Um comerciante de criptomoedas perdeu quase $50 milhões em USDT após transferir inadvertidamente fundos para uma carteira controlada por golpistas em um sofisticado ataque de envenenamento de endereço.
Como medida de segurança, a vítima enviou primeiro uma pequena transação de teste de 50 USDT. Este passo é amplamente considerado uma boa prática, permitindo que os utilizadores confirmem a precisão do endereço antes de mover grandes quantias. No entanto, a precaução tornou-se inesperadamente a abertura que os atacantes precisavam.
Como o Ataque de Envenenamento de Endereço se Desenrolou
As empresas de segurança explicaram que imediatamente após a transferência de teste, um atacante implantou um script automatizado para gerar um endereço de carteira fraudulento que se assemelhava muito ao destinatário pretendido.
O endereço falsificado correspondia aos primeiros cinco e últimos quatro caracteres da carteira legítima. Crucialmente, as diferenças apareciam apenas na seção do meio. Muitas interfaces de carteira truncam esta parte com reticências para uma melhor experiência do utilizador. Mas isso limita a visibilidade e aumenta a confusão.
Para reforçar a enganação, o atacante enviou pequenas transações do endereço falso para a vítima. Esta manobra colocou o endereço fraudulento no histórico de transações da vítima, fazendo parecer familiar e confiável.
Um Simples Erro de Copiar e Colar com Consequências Massivas
Os dados do Etherscan mostram que a transação de teste inicial ocorreu às 3:06 UTC. Depois, aproximadamente 26 minutos depois, às 3:32 UTC, a vítima transferiu 49,999,950 USDT.
Os investigadores acreditam que o comerciante copiou o endereço de destino diretamente do histórico de transações. Infelizmente, a vítima não estava ciente de que o endereço copiado pertencia ao atacante, em vez da carteira pretendida. Consequentemente, esse único erro finalizou a fraude, transferindo irreversivelmente o controle dos fundos.
Fundos Roubados Lavados em Minutos
Esta conversão foi estratégica. Enquanto a Tether pode congelar USDT ligado a atividades ilícitas, a DAI opera sem mecanismos de enforcement centralizados.
Após a troca, o atacante trocou o DAI por aproximadamente 16.690 ETH. Subsequentemente, cerca de 16.680 ETH foi canalizado para o Tornado Cash, um misturador de criptomoedas projetado para obscurecer os rastros de transação.
Apelo da Vítima na Cadeia para Recuperação
Para recuperar os ativos roubados, a vítima comunicou-se com o atacante através de uma mensagem em cadeia e ofereceu uma recompensa de $1 milhões por hacking ético. Em troca, o comerciante solicitou o retorno de 98% dos fundos.
A mensagem afirmou que um caso criminal já havia sido arquivado e alegou que as autoridades policiais, agências de cibersegurança e múltiplos protocolos de blockchain estavam a ajudar na investigação.
Um Precedente Oferece Esperança Limitada
O incidente reflete um caso semelhante de maio de 2024, quando um usuário de Ethereum perdeu $71 milhões em Wrapped Bitcoin ( WBTC ) através de um ataque de envenenamento de endereço.
Nesse caso, a maioria dos fundos foi eventualmente recuperada após negociações on-chain facilitadas pela Match Systems e pela exchange Cryptex.
No entanto, os investigadores alertam que os resultados podem variar. Neste caso, o rápido movimento de fundos para o Tornado Cash complica quaisquer esforços de recuperação.
O Envenenamento de Endereços Surge como uma Ameaça Crescente
No início deste ano, Jameson Lopp, cofundador e Chief Security Officer da Casa, alertou que os ataques de envenenamento de endereços estavam se tornando cada vez mais comuns nas redes blockchain. Sua pesquisa identificou aproximadamente 48.000 incidentes suspeitos apenas no Bitcoin desde 2023.
Lopp sugeriu que os fornecedores de carteiras poderiam reduzir o risco ao sinalizar endereços que se assemelham de perto a destinatários anteriores. Tais alertas, argumentou ele, poderiam impedir que os usuários interagissem involuntariamente com carteiras maliciosas.
O Roubo de Criptomoedas Atinge Níveis Recorde em 2025
No final, o ataque acrescenta a um ano marcado por perdas sem precedentes no setor das criptomoedas. De acordo com a Chainalysis, os roubos totais ultrapassaram os 3,4 mil milhões de dólares em 2025, superando o total do ano anterior.
Notavelmente, quase 44% desse total decorreu de uma única violação. Em fevereiro, a exchange Bybit perdeu 1,4 bilhões USD em um hack atribuído a atores de ameaça da Coreia do Norte. A empresa de análise de blockchain Elliptic mais tarde descreveu esse incidente como o maior roubo de cripto já registrado.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
