Um investidor em cripto perdeu $2,6 milhões em stablecoins em dois ataques de phishing quase idênticos em um período de três horas, destacando uma ameaça crescente e sofisticada nas finanças baseadas em blockchain: golpes de transferência zero.
O incidente, sinalizado em 26 de maio pela empresa de segurança cripto Cyvers, envolveu duas grandes transações de Tether (USDT) - a primeira totalizando $843,000, seguida, horas depois, por uma segunda transferência de $1,75 milhão. Em ambos os casos, a vítima parece ter caído em uma tática on-chain enganosa conhecida como transferência de valor zero, um método de phishing cada vez mais utilizado por golpistas que visam os hábitos dos usuários em relação a endereços de carteiras.
Esta dupla perda evidencia as limitações das interfaces de carteiras voltadas ao usuário, o aumento da engenharia social inteligente no crime cripto e a necessidade urgente de soluções de segurança robustas no Web3.
Transferências de valor zero exploram uma falha na forma como os usuários interpretam o histórico de transações e confiam nos endereços de carteiras. A técnica abusa da função transferFrom do padrão de token ERC-20, que permite que qualquer parte inicie uma transferência de token sem o consentimento do usuário - se o valor for zero.
Como nenhum token real é movido, essas transações falsificadas de valor zero não exigem uma assinatura digital da carteira-alvo. No entanto, elas são registradas on-chain, muitas vezes induzindo as vítimas a acreditar que o endereço falsificado é um endereço previamente confiável.
Na prática, os golpistas "envenenam" o histórico de transações da vítima, injetando transferências de valor zero que parecem legítimas. Quando a vítima vai realizar uma transação real - talvez usando o histórico da carteira ou copiando um endereço previamente utilizado - ela pode acidentalmente enviar fundos para o endereço falso do golpista.
Este golpe se origina e estende um método de ataque relacionado chamado envenenamento de endereço, onde os golpistas enviam pequenas quantias de criptomoeda a partir de endereços de carteira concebidos para parecer visualmente semelhantes aos contatos conhecidos do usuário. Isso geralmente explora a confiança do usuário na correspondência parcial de endereços - frequentemente os primeiros e últimos quatro caracteres - em vez de verificar a sequência completa.
Phishing Avançado
O perigo chave por trás dos golpes de transferência zero e envenenamento de endereço não está em quebrar protocolos criptográficos, mas em manipular o comportamento do usuário. Interfaces de carteiras cripto - especialmente carteiras baseadas em navegador e apps móveis - muitas vezes apresentam históricos de endereços e transações passadas como indicadores de segurança, confiança ou uso anterior. Isso cria uma superfície de ataque que não depende de vulnerabilidades em código, mas sim na tomada de decisão humana.
No caso do recente roubo de $2,6 milhões, a vítima provavelmente usou o histórico de transações da sua carteira para iniciar ou verificar o endereço, acreditando que estava enviando fundos para um contato conhecido ou previamente confiável. A repetição do ataque em menos de três horas sugere que a vítima não detectou a perda inicial a tempo ou acreditou que a primeira transação era legítima - ambos os cenários apontam para quão furtivo e convincente o golpe pode ser em tempo real.
As perdas foram exclusivamente em USDT (Tether), uma stablecoin amplamente usada com bilhões em volume onchain diário. Como o USDT é tipicamente usado em grandes transferências institucionais e comerciais, tornou-se um alvo principal para golpes de precisão que focam em carteiras de alto valor.
Aumento dos Ataques de Envenenamento
O incidente não é isolado. Um estudo abrangente divulgado em janeiro de 2025 revelou que mais de 270 milhões de tentativas de envenenamento de endereços foram registradas em Ethereum e BNB Chain entre julho de 2022 e junho de 2024. Embora apenas 6.000 desses ataques tenham sido bem-sucedidos, eles somaram perdas confirmadas de mais de $83 milhões.
O mero volume de tentativas - bem-sucedidas ou não - sugere que as estratégias de envenenamento são baratas para executar e continuam efetivas devido às tendências comportamentais dos usuários e à falta de UX anti-phishing nas carteiras cripto comuns.
Notavelmente, o dano em casos individuais é significativo. Em 2023, um golpe semelhante de transferência zero levou ao roubo de $20 milhões em USDT, antes que a Tether eventualmente bloqueasse a carteira. No entanto, o bloqueio não é uma salvaguarda universal - muitos tokens não suportam listas negras do emissor, e nem todas as redes blockchain oferecem ferramentas de intervenção semelhantes.
Ferramentas de Detecção por IA e Reformulação de Interfaces
Em resposta ao aumento de phishing por transferência zero, várias empresas de cibersegurança e infraestrutura de carteiras estão tentando mitigar os riscos por meio de sistemas de detecção mais inteligentes.
No início deste ano, a empresa de segurança blockchain Trugard fez uma parceria com o protocolo de segurança onchain Webacy para introduzir um sistema de detecção por IA especificamente projetado para sinalizar potenciais tentativas de envenenamento de endereços. Segundo seus desenvolvedores, a ferramenta demonstrou uma taxa de acurácia de 97% em testes envolvendo dados históricos de ataques.
O sistema funciona analisando padrões em metadados de transações, comportamento de transferências e similaridades de endereços, alertando os usuários antes que uma transação seja finalizada. No entanto, a adoção mais ampla entre carteiras populares ainda é limitada, já que muitas plataformas ainda estão no processo de integrar ferramentas de segurança de terceiros.
Alguns desenvolvedores de carteiras também estão explorando mudanças na forma como os históricos de transações são apresentados. Por exemplo, sinalizar transações de valor zero, colorir endereços com base em pontuações de confiança, e facilitar a verificação completa de endereços estão sendo considerados como formas de interromper as taxas de sucesso dos golpes. Mas até que tais mudanças nas interfaces se tornem padrão na indústria, os usuários continuam expostos.
Lacunas Legais e Regulatórias
Embora os golpes de transferência zero sejam tecnologicamente simples, a ação legal contra os perpetradores é complexa e raramente bem-sucedida. Muitos desses golpes se originam de entidades pseudônimas ou estrangeiras, com os fundos rapidamente sendo lavados por meio de exchanges descentralizadas, mixers, ou pontes cross-chain.
Emissores de stablecoin, como a Tether, podem intervir apenas quando existem mecanismos de controle centralizados - e apenas se os fundos roubados permanecerem intocáveis ou rastreáveis. Uma vez que os atacantes movem os fundos para pools de privacidade ou os convertem em outros ativos, a recuperação se torna virtualmente impossível.
Além disso, as agências de aplicação da lei frequentemente carecem da expertise técnica ou do alcance jurisdicional para investigar tais ataques, a menos que façam parte de campanhas organizadas maiores.
A Linha Final de Defesa
Por enquanto, os usuários finais devem adotar uma cautela aumentada ao interagir com endereços blockchain - particularmente para transferências de alto valor. As melhores práticas incluem:
- Sempre verificar o endereço completo, não apenas os primeiros/últimos caracteres.
- Evitar o uso do histórico da carteira para copiar endereços.
- Marcar manualmente endereços conhecidos de fontes oficiais.
- Usar carteiras com detecção embutida de phishing, quando disponível.
- Monitorar transferências de valor zero recebidas como potenciais sinais de alerta.
O aumento dos ataques phishing por transferência zero demonstra uma mudança nas ameaças Web3 de hacks em nível de protocolo para ataques de engenharia social usando metadados onchain. À medida que o valor dos ativos em blockchains públicas cresce, também aumentará a sofisticação desses métodos - tornando a educação do usuário e melhorias nas ferramentas de carteiras críticas para a proteção de fundos.