Um investidor em criptomoedas perdeu o equivalente a $2,6 milhões em stablecoins em dois ataques de phishing quase idênticos no intervalo de três horas, destacando uma ameaça crescente e sofisticada nas finanças baseadas em blockchain: golpes de zero-transfer.
O incidente, sinalizado em 26 de maio pela empresa de segurança cripto Cyvers, envolveu duas grandes transações de Tether (USDT), a primeira totalizando $843.000, seguida horas depois por uma segunda transferência de $1,75 milhão. Em ambos os casos, a vítima parece ter caído em uma tática enganosa onchain conhecida como transferência de valor zero, um método de phishing cada vez mais usado por golpistas que visam os hábitos dos usuários em torno dos endereços de carteira.
Essa dupla perda destaca as limitações das interfaces de carteira voltadas para o usuário atuais, o aumento da engenharia social inteligente em crimes cripto e a necessidade urgente de soluções de segurança robustas em toda a Web3.
As transferências de valor zero exploram uma falha em como os usuários interpretam o histórico de transações e confiam em endereços de carteira. A técnica abusa da função transferFrom do padrão de token ERC-20, que permite que qualquer parte inicie uma transferência de token sem o consentimento do usuário - se o valor for zero.
Como nenhum token real é movido, essas transações de valor zero falsificadas não requerem uma assinatura digital da carteira alvo. Elas são, no entanto, registradas on-chain, muitas vezes induzindo as vítimas a acreditar que o endereço falsificado é um endereço anteriormente confiável.
Na prática, os golpistas "envenenam" o histórico de transações de uma vítima injetando transferências de valor zero aparentemente benignas que parecem legítimas. Quando a vítima vai fazer uma transação real - talvez usando o histórico da carteira ou copiando um endereço com o qual interagiu anteriormente - ela pode, acidentalmente, enviar fundos para o endereço falsificado do atacante.
Esse golpe se baseia e estende um método de ataque relacionado chamado address poisoning, onde os golpistas enviam pequenas quantidades de criptomoeda de endereços de carteira projetados para parecer visualmente semelhantes aos contatos conhecidos de um usuário. Isso geralmente se baseia em explorar a confiança do usuário na correspondência parcial de endereço - geralmente os quatro primeiros e os quatro últimos caracteres - em vez de verificar toda a string.
Phishing Avançado
O principal perigo por trás dos golpes de zero-transfer e address poisoning não está em quebrar protocolos criptográficos, mas em manipular o comportamento do usuário. Interfaces de carteiras cripto - especialmente carteiras baseadas em navegador e aplicativos móveis - frequentemente apresentam históricos de endereços e transações passadas como indicadores de segurança, confiança ou uso anterior. Isso cria uma superfície de ataque que não depende de vulnerabilidades no código, mas sim nas decisões humanas.
No caso do recente roubo de $2,6 milhões, a vítima provavelmente usou o histórico de transações de sua carteira para iniciar ou verificar o endereço, acreditando que estava enviando fundos para um contato conhecido ou anteriormente confiável. A repetição do ataque em menos de três horas sugere que a vítima não detectou a perda inicial a tempo ou acreditou que a primeira transação era legítima - ambos os cenários apontando para como o golpe pode ser furtivo e convincente em tempo real.
As perdas foram exclusivamente em USDT (Tether), um stablecoin amplamente utilizado com bilhões em volume diário on-chain. Como o USDT é tipicamente usado em grandes transferências institucionais e de varejo, tornou-se um alvo privilegiado para golpes de precisão que se concentram em carteiras de alto valor.
Aumento dos Ataques de Envenenamento
O incidente não é isolado. Um estudo abrangente lançado em janeiro de 2025 revelou que mais de 270 milhões de tentativas de envenenamento de endereços foram registradas em Ethereum e BNB Chain entre julho de 2022 e junho de 2024. Embora apenas 6.000 desses ataques tenham sido bem-sucedidos, eles somaram coletivamente mais de $83 milhões em perdas confirmadas.
O volume puro de tentativas - bem-sucedidas ou não - sugere que estratégias de envenenamento são baratas de executar e permanecem eficazes devido às tendências comportamentais dos usuários e à falta de UX anti-phishing nas carteiras cripto comuns.
Notavelmente, a escala de danos em casos individuais é significativa. Em 2023, um golpe similar de zero-transfer levou ao roubo de $20 milhões em USDT, antes de a Tether finalmente colocar a carteira na lista negra. No entanto, listas negras não são uma salvaguarda universal - muitos tokens não suportam listas negras de emissor, e nem todos os redes blockchain oferecem ferramentas de intervenção semelhantes.
Ferramentas de Detecção com IA e Reformulação de Interfaces
Em resposta ao aumento do phishing de zero-transfer, várias empresas de segurança cibernética e infraestrutura de carteiras estão tentando mitigar os riscos por meio de sistemas de detecção mais inteligentes.
No início deste ano, a empresa de segurança de blockchain Trugard fez parceria com o protocolo de segurança on-chain Webacy para introduzir um sistema de detecção baseado em IA especificamente projetado para sinalizar tentativas potenciais de envenenamento de endereço. De acordo com seus desenvolvedores, a ferramenta demonstrou uma taxa de precisão de 97% em testes envolvendo dados de ataques históricos.
O sistema funciona analisando padrões em metadados de transações, comportamento de transferências e semelhanças de endereços, alertando os usuários antes que uma transação seja finalizada. No entanto, a adoção mais ampla por carteiras populares ainda é limitada, pois muitas plataformas ainda estão no processo de integrar ferramentas de segurança de terceiros.
Alguns desenvolvedores de carteiras também estão explorando mudanças em como os históricos de transações são apresentados. Por exemplo, sinalizar transações de valor zero, colorir endereços com base em pontuações de confiança e facilitar a verificação completa do endereço são considerados como formas de interromper as taxas de sucesso dos golpes. Mas até que essas mudanças de interface se tornem padronizadas em toda a indústria, os usuários permanecem expostos.
Lacunas Legais e Regulatórias
Embora os golpes de zero-transfer sejam tecnologicamente simples, a ação legal contra os perpetradores é complexa e raramente bem-sucedida. Muitos desses golpes se originam de entidades pseudônimas ou estrangeiras, com os fundos rapidamente lavados por bolsas descentralizadas, mixers ou pontes cross-chain.
Emissores de stablecoin como a Tether podem intervir apenas quando existem mecanismos de controle centralizados - e apenas se os fundos roubados permanecerem intocados ou rastreáveis. Uma vez que os atacantes movem os fundos para pools de privacidade ou os convertem em outros ativos, a recuperação torna-se virtualmente impossível.
Além disso, as agências de aplicação da lei muitas vezes carecem da expertise técnica ou alcance jurisdicional para investigar tais ataques, a menos que façam parte de campanhas organizadas maiores.
A Última Linha de Defesa
Por enquanto, os usuários finais devem adotar uma cautela reforçada ao interagir com endereços blockchain - particularmente para transferências de grande valor. As melhores práticas incluem:
- Sempre verificar o endereço completo, não apenas os primeiros/últimos caracteres.
- Evitar o uso do histórico da carteira para copiar endereços.
- Marcar manualmente os endereços conhecidos de fontes oficiais.
- Usar carteiras com detecção de phishing embutida, quando disponível.
- Monitorar transferências de valor zero recebidas como potenciais sinais de alerta.
O aumento dos ataques de phishing de zero-transfer demonstra uma mudança nas ameaças da Web3 de ataques a nível de protocolo para ataques de engenharia social usando metadados on-chain. À medida que o valor dos ativos em blockchains públicas cresce, também aumentará a sofisticação desses métodos - tornando a educação do usuário e melhores ferramentas de carteira críticas para proteger os fundos.