No terceiro trimestre de 2025, o cenário de segurança criptográfica atingiu um ponto de inflexão crítico. Embora as explorações de protocolo estejam diminuindo devido a auditorias mais eficazes, a engenharia social emergiu como a principal ameaça. ataques de phishing responsáveis por mais de US$ 2 bilhões em ativos roubados Só neste ano. Dados recentes mostram que os ataques institucionais de grandes investidores aumentaram 45%, comprovando que até mesmo os detentores mais sofisticados estão em risco.
Essas não são ameaças abstratas; elas têm consequências devastadoras no mundo real. Basta ver o vazamento de dados internos da Coinbase em 2025. Nesse caso, os cibercriminosos não precisaram decifrar códigos complexos. Em vez disso, usaram engenharia social para subornar funcionários de suporte no exterior e obter dados confidenciais de clientes.
Essa violação forneceu aos atacantes as informações pessoais necessárias para lançar ataques altamente direcionados contra os usuários da plataforma. Embora a Coinbase tenha rejeitado uma exigência de resgate de US$ 20 milhões, a empresa enfrentou custos potenciais de reembolso na casa das centenas de milhões. Esse incidente serve como um forte lembrete de que o fator humano é frequentemente o elo mais vulnerável e que a vigilância é fundamental para todos os detentores de ativos.
À medida que a infraestrutura antifraude se torna mais profissional, os atacantes estão burlando a segurança criptográfica por meio de explorando a única vulnerabilidade smart contracts Não há como corrigir: a confiança humana. Com uma única assinatura maliciosa capaz de drenar um tesouro inteiro instantaneamente, aprender a identificar essas táticas sofisticadas é a única maneira de proteger seu futuro digital.
A Industrialização da Confiança: Por Que as Auditorias Não São Suficientes
Durante anos, o setor operou sob uma premissa confortável: se o código for auditado, os ativos estão seguros. Dados concretos desmantelaram essa ideia. Só em 2025, US$ 17 bilhões foram roubados por meio de golpes e fraudes com criptomoedas — um número impressionante que comprova que as melhorias de segurança em contratos inteligentes apenas forçaram os atacantes a migrar para alvos mais vulneráveis: a camada de aprovação.
O phishing prospera no cenário de 2026 porque ignora completamente a segurança criptográfica. Não importa quão robusto seja o código de um protocolo se um detentor de chave legítimo for enganado e assinar uma função maliciosa. A eficácia dessas táticas é inegável; Os golpes de falsificação de identidade aumentaram 1,400% em relação ao ano anterior., utilizando deepfakes impulsionados por IA e interfaces de usuário "clonadas" sofisticadas para manipular a confiança do usuário.
Além disso, o “alcance” desses ataques se expandiu para o âmbito institucional. O valor médio dos pagamentos para endereços fraudulentos aumentou consideravelmente. 253%, saltando para quase US$ 2,800 por incidenteNão estamos mais vendo apenas pequenos furtos no varejo; estamos vendo o direcionamento sistemático de fluxos de trabalho institucionais, onde uma única aprovação comprometida pode drenar um caixa instantaneamente.
Em última análise, segurança criptográfica O problema surge quando a análise se concentra no código. A verdadeira ameaça não é um contrato inteligente defeituoso, mas sim um processo de aprovação manipulado que está custando bilhões ao setor. A persistência do phishing não se deve à falta de conscientização; deve-se a incentivos estruturais e vulnerabilidades sistêmicas na infraestrutura da Web3.
Por que é importante entender o phishing de criptomoedas
O phishing de criptomoedas é o roubo de confiança industrializado, em que os atacantes se fazem passar por marcas, fluxos de trabalho e infraestrutura legítimos para extrair credenciais, aprovações ou frases-chave que autorizam a transferência de ativos.
Essa definição vai além da visão ultrapassada de phishing como meramente “e-mails falsos” ou “links suspeitos”. Hoje, ela abrange:
- Representação de infraestrutura: Endpoints RPC falsos e dApps clonados.
- Compromisso na cadeia de suprimentos: Código malicioso injetado em bibliotecas confiáveis.
- Manipulação de Aprovação: Solicitações de transação enganosas que se parecem com logins de rotina.
Trata-se de uma fraude em nível de fluxo de trabalho, projetada para se parecer exatamente com um procedimento operacional padrão.
Sinais de um caso real de phishing com criptomoedas
Dados dos últimos trimestres destacam mudanças comportamentais específicas na forma como os ataques são executados:
- Concentração de Perda: Os dados do terceiro trimestre de 2025, por exemplo, mostraram um pico distinto nas perdas com phishing, correlacionando-se diretamente com as altas do ETH, confirmando a ligação entre a velocidade do mercado e o sucesso das fraudes.
- Cross-Corrente Drenando: Os incidentes já não se restringem a uma única cadeia; os atacantes estão a utilizar ferramentas de extração de dados entre cadeias para roubar ativos em várias redes simultaneamente.
- Impersonação por Deepfake: Observa-se um aumento considerável (aproximadamente 40% em fraudes de alto valor) no uso de áudio e vídeo deepfake para se passar por executivos, autorizando transferências sob o pretexto de operações comerciais urgentes.
- Atraso na revogação: Um ponto crítico de falha continua sendo a demora na revogação das aprovações. Os dados mostram que, mesmo depois de se saber que um aplicativo descentralizado (dApp) foi comprometido, muitas carteiras mantêm aprovações ilimitadas ativas por dias.
A conclusão para as empresas é clara: a velocidade de detecção importa mais do que a perfeição na prevenção.
Por que o phishing prospera em criptomoedas e na Web3.
A persistência do phishing não se deve à falta de conscientização; deve-se a incentivos estruturais e vulnerabilidades sistêmicas na infraestrutura da Web3.
Sistemas humanos no circuito
Toda infraestrutura criptográfica, por mais automatizada que seja, acaba dependendo de uma decisão humana. De fato, 2025 foi o pior ano já registrado em termos de ataques cibernéticos a criptomoedas, não por causa de contratos inteligentes falhos, mas sim por simples erros humanos. Especialistas em segurança confirmam que falhas operacionais, como senhas comprometidas, chaves roubadas e funcionários manipulados, foram as principais culpadas pelas maiores violações de segurança.
Embora o código on-chain esteja se tornando mais seguro, os atacantes simplesmente mudaram seu foco para uma vulnerabilidade mais previsível: as pessoas. Esses pontos de contato humanos, desde o gerenciamento de chaves e assinaturas multi-assinatura até as comunicações com fornecedores, agora representam a superfície de ataque mais significativa. Se um humano pode aprovar uma transação, ele pode ser enganado para aprovar a transação errada. Essa realidade prova que o maior desafio de segurança não está mais apenas no código; trata-se de proteger contra sofisticadas técnicas de engenharia social que visam a pessoa por trás da tela.
Risco cíclico de mercado
A fraude se alinha com a escassez de atenção. Durante altas do mercado, a atividade aumenta, a urgência dispara e a diligência diminui. Os atacantes sabem que, em mercados de alta volatilidade, os operadores são mais propensos a ignorar as etapas de verificação para executar uma negociação ou reivindicar um airdrop.
Migração de segurança
Os atacantes seguem o caminho de menor resistência e maior retorno sobre o investimento. À medida que os protocolos DeFi reforçaram seu código contra ataques de reentrada e explorações de empréstimos relâmpago, invadir o código tornou-se caro e difícil. Invadir sistemas humanos continuou sendo barato e escalável.
Representação Empresarial
O comprometimento de e-mail comercial (BEC, na sigla em inglês) se adaptou às criptomoedas. Os atacantes agora se fazem passar por funcionários de departamentos de conformidade, fornecedores falsos e equipes de suporte de escalonamento. Eles utilizam a linguagem burocrática — solicitando "atualizações de KYC" ou "reverificação de carteira" — para baixar a guarda da equipe operacional.
Os padrões de ataque de phishing criptográfico mais comuns
Compreender o mecanismo de um ataque é o primeiro passo para construir uma defesa robusta. Embora a segurança on-chain tenha melhorado, os atacantes mudaram o foco para o elemento humano, usando técnicas sofisticadas de phishing para contornar até mesmo os protocolos mais resistentes. À medida que o setor evolui, as ameaças também evoluem. Estes são os padrões de ataque que atualmente estão drenando carteiras em todo o ecossistema.
1. Aplicativos de phishing e drenagem de carteiras digitais
Esta é a forma mais direta e devastadora de roubo de criptomoedas atualmente. Os atacantes criam aplicativos descentralizados maliciosos (dApps) or clones legítimos, solicitando aos usuários que assinem o que parece ser uma solicitação padrão de conexão ou login. Na realidade, os usuários estão aprovando uma transação maliciosa, como uma assinatura de "permissão" ou uma função de "aumento de permissão".
Uma vez assinado, o atacante recebe permissão para acessar e transferir ativos da carteira do usuário. Ele pode drenar os fundos silenciosamente, sem que a vítima precise interagir com nada. Essa tática se tornou a arma preferida para a "caça às baleias", em que os atacantes visam especificamente indivíduos de alto patrimônio líquido para obter o máximo impacto.
Estudo de caso: A ascensão da “caça às baleias” em 2025
Ao longo de 2025, analistas de segurança observaram uma mudança significativa na estratégia de phishing. Embora o número total de vítimas tenha diminuído, as perdas financeiras decorrentes de incidentes individuais dispararam. Os atacantes deixaram de lado as campanhas de spam em massa e de baixo valor e passaram a se concentrar em ataques sofisticados e direcionados contra grandes detentores de ativos. Em novembro de 2025, enquanto o número de vítimas de phishing caiu mais de 40%, as perdas financeiras totais desses ataques aumentaram 137%. Essa mudança demonstra uma tendência clara: os criminosos estão investindo mais recursos para identificar e comprometer alvos de alto valor, onde um único ataque bem-sucedido pode render milhões.
Estudo de caso: Explorando a atualização "Pectra" do Ethereum
Os atacantes também são rápidos em explorar novas tecnologias. Após a atualização "Pectra" do Ethereum, que introduziu recursos projetados para melhorar a experiência do usuário por meio da abstração de contas, criminosos descobriram uma nova vulnerabilidade. Eles aproveitaram uma Proposta de Melhoria do Ethereum (EIP, na sigla em inglês) específica para agrupar múltiplas operações maliciosas em uma única solicitação de assinatura. Usuários desavisados, pensando que estavam realizando uma ação rotineira, aprovaram inadvertidamente uma série de transações que esvaziaram suas carteiras. Somente esse método foi responsável por mais de US$ 2.5 milhões em perdas em um único mês, demonstrando como até mesmo melhorias no protocolo podem introduzir novos vetores de ataque se os usuários não estiverem vigilantes.
2. Suporte falso e fluxos de trabalho de autenticação de dois fatores (2FA)
Esse método se aproveita da confiança do usuário nos procedimentos de segurança estabelecidos. Os atacantes criam sites de “verificação de segurança” sofisticados e com aparência profissional or pop-ups que imitam perfeitamente plataformas legítimas como MetaMask, Ledger ou Trezor. Essas interfaces falsas geralmente criam uma sensação de urgência, exibindo alertas sobre uma suposta violação de segurança ou tentativa de login não autorizada.
O fluxo de trabalho então guia o usuário por uma série de etapas de “verificação”, que quase sempre culminam em uma solicitação de sua frase-chave de 12 ou 24 palavras. Como a experiência rotineira do usuário condicionou as pessoas a esperarem solicitações de autenticação de dois fatores e verificações de segurança, seu ceticismo geralmente diminui, tornando-as mais propensas a cair no golpe.
Estudo de Caso: O Golpe de Falsificação de Identidade da Coinbase
Em dezembro de 2025, um morador do Brooklyn foi indiciado por orquestrar um golpe que roubou quase US$ 16 milhões. Os criminosos se faziam passar por representantes do serviço de atendimento ao cliente da Coinbase, contatando usuários com alegações alarmantes (e falsas) sobre atividades não autorizadas em suas contas. Eles habilmente orientavam as vítimas a "proteger" seus fundos, transferindo-os para carteiras controladas pelos golpistas. O golpe tornou-se altamente crível porque os atacantes usaram dados de clientes vazados de uma violação de segurança interna anterior, o que lhes permitiu se dirigir às vítimas pelo nome e mencionar os detalhes de suas contas.
3. Comprometimento por e-mail e falsificação de identidade de fornecedor
Este vetor de ataque combina engenharia social clássica com um contexto nativo da criptografia. Frequentemente começa com Um invasor que compromete a segurança de um terceiro confiável, como um fornecedor, parceiro ou até mesmo a conta de e-mail de um funcionário. A partir daí, eles podem executar fraudes altamente convincentes.
Um cenário comum envolve um atacante interceptando uma troca de e-mails sobre faturas. Ele responde à conversa usando a conta comprometida, informando à equipe financeira que os dados de pagamento foram alterados e fornecendo um novo endereço criptográfico — um endereço que ele controla. Como a solicitação vem de um endereço de e-mail legítimo e ocorre no contexto de uma conversa comercial real, muitas vezes passa despercebida até que seja tarde demais.
Estudo de caso: Fundo de capital de risco enganado por uma fatura falsa
Um importante fundo de capital de risco em criptomoedas foi vítima dessa tática quando um invasor comprometeu a conta de e-mail de uma de suas empresas investidas. O invasor monitorou o tráfego de e-mails por semanas, aguardando o momento certo. Quando o fundo estava prestes a fazer um novo investimento, o invasor enviou um e-mail no momento oportuno com uma fatura "revisada", direcionando um pagamento multimilionário em USDC para seu próprio endereço. A fraude passou despercebida por dias e os fundos nunca foram recuperados.
4. Envenenamento de endereço
O envenenamento de endereços é um ataque sutil e insidioso que explora a falta de cuidado do usuário. Endereços criptográficos são longos e complexos, portanto, Os usuários costumam usar seu histórico de transações para copiar e colar endereços para pagamentos recorrentes. Os atacantes se aproveitam desse comportamento.
Primeiro, eles criam um endereço "personalizado" que compartilha os primeiros e últimos caracteres com o endereço da vítima ou com um endereço usado frequentemente. Em seguida, enviam uma quantia ínfima e insignificante de criptomoedas (conhecida como "dust") do endereço personalizado para a carteira da vítima. Essa transação agora aparece no histórico da carteira da vítima. A esperança do atacante é que, na próxima vez que o usuário enviar fundos, ele copie descuidadamente o endereço do atacante do seu histórico em vez do endereço correto.
Estudo de Caso: O Prejuízo de US$ 500,000 por Envenenamento de Endereço
Em janeiro de 2026, um usuário de criptomoedas perdeu mais de meio milhão de dólares em USDT devido a um golpe de envenenamento de endereço. O usuário pretendia transferir fundos para um endereço conhecido, mas inadvertidamente copiou um endereço visualmente semelhante de seu histórico de transações que havia sido "envenenado" por um atacante. A transação foi irreversível, evidenciando como um simples erro de copiar e colar, induzido por um atacante habilidoso, pode levar a perdas catastróficas.
5. Phishing na Cadeia de Suprimentos e Infraestrutura
Com o aumento da conscientização dos usuários finais, atacantes sofisticados estão se voltando para a infraestrutura do ecossistema Web3. Em vez de visar usuários individuais, eles comprometem as ferramentas e plataformas das quais desenvolvedores e operadores dependem.
Isso pode envolver a clonagem de kits de desenvolvimento de software (SDKs) populares e sua promoção para desenvolvedores desavisados, a criação de páginas falsas de status de projetos para distribuir atualizações maliciosas ou o comprometimento de canais de comunicação oficiais para disseminar versões infectadas de software. Uma única biblioteca ou ferramenta de desenvolvimento comprometida pode infectar centenas de dApps, causando um impacto generalizado e devastador.
Estudo de caso: O pacote NPM malicioso
Um grupo de atacantes publicou um pacote malicioso no registro NPM (Node Package Manager), um recurso popular entre desenvolvedores JavaScript. O pacote imitava uma biblioteca Web3 conhecida, mas continha código oculto projetado para drenar qualquer carteira que interagisse com um aplicativo descentralizado (dApp) construído com ele. Vários projetos novos incorporaram o pacote malicioso sem saber, resultando em múltiplos incidentes de drenagem de carteiras antes que a ameaça fosse identificada e removida.
Como você pode evitar incidentes de phishing
Conselhos genéricos como “verifique o URL” ou “procure o ícone de cadeado” são perigosamente insuficientes para as operações institucionais atuais. Em uma era de clones de dApps perfeitos em cada detalhe e endereços personalizados que imitam seus contatos de confiança, depender exclusivamente da vigilância humana é uma estratégia fadada ao fracasso.
A resiliência exige controles estruturais. Você precisa construir um sistema de defesa que proteja seus ativos mesmo quando ocorrerem erros humanos. Veja como você pode passar da cautela passiva para a proteção ativa de nível empresarial.
1. Pare com a assinatura cega: use simulação de transação
A maneira mais eficaz de parar A prática de phishing de assinatura consiste em recusar-se a assinar qualquer coisa que você não consiga ler. A maioria dos programas que drenam carteiras digitais depende da sua assinatura de uma sequência hexadecimal bruta ou de uma mensagem confusa de "permissão".
Você deve implementar ferramentas de simulação de transações em seu fluxo de trabalho. Essas ferramentas funcionam como um ambiente de teste, executando a transação em um ambiente seguro antes que ela seja registrada no blockchain. Elas traduzem códigos complexos em linguagem legível, informando exatamente o que acontecerá: “Esta assinatura permitirá que 0x123… gaste todos os seus USDC.”
Se a interface da sua carteira atual não oferece pré-visualizações claras e fáceis de entender das movimentações de ativos, você está navegando às cegas. Mude para uma infraestrutura que mostre a consequência do clique antes de você confirmá-lo.
2. Elimine pontos únicos de falha com Multi-Sig
Se uma única pessoa clicando em um link malicioso puder esgotar suas reservas financeiras, sua segurança operacional já estará comprometida. Você pode evitar perdas catastróficas Implementação de carteiras com múltiplas assinaturas (multi-sig) para todos os ativos significativos.
Uma configuração multi-assinatura (que exige, por exemplo, 3 de 5 chaves para aprovar uma transação) faz duas coisas:
- Isso torna o processo mais lento: Isso força uma pausa, permitindo que outros membros da equipe revisem os detalhes da transação.
- Isso gera consenso: Um atacante precisaria enganar várias pessoas simultaneamente com sucesso, o que é exponencialmente mais difícil do que enganar um funcionário cansado.
3. Segregue seu ambiente de assinatura
Uma das maneiras mais fáceis de reduzir o risco é separar suas atividades de "alto risco" de seus ativos de "alto valor".
Nunca assine transações de grande valor no mesmo dispositivo que você usa para verificar e-mails, navegar no Discord ou acessar o X (antigo Twitter). Essas plataformas são os principais vetores para malware e links de engenharia social.
Em vez disso, estabeleça um protocolo de "sala limpa":
- Utilize um laptop ou dispositivo dedicado exclusivamente para assinar transações.
- Certifique-se de que este dispositivo não tenha aplicativos de redes sociais, clientes de e-mail ou software desnecessário instalado.
- Essa segregação física funciona como um firewall. Mesmo que seu laptop de uso diário seja infectado por um link malicioso, suas chaves de assinatura permanecem isoladas e seguras.
4. Acabe com o copiar e colar: Imponha listas de permissões rigorosas.
Os ataques de envenenamento de endereços funcionam porque os humanos dependem da memória muscular e da prancheta. Você pode eliminar essa ameaça proibindo a prática de copiar e colar endereços do histórico de transações.
Em vez disso, implemente uma política rigorosa de "lista de permissões" (ou lista branca) no nível do contrato inteligente ou da carteira. Isso garante que os ativos só possam ser enviados para endereços que foram previamente verificados e codificados no seu sistema. Se um funcionário tentar enviar fundos acidentalmente para um endereço personalizado "contaminado", a transação simplesmente falhará porque esse endereço não está na lista de aprovados.
5. Estabelecer verificação fora da banda
Por fim, você deve fortalecer seus canais de comunicação humana. A falsificação de identidade de fornecedores prospera na suposição de que uma fatura enviada por e-mail é legítima.
Adote uma política de verificação "fora da banda". Se você receber uma solicitação para alterar um endereço de pagamento ou assinar um novo tipo de transação, não responda à mensagem. Em vez disso, verifique a solicitação por meio de um canal completamente diferente. Se a solicitação chegou por e-mail, ligue para o contato no número de telefone que você já conhece. Se chegou pelo Telegram, verifique por meio de uma chamada de vídeo segura.
Ao desvincular a solicitação da verificação, você quebra a cadeia de confiança na qual os engenheiros sociais se baseiam.
Considerações finais: Trate o phishing como um risco de segurança fundamental.
Numa era em que as táticas de phishing evoluem da noite para o dia, a segurança reativa deixou de ser uma opção e tornou-se um risco. A verdadeira resiliência operacional não reside num único firewall, mas sim na inteligência de todo o seu ecossistema.
KYT (Conheça sua transação) da ChainUp A tecnologia lhe dá essa vantagem. Com monitoramento em tempo real e poderosa análise forense de criptomoedas, você pode bloquear proativamente atividades de risco e rastrear ativos rapidamente caso algo dê errado. É prevenção e recuperação — tudo em uma única plataforma.
Ao integrar o KYT em todos os fluxos de trabalho da sua instituição, você fortalece a segurança operacional em todos os níveis, ajudando as equipes a identificar ameaças mais cedo, automatizar aprovações baseadas em políticas e garantir a conformidade em um cenário de ameaças em constante mudança. Acorrentar, a resiliência operacional passa a fazer parte da sua estratégia de criptomoedas.
Não espere que ocorra uma violação de segurança para testar suas defesas. Obtenha uma avaliação de risco personalizada. Descubra como a solução forense KYT da ChainUp pode fortalecer o fluxo de trabalho da sua instituição hoje mesmo.
