Golpes de phishing continuam a drenar carteiras de investidores desatentos, com ataques sofisticados explorando permissões antigas e táticas de engenharia social.

Um investidor de criptomoedas perdeu US$ 3,05 milhões em USDT após ser vítima de um ataque de phishing altamente sofisticado. O golpe, identificado por firmas de segurança como Lookonchain, PeckShield e Scam Sniffer, ocorreu após o usuário assinar uma transação maliciosa que autorizava a transferência dos fundos, sem perceber que estava dando acesso ao golpista.

O ataque explorou uma permissão de token concedida anteriormente, mostrando como aprovações antigas podem permanecer perigosas mesmo após meses ou anos. Em um caso recente semelhante, outro investidor perdeu mais de US$ 900 mil devido a uma aprovação de contrato assinada 458 dias antes da fraude ser executada.

Esses incidentes fazem parte de uma tendência alarmante. Relatórios de segurança revelam que golpes de phishing foram responsáveis por mais de US$ 1 bilhão em perdas no setor cripto em 2024, com 2025 mantendo o ritmo, somando mais de US$ 395 milhões roubados em apenas seis meses. O avanço de técnicas que disfarçam transações maliciosas como operações legítimas — como swaps na Uniswap — tem dificultado ainda mais a detecção desses golpes por usuários comuns.

As táticas de phishing vão muito além de e-mails falsos. Atualmente, golpistas se utilizam de sites clonados, links de KYC falsos, e até se passam por suporte de carteiras ou exchanges, explorando a desatenção e a pressa dos investidores. Estratégias como spear phishing (ataques personalizados) e whaling (focados em executivos de alto escalão) também estão em ascensão, aproveitando informações públicas e redes sociais para criar armadilhas convincentes.

Plataformas e ferramentas existem para mitigar esses riscos. A Etherscan oferece um Token Approval Checker, que permite revisar e revogar permissões de contratos potencialmente perigosos, embora cada revogação implique em um custo de gas. Exchanges como Binance desenvolveram programas que alertam sobre endereços falsificados antes que o usuário conclua uma transferência. Ainda assim, a responsabilidade maior recai sobre o próprio usuário, que deve revisar cuidadosamente cada transação, especialmente aprovações de contratos ou transferências em lote.

Relatórios de segurança como os da Certik e Bitget apontam que a sofisticação dos golpes de phishing tende a aumentar, impulsionada pelo uso de inteligência artificial e técnicas de engenharia social. A indústria reage com hubs anti-scam e acordos de safe harbor para hackers éticos, mas nenhum sistema é capaz de impedir perdas se os usuários não adotarem uma postura proativa.

A lição é clara: em um ambiente onde cada clique pode custar milhões, a atenção aos detalhes é a linha mais importante de defesa. Verificar URLs, desconfiar de solicitações inesperadas e revisar permissões antigas não são apenas boas práticas, mas medidas vitais para proteger ativos digitais.

• Veja também: Desenvolvedores de software usam IA mais do que nunca, mas confiam menos