de carteira / aprovações maliciosas como baseado em PERMISSION.

A mecânica do ataque
Aprovações maliciosas exploram os sistemas de permissão em padrões de blockchain como ERC-20 (tokens) e ERC-721/ERC-1155 (NFTs). Elas enganam os usuários, levando-os a conceder aos atacantes acesso contínuo aos seus ativos.

• Noções básicas de aprovação de token:
  • Tokens ERC-20: A função approve(address spender, uint256 amount) permite que um “spender” (por exemplo, um DApp ou atacante) transfira uma quantidade especificada de tokens da carteira do usuário.
  • NFTs: A função setApprovalForAll(endereço operador, bool aprovado) concede a um “operador” a permissão para transferir todos os NFTs de uma coleção.
  • Essas aprovações são padrão para DApps (por exemplo, Uniswap precisa de aprovação para trocar tokens), mas os atacantes as exploram de maneira maliciosa.
• Como os atacantes obtêm aprovação:
  • Prompts enganosos: Um site de phishing ou DApp comprometido solicita ao usuário que assine uma transação rotulada como "conexão de carteira", "troca de token" ou "reivindicação de NFT". A transação, na verdade, chama approve ou setApprovalForAll para o endereço do atacante.
  • Aprovações ilimitadas: Os atacantes costumam solicitar limites de token ilimitados (por exemplo, uint256.max) ou setApprovalForAll(true), dando-lhes controlo total sobre os tokens ou NFTs do utilizador.
  • Assinatura Cega: Algumas DApps requerem a assinatura de dados opacos, tornando difícil identificar aprovações maliciosas. Mesmo com carteiras de hardware como a Ledger, os detalhes exibidos podem parecer benignos (por exemplo, “Aprovar Token”), mas ocultam a intenção do atacante.
• Explotação:
  • Roubo imediato: O atacante usa a aprovação para transferir tokens/NFTs para a sua carteira logo após a transação.
  • Roubo atrasado: O atacante espera (às vezes semanas ou meses) para esvaziar ativos, reduzindo a suspeita. Por exemplo, um atacante com setApprovalForAll pode transferir NFTs sempre que quiser.
  • Ataques em massa: Drainers como Angel Drainer escaneiam aprovações em várias carteiras e drenam-nas em grande quantidade durante os pump de mercado ou quedas de NFT de alto valor.

Exemplos de drenos de carteira / aprovações maliciosas
O golpe Monkey Drainer, ativo principalmente em 2022 e no início de 2023, foi um notório conjunto de ferramentas de phishing "drainer-as-a-service" responsável por roubar milhões em cripto (incluindo NFTs) através de websites enganosos e contratos inteligentes maliciosos. Ao contrário do phishing tradicional, que depende da coleta de frases-semente ou senhas dos usuários, o Monkey Drainer operava através de assinaturas de transação maliciosas e abuso de contratos inteligentes, permitindo que os atacantes extraíssem tokens e NFTs sem a compromissão direta de credenciais. Ao enganar os usuários para assinar aprovações perigosas em cadeia, o Monkey Drainer possibilitou mais de $4,3 milhões em roubo em centenas de carteiras antes de sua interrupção no início de 2023.

Figura 7: O famoso detetive on-chain ZachXBT revela fraudes Monkey Drainer
Fonte: Twitter (@zachxbt)

O kit era popular entre atacantes de baixa habilidade e amplamente comercializado em comunidades subterrâneas do Telegram e da dark web. Ele permitia que afiliados clonassem sites de mintagem falsos, impersonassem projetos reais e configurassem o backend para encaminhar transações assinadas para um contrato de drenagem centralizado. Esses contratos foram projetados para explorar permissões de token, contando com os usuários para assinarem inadvertidamente mensagens que concediam ao endereço do atacante acesso a ativos através de funções como setApprovalForAll() (NFTs) ou permit() (tokens ERC-20).

Notavelmente, o fluxo de interação evitou phishing direto: as vítimas não foram perguntadas sobre suas chaves privadas ou frases-semente. Em vez disso, elas interagiram com dApps aparentemente legítimos, frequentemente em páginas de cunhagem com contagens regressivas ou marcas promovidas. Uma vez conectado, os usuários eram solicitados a assinar uma transação que não compreendiam totalmente, muitas vezes mascarada por uma linguagem de aprovação genérica ou ofuscação da interface da carteira. Essas assinaturas não transferiam fundos diretamente, mas autorizavam o atacante a fazê-lo a qualquer momento. Com permissões concedidas, o contrato drainer poderia executar retiradas em lote em um único bloco.

Uma característica do método Monkey Drainer era sua execução atrasada: os ativos roubados eram frequentemente drenados horas ou dias depois, para evitar suspeitas e maximizar o rendimento. Isso o tornava particularmente eficaz contra usuários com grandes carteiras ou atividade de negociação ativa, cujas aprovações se misturavam aos padrões normais de uso. Vítimas de alto perfil incluíam colecionadores de NFT que perderam ativos de projetos como CloneX, Bored Apes e Azuki.

Embora o Monkey Drainer tenha cessado operações em 2023, presumivelmente para "manter-se discreto", a era dos drainers de carteiras continua a evoluir, representando uma ameaça persistente para os usuários que não compreendem ou subestimam o poder de uma aprovação em cadeia.

3.3 Malware e Explorações de Dispositivo

Finalmente, ‘malware e explorações de dispositivos’ referem-se a uma ampla e versátil gama de ataques que abrangem vários vetores de entrega, todos com o objetivo de comprometer o computador, telefone ou navegador de um utilizador, tipicamente através de software malicioso instalado por meio de engano. O objetivo é geralmente roubar informações sensíveis (por exemplo, frases-semente, chaves privadas), interceptar interações de carteira ou dar ao atacante controle remoto do dispositivo da vítima. Em cripto, esses ataques frequentemente começam com engenharia social, como uma oferta de emprego falsa, uma atualização de aplicativo fraudulenta ou um arquivo enviado via Discord, mas rapidamente escalam para um compromisso total do sistema.

O malware existe desde os primeiros dias da computação pessoal. Em contextos tradicionais, era usado para roubar informações de cartões de crédito, coletar logins ou sequestrar sistemas para spam ou ransomware. À medida que o cripto ganhou força, os atacantes mudaram de estratégia: em vez de visarem credenciais para bancos online (que podem ser revertidas), agora têm como alvo roubar ativos cripto irreversíveis.

Como Esses Ataques Começam… O Ângulo da Engenharia Social

A maioria dos malware não se espalha aleatoriamente: requer que a vítima seja enganada para executá-lo. É aqui que a engenharia social entra.

Métodos de Entrega Comuns:

• Ofertas de Emprego Falsas: A vítima candidata-se a um emprego falso em Web3, recebe um “teste técnico” ou “link de entrevista” contendo malware.
• Links do Discord ou Telegram: Enviados como "ferramentas de giveaway", "capturas de ecrã" ou ficheiros de suporte falsos.
• Anexos de Email: Currículo, whitepaper ou formatos de fatura (PDF, .docx, .exe) que contenham código malicioso.
• Atualizações Falsas: Janelas pop-up ou sites falsificados oferecendo "última versão do MetaMask/Phantom".
• Downloads automáticos: Apenas visitar um site pode acionar um payload em segundo plano, especialmente em navegadores desatualizados.

O fio condutor: O atacante cria um contexto crível que convence o usuário a clicar, baixar ou abrir algo perigoso.

Tipos de Malware Comuns em Explorações Cripto

• Keyloggers: Registam cada tecla pressionada, incluindo frases-semente, palavras-passe e PINs. Especialmente perigosos se o utilizador digitar a sua frase-semente num editor de texto, login de bolsa ou campo de recuperação de carteira.
• Roubadores de Clipboard: Monitorizam endereços de carteira copiados e substituem-nos pelo endereço do atacante ao colá-los. As vítimas muitas vezes não notam e enviam fundos, pensando que colaram o seu próprio endereço, mas já foi trocado.
• Trojans de Acesso Remoto (RATs): Dão ao atacante controle total sobre o dispositivo da vítima. Isso inclui ler arquivos, ver telas, capturar sessões de navegador e até exportar frases-semente diretamente de aplicativos de carteira como o Exodus ou carteiras baseadas em navegador.
• Carteiras ou Aplicações Falsas: Parecem carteiras legítimas, mas estão pré-carregadas com código malicioso. Comuns em sites APK do Android ou lojas de extensões do Chrome. Algumas parecem funcionais até você enviar fundos ou restaurar uma seed, momento em que os fundos são exfiltrados.
• Extensões de Navegador Maliciosas: Comprometer ou imitar extensões cripto reais para monitorizar atividades, injetar cargas maliciosas ou solicitar pedidos de assinatura falsos. Muitas vezes pedem permissões extensivas sob o pretexto de “integração de carteira”.
• Infraestrutura Man-in-the-Middle (MITM): O malware configura um proxy ou sequestro de DNS para interceptar e manipular o tráfego entre você e a web, incluindo a troca de endereços ou o redirecionamento de transações assinadas.

Exemplo: O Golpe de Trabalho Axie Infinity de 2022

O golpe de emprego Axie Infinity de 2022, que levou ao enorme roubo da Ronin Bridge, é um exemplo primário de malware e exploração de dispositivos no espaço cripto, impulsionado por engenharia social sofisticada. Este ataque, atribuído ao grupo Lazarus patrocinado pelo estado norte-coreano, resultou no roubo de aproximadamente $620 milhões em cripto, tornando-se um dos maiores roubos de finanças descentralizadas (DeFi) até hoje.

Figura 8: O exploit do Axie Infinity chegou aos media TradFi
Fonte: Bloomberg TV

O hack foi uma operação em múltiplas fases que combinou engenharia social, implantação de malware e exploração de vulnerabilidades da infraestrutura de blockchain.

Os hackers, fazendo-se passar por recrutadores de uma empresa fictícia, visaram os funcionários da Sky Mavis através do LinkedIn: a Sky Mavis é a empresa por trás da Ronin Network, uma sidechain ligada ao Ethereum que alimenta o Axie Infinity, um popular jogo de blockchain play-to-earn. Na altura, a Ronin e o Axie Infinity tinham respetivos limites de mercado de cerca de 300 milhões de dólares e 4 mil milhões de dólares.

Vários funcionários foram abordados, mas um engenheiro sénior tornou-se o alvo principal com quem os atacantes realizaram várias rondas de entrevistas de emprego falsas para construir confiança, oferecendo um pacote de compensação extremamente generoso para atrair o engenheiro. Os atacantes enviaram um documento PDF, disfarçado como uma oferta de emprego formal, ao engenheiro. O engenheiro, acreditando que fazia parte do processo de contratação, fez o download e abriu o arquivo num computador da empresa. O PDF continha um RAT que infetou o sistema do engenheiro ao ser aberto, concedendo aos hackers acesso aos sistemas internos da Sky Mavis, provavelmente através de escalonamento de privilégios ou movimento lateral dentro da rede. Esta violação forneceu uma posição para atacar a infraestrutura da Ronin Network.

A mecânica do hack que continuou a explorar a ponte Ronin e o Axie DAO está além do escopo deste artigo de pesquisa, no entanto, essa exploração resultou em um roubo de 620 milhões de dólares (173.600 ETH e 25,5MM USDC) com apenas 30 milhões de dólares recuperados.

4. Como Proteger-se

As tentativas de exploração estão cada vez mais sofisticadas, mas ainda dependem de sinais reveladores. Os sinais de alerta incluem:

• “Importe a sua carteira para reclamar X”: Nenhum serviço legítimo pedirá nunca a sua frase-semente.
• DMs não solicitados: Especialmente oferecendo apoio, dinheiro ou ajuda com um problema sobre o qual você não perguntou.
• Domínios com erros de digitação: Exemplo, metamask.io vs metarnask.io.
• Google Ads: Links de phishing aparecem frequentemente acima do link real nos resultados de busca.
• Ofertas boas demais para serem verdade: Como promoções de "reclame 5 ETH" ou "dobre suas moedas".
• Urgência ou táticas de medo: "A sua conta foi bloqueada", "Reivindique agora ou perca fundos".
• Aprovações de Token Ilimitadas: Os utilizadores devem definir os montantes dos tokens por si mesmos.
• Pedidos de Assinatura Cega: Payloads hexadecimais sem explicação legível.
• Contratos não verificados ou obscuros: Se um token ou dApp é novo, verifique o que está a aprovar.
• Avisos Urgentes de UI: Táticas de pressão clássicas como “Você deve assinar isto agora ou perder a oportunidade”.
• Pop-ups de Assinatura do MetaMask: Especialmente com cargas úteis pouco claras, transações sem gás ou uma mistura de chamadas de função que você não entende.

Regras adicionais de OpSec (segurança operacional):

• Regras de Ouro
  • Nunca compartilhe sua frase-semente com ninguém, por qualquer motivo.
  • Marque sites oficiais: Navegue sempre diretamente. Nunca use motores de busca para carteiras ou trocas.
  • Não clique em tokens de airdrop aleatórios: Especialmente se você não optou por participar.
  • Evite DMs não solicitadas: Projetos legítimos RARAMENTE DM primeiro… (Exceto quando o fazem)
  • Use carteiras de hardware: Elas reduzem o risco de assinatura cega e previnem a exposição da chave.
  • Ative ferramentas de proteção contra phishing: Use extensões como PhishFort, Revoke.cash e bloqueadores de anúncios.
  • Use exploradores apenas de leitura: Ferramentas como Etherscan Token Approvals ou Revoke.cash mostram quais permissões a sua carteira tem.
  • Use carteiras descartáveis: Crie uma carteira nova com zero~poucos fundos para testar mintagens ou links primeiro. Isto minimizará quaisquer perdas.
  • Segmente os seus ativos: Não tenha todos os seus ativos em um só lugar.
• Práticas Avançadas Para O Usuário Cripto Experiente
  • Use um dispositivo ou perfil de navegador dedicado para atividades cripto - adicionalmente, pode ter um dispositivo dedicado para abrir links e DMs.
  • Verifique os rótulos de aviso de tokens do Etherscan: Muitos tokens de golpe são sinalizados.
  • Verifique os endereços de contrato em relação aos anúncios oficiais do projeto.
  • Inspecione os URLs com atenção: Especialmente em e-mails e chats, erros de ortografia sutis são comuns. Muitos aplicativos de mensagens e, claro, sites permitem hyperlinking - isso permite que alguém faça isso:www.google.com (está tudo bem, você pode clicar no link).
  • Cuidado com o que assina: Decifre sempre as transações (por exemplo, via MetaMask, Rabby, ou um simulador) antes de confirmar.

5. Palavra Final

A maioria dos utilizadores pensa em explorações em cripto como algo técnico e inevitável, particularmente aqueles que são novos na indústria. Embora isso possa ser verdade para métodos de ataque complexos, muitas vezes o passo inicial tem como alvo o indivíduo de maneiras não técnicas, tornando o resto da exploração evitável.

A grande maioria das perdas pessoais neste espaço não provém de algum bug obscuro ou de um protocolo desconhecido, mas sim de pessoas que assinam coisas que não leram ou importam carteiras em aplicações falsas, ou confiam em uma mensagem direta que parece plausível o suficiente. As ferramentas podem ser novas, mas as táticas são tão antigas quanto o tempo: engano, urgência, desvio.

As pessoas vêm para o cripto pela autocustódia e pela natureza sem permissões, mas os usuários precisam lembrar que aqui os riscos são maiores; nas finanças tradicionais, você é enganado e chama o banco. No cripto, você é enganado e isso é o fim da história.

Aviso Legal：

1. Este artigo é reproduzido de [Pesquisa Presto]. Todos os direitos autorais pertencem ao autor original [Pesquisa Presto]. Se houver objeções a esta reimpressão, por favor, entre em contacto com o Gate Learn equipe, e eles lidarão com isso prontamente.
2. Isenção de responsabilidade: As opiniões e pontos de vista expressos neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo em outras línguas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.