Como um trader de criptomoedas perdeu 50 milhões de USDT: lição de um ataque de phishing direcionado

Em dezembro, um trader de criptomoedas enfrentou uma das maiores perdas da sua carreira — quase 50 milhões de dólares desapareceram numa única transação. Não foi resultado de um hacking complexo ou de uma exploração de smart contract, mas de um esquema sofisticado que aproveitou os hábitos padrão dos utilizadores e as limitações mínimas da interface das carteiras.

Gênese do ataque: operação de teste como início de uma cadeia de eventos

A história começou de forma aparentemente normal: um trader tentou transferir fundos de uma bolsa para uma carteira pessoal por segurança. Inicialmente, fez uma operação de teste de 50 USDT para garantir que todas as configurações estavam corretas. Essa prática, que parece prudente, na verdade foi o gatilho para o criminoso.

O pesquisador on-chain Specter descreveu o desenrolar: ao notar o endereço de saída, o ladrão começou a agir com precisão matemática. Gerou imediatamente um novo endereço que coincidisse com os quatro primeiros e os quatro últimos caracteres de uma carteira legítima. À primeira vista, era exatamente o mesmo endereço.

Por que a prática padrão de copiar endereços se tornou uma vulnerabilidade

A maioria dos exploradores de blockchain e carteiras modernas encurtam endereços longos por conveniência, mostrando apenas o início e o fim com três pontos no meio (por exemplo, 0xBAF4…F8B5). Isso significa que um endereço falsificado parecia idêntico ao verdadeiro na tela do utilizador.

Depois que o criminoso enviou uma pequena quantia do endereço falso para a vítima, ele “envenenou” seu histórico de transações. Quando o trader decidiu fazer a transferência principal do restante — 49.999.950 USDT — seguiu uma prática comum: copiou o endereço do destinatário diretamente do histórico recente. Lógico, conveniente, natural. E extremamente perigoso neste contexto.

O caminho do dinheiro envenenado: de stablecoin à anonimização

Em 30 minutos após o ataque bem-sucedido, começou uma intensa lavagem de fundos. Quase 50 milhões de USDT foram trocados por várias stablecoins alternativas, incluindo DAI. Depois, grande parte foi convertida em aproximadamente 16.690 ETH. A operação final enviou esses ativos através do Tornado Cash — um mixer que garante anonimato na blockchain.

Para o trader prejudicado, foi uma catástrofe. Percebendo o que tinha acontecido, enviou uma mensagem on-chain aos criminosos, oferecendo 1 milhão de dólares como recompensa “legal” pelo retorno de 98% dos fundos roubados. No dia seguinte, esses ativos ainda estavam nas mãos do atacante.

Avaliação de especialista: simplicidade como fator mais importante do ataque

No seu comentário, Specter expressou frustração com a facilidade com que a catástrofe ocorreu. “Por isso, estou sem palavras, pois uma quantia tão grande foi perdida por um erro humano simples. Tudo isso poderia ter sido evitado se, em poucos segundos, o endereço fosse copiado e colado de uma fonte confiável, e não retirado do histórico”, afirmou o pesquisador em resposta a ZachXBT.

Essa observação aponta para um problema crítico na segurança do ecossistema cripto: os ataques mais eficazes muitas vezes não exploram vulnerabilidades tecnológicas, mas fraquezas na psicologia humana e no design da interface do usuário.

Como os traders podem se proteger de esquemas semelhantes

Especialistas em segurança sugerem várias medidas práticas para todos que lidam com criptomoedas:

1. Sempre copie o endereço de uma fonte oficial: em vez de copiar do histórico de transações, obtenha o endereço diretamente na aba “Receber” da sua carteira. Essa é a opção mais segura.

2. Use uma lista de permissões de endereços confiáveis: quase todas as carteiras modernas suportam a adição de endereços confiáveis à lista. Isso evita erros de digitação e garante uma verificação adicional.

3. Considere carteiras de hardware: dispositivos que exigem confirmação física do endereço completo do destinatário antes de assinar a transação oferecem uma camada extra de proteção. Eles forçam o usuário a ver o endereço completo antes da aprovação final.

4. Realize uma operação de teste com valores pequenos: envie sempre uma quantia pequena inicialmente para verificar se o endereço está correto. Mas lembre-se — após a primeira operação, o endereço no histórico pode estar “envenenado”.

Os traders devem entender que, num mundo onde um erro pode custar dezenas de milhões de dólares, o menor cuidado na prática salva o capital. A história deste trader serve como um lembrete severo de que a segurança no universo cripto não depende de soluções tecnológicas complexas, mas do cumprimento consistente de regras simples.