Atores de ameaças lançaram uma nova onda de ataques cibernéticos direcionados a detentores de criptos, especificamente visando usuários das carteiras Atomic e Exodus por meio de pacotes de software maliciosos carregados em plataformas de codificação.
Pesquisadores de segurança alertam que o malware, embutido em pacotes npm comumente usados, como pdf-to-office, é projetado para colher chaves privadas manipulando arquivos de carteiras locais.
De acordo com a análise da ReversingLabs, o código malicioso se apresenta como software legítimo, mas, uma vez instalado, modifica furtivamente a interface do usuário das carteiras Atomic e Exodus. Essa manipulação engana os usuários a enviarem fundos para endereços controlados pelos atacantes, efetivamente redirecionando transações sem detecção.
Esse tipo de ataque à cadeia de suprimento de software destaca uma tendência cada vez mais perigosa no espaço cripto, onde hackers infiltram ambientes de desenvolvimento para realizar explorações no nível da infraestrutura.
A escala de tais ataques continua a crescer. Somente no primeiro trimestre de 2025, a empresa de cibersegurança Hacken estima que hacks e explorações relacionadas a criptos resultaram em perdas que ultrapassam $2 bilhões. Um impressionante $1,4 bilhão desse montante veio do hack da Bybit em fevereiro - atualmente o maior da história da cripto.
Após o incidente, a SafeWallet - um provedor de carteira implicado na violação - compartilhou um detalhado post-mortem em março de 2025. Investigadores revelaram que hackers comprometeram um computador de desenvolvedor e sequestraram tokens de sessão da AWS para infiltrar-se nos sistemas internos da SafeWallet e orquestrar o roubo da Bybit.
Enquanto isso, outra tática enganosa ganhando força é o golpe de "envenenamento de endereço". O chefe de segurança da Casa e famoso cypherpunk Jameson Lopp recentemente levantou preocupações sobre essa exploração sutil, mas eficaz.
Nesses ataques, os golpistas geram endereços de carteira que visualmente se assemelham aos do histórico de transações da vítima - normalmente imitando os primeiros e últimos caracteres. Uma pequena transação é então enviada à vítima para implantar o endereço falso em seu histórico. Se o usuário reutilizar esse endereço sem saber, seus fundos são redirecionados para o atacante.
A Cyvers, uma empresa de cibersegurança que monitora ameaças em blockchain, relatou que somente o envenenamento de endereço resultou em mais de $1,2 milhão em criptos roubados durante março de 2025.
Enquanto os atores de ameaças evoluem seus métodos, desde manipulação de ferramentas de desenvolvimento até exploração de hábitos de usuários, profissionais de cibersegurança estão chamando por uma vigilância reforçada em todas as frentes do ecossistema cripto.