Os golpes com criptomoedas mais caros nem sempre dependem de falhas em blockchains ou da quebra de sistemas. Em muitos casos, o ataque ocorre antes mesmo do envio da transação. Criminosos exploram distração, confiança excessiva e decisões apressadas. Assim, um alerta recente mostrou como softwares maliciosos conseguem trocar endereços de carteiras no momento da cópia e colagem.

Malware altera carteiras antes do envio

Em 17 de junho de 2026, a equipe de inteligência de ameaças da Microsoft publicou uma análise sobre uma variante de malware para Windows. O programa se espalha por unidades USB disfarçadas de documentos comuns e monitora a área de transferência cerca de duas vezes por segundo.

Quando identifica um endereço de carteira copiado, o malware substitui imediatamente o destino por outro controlado pelo invasor. Dessa forma, a vítima acredita que enviou os ativos ao endereço correto. No entanto, a transferência termina em uma carteira desconhecida. A família desse malware é identificada pelo Microsoft Defender como CryptoBandits.

Além disso, o problema não se limita ao redirecionamento de uma transação. A análise aponta que o código também pode capturar frases-semente e chaves privadas copiadas na área de transferência, bem como registrar a tela silenciosamente. Por consequência, o criminoso pode drenar os fundos em outro momento, sem chamar atenção.

Nada disso exige romper a blockchain ou derrotar a cripto usada pelas carteiras. Na prática, o ataque altera apenas o que o usuário vê e copia em sua própria máquina. Portanto, o risco está menos na infraestrutura da rede e mais no ambiente onde a pessoa aprova a transação.

Esse tipo de ameaça reforça a necessidade de revisar manualmente endereços e valores, sobretudo em operações com criptomoedas. Ainda assim, muitos usuários confiam apenas no que aparece na tela do navegador. É justamente esse comportamento que o golpe explora.

Prejuízo bilionário cresce entre investidores individuais

A fraude com criptomoedas atingiu seu maior nível histórico, com participação crescente de golpes voltados a investidores individuais. O relatório anual de crimes na internet do Federal Bureau of Investigation indicou que norte-americanos relataram perdas de US$ 11,37 bilhões com fraudes envolvendo criptomoedas em 2025. O valor representa alta de 22% em relação ao ano anterior.

Esses números não indicam episódios isolados. Afinal, quase 18.600 vítimas perderam mais de US$ 100 mil cada, enquanto a perda média informada superou US$ 62 mil. Em escala global, a Chainalysis estimou que golpes e fraudes custaram até US$ 17 bilhões aos usuários no mesmo ano.

Parte relevante desse dinheiro ainda desaparece em grandes explorações contra redes e plataformas. A PeckShield estimou as perdas com exploits em 2025 em cerca de US$ 2,67 bilhões, valor próximo de dois terços de todo o montante roubado no setor. No entanto, o foco desse alerta está nos esquemas que não invadem protocolos, mas levam o próprio usuário a autorizar a perda.

Esse deslocamento muda a lógica da proteção. Muitas vítimas usam aplicativos conhecidos e guardam a frase-semente com cuidado. Mesmo assim, caem em armadilhas criadas para provocar um clique, uma assinatura ou uma transferência. Em outras palavras, o centro do golpe passa a ser a manipulação da decisão.

Interfaces legítimas também podem servir ao golpe

Um dos padrões mais comuns em aplicativos de mensagens começa com uma suposta dica privilegiada. A vítima recebe a informação de que existe uma falha em um serviço popular de criptomoedas que permitiria liberar um bônus oculto ou obter um desconto muito acima do normal.

A promessa não aparece como cortesia da empresa, mas como uma brecha descoberta por terceiros. Para aproveitá-la, bastaria instalar uma extensão de navegador e executar um pequeno script. Assim, o procedimento parece arriscado, porém inteligente, como se a complexidade fosse o preço para acessar uma vantagem secreta.

Depois que o script é executado, ele altera discretamente o endereço de depósito exibido no site verdadeiro. Então, o usuário acessa a plataforma legítima, reconhece a interface e envia os ativos como faria normalmente. Contudo, nos bastidores, o destino já foi trocado para a carteira do golpista.

Stefan Lauer, chefe de infraestrutura da SimpleSwap, resumiu esse mecanismo. Segundo ele, o atrativo não está na generosidade, mas na sensação de descobrir um atalho desconhecido pelos demais. Além disso, quando a suposta oportunidade exige instalar um complemento ou colar um script, a própria alegação já integra o ataque.

“O atrativo aqui não é a generosidade, mas a emoção de um atalho que ninguém mais conhece, e é isso que leva as pessoas a executar códigos que normalmente jamais tocariam. A blockchain funciona exatamente como foi projetada, e o que é comprometido é o navegador na frente dela.”

Falsos investimentos, suporte e airdrops ampliam perdas

O falso bônus representa apenas uma das táticas. Outra categoria de grande impacto envolve golpes de investimento com engenharia social, que representaram cerca de US$ 7,2 bilhões nas estatísticas do FBI para 2025.

Nesses casos, o criminoso constrói confiança ao longo de dias ou semanas, muitas vezes por aplicativo de namoro ou mensagem amistosa. Depois, direciona a vítima para uma plataforma de investimento visualmente profissional, com ganhos falsos exibidos em tela. O dinheiro real é enviado, mas o retorno jamais existe. O FBI associou várias dessas operações a centros organizados de golpes no Sudeste Asiático, que funcionam com trabalho forçado e manipulação roteirizada.

Também são recorrentes os perfis falsos de suporte e os formulários fraudulentos de compensação. Sempre que uma invasão ou interrupção ganha manchetes, contas que imitam atendimento oficial surgem rapidamente nas redes sociais e em aplicativos de mensagens. Em seguida, pedem dados de carteira ou até a frase-semente. Serviços legítimos não abordam usuários por mensagem privada para resolver um problema não reportado.

Outro formato frequente envolve falsos airdrops e phishing por aprovação. O site promete distribuição gratuita de tokens, pede conexão da carteira e solicita assinatura de transação. Na prática, essa assinatura concede permissão contínua para o invasor mover ativos mais tarde. Como resultado, muitas pessoas autorizam sem entender o alcance do que aceitaram.

Há ainda o envenenamento de endereço. Nesse esquema, o golpista envia uma transação mínima e sem valor relevante a partir de um endereço muito parecido com outro já usado pela vítima. Depois, quando ela copia um endereço recente do histórico, acaba selecionando o imitador por engano e envia os fundos ao criminoso.

Medidas simples ajudam a evitar perdas

A maior parte dessas fraudes pode ser evitada com procedimentos básicos. Antes de tudo, qualquer promessa de brecha secreta ou ganho fácil que dependa da instalação de algo deve servir como sinal de alerta. Da mesma forma, scripts enviados por desconhecidos e arquivos sem origem confiável exigem rejeição imediata.

Antes de enviar qualquer valor, convém confirmar o endereço de depósito no aplicativo oficial ou no site legítimo. Além disso, frases-semente e chaves privadas não devem aparecer em telas conectadas sempre que isso puder ser evitado. Nenhum serviço autêntico precisa solicitar esse tipo de informação para suporte ou compensação.

Quando um ataque a alguma plataforma se torna público, o melhor caminho é ignorar contas de suporte e formulários de reembolso que abordam o usuário primeiro. Sobretudo, reduzir a velocidade da decisão segue como uma das defesas mais eficazes, já que a urgência continua sendo uma das ferramentas preferidas dos golpistas.

Para o golpe mais difícil de perceber, aquele em que a tela mostra um dado adulterado, o uso de hardware wallet adiciona uma camada importante de verificação. Como o dispositivo confirma endereço e valor em sua própria tela, um navegador comprometido não consegue alterar silenciosamente aquilo que será realmente aprovado.

Akhil Jonnavithula, diretor de desenvolvimento de negócios da Cypherock, afirmou que esses golpes partem da suposição de que o usuário confia no que a tela mostra. Segundo ele, a validação diretamente no dispositivo reduz o risco de troca silenciosa de endereço. Além disso, a divisão da chave privada pelo Compartilhamento de Segredo de Shamir evita que um único ponto de falha coloque os fundos em risco.

O alerta da Microsoft sobre o malware CryptoBandits, os US$ 11,37 bilhões em perdas reportadas ao FBI em 2025 e a estimativa global de até US$ 17 bilhões em fraudes mostram que os golpes com criptomoedas seguem avançando sem precisar romper blockchains. Em muitos casos, basta induzir a vítima a confiar na tela errada, copiar o endereço errado ou aprovar a ação errada.