- Um investidor perdeu US$ 3 milhões em um golpe de phishing após assinar uma transação maliciosa de blockchain sem verificar o endereço do contrato
- Especialistas destacam que o usuário provavelmente comparou apenas os primeiros e últimos caracteres do endereço
- Os invasores usam links enganosos, consultores falsos e golpes românticos para manipular as vítimas e fazê-las autorizar transações fraudulentas
Um investidor perdeu cerca de US$ 3,05 milhões em USDT após clicar em link malicioso que acionou um contrato inteligente fraudulento. O ataque foi identificado pela plataforma Lookonchain, que detectou a transação logo após sua execução. A vítima assinou o contrato sem verificar o endereço completo, permitindo acesso ao saldo total da carteira por golpistas.
Golpe explorou falha humana e uso de função “permit” permitiu drenagem instantânea
Especialistas destacam que o usuário provavelmente comparou apenas os primeiros e últimos caracteres do endereço. A prática comum, porém arriscada, oculta diferenças críticas no meio da cadeia. Em seguida, autorizou uma transação que liberou transferências ilimitadas para contrato malicioso. A ausência de verificação digital resultou em perda completa dos fundos.
Someone fell victim to a phishing attack, signed a malicious transfer, and lost 3.05M $USDT!
Stay alert, stay safe. One wrong click can drain your wallet.
Never sign a transaction you don’t fully understand.
Double-check the URL, double-check all signature requests
Verify… pic.twitter.com/39YYe1LAoz
— Lookonchain (@lookonchain) August 6, 2025
Adicionalmente, o mecanismo ‘permit’ permitiu aos criminosos drenar ativos sem múltiplas confirmações. Essa função de tokenização facilita interação, mas abre brecha para aprovação maliciosa. E outro caso recente mostrou vítima perdendo US$ 908.551 após anos com autorização esquecida, o atacante esperou 458 dias antes de agir. Esses ataques ocorrem sem precisar hackear software: loop de engenharia social faz a vítima trabalhar contra si própria.
Crescimento dos ataques exige educação digital e uso de ferramentas preventivas
Em 2024, golpes de phishing em criptomoedas causaram perdas acima de US$ 1 bilhão em pelo menos 296 casos. Isso reforça que engenharia social supera vulnerabilidades técnicas como principal risco para usuários. Como resposta, plataformas como Binance lançaram algoritmos capazes de identificar milhões de endereços falsos ou “poisoned” antes do roubo ocorrer.
Entretanto, a maior responsabilidade ainda recai sobre o usuário. Ferramentas como Revoke.cash, ScamSniffer e Etherscan Address Checker permitem revogar permissões antigas e examinar contratos. Ainda assim, muitos usuários ignoram esses recursos, resultando em perdas evitáveis. A recomendação contínua dos especialistas inclui: sempre revisar contratos antes de autorizar, desconfiar de links via redes sociais e restringir interação com dApps desconhecidos.
Além disso, o uso de hardware wallet e armazenamento offline reduz a exposição automática em ambientes móveis ou de navegação insegura. Esse caso serve como alerta: mesmo iniciar com intenção legítima pode levar a servidão de saldo em minutos.
