O pesquisador de segurança on-chain ZachXBT sinalizou centenas de carteiras em várias cadeias EVM sendo drenadas por pequenas quantias, normalmente abaixo de US$ 2.000 por vítima, canalizadas para um único endereço suspeito.
O total de roubos ultrapassou US$ 107.000 e continuou aumentando. A causa raiz ainda é desconhecida, mas os usuários relataram ter recebido um e-mail de phishing disfarçado como uma atualização obrigatória do MetaMask, completo com um logotipo de raposa com chapéu de festa e um “Feliz Ano Novo!” linha de assunto.
Esse ataque ocorreu quando os desenvolvedores estavam de férias, os canais de suporte administravam equipes reduzidas e os usuários navegavam pelas caixas de entrada cheias de promoções de Ano Novo.
Os invasores exploram essa janela. Os pequenos montantes por vítima sugerem que o drenador opera com base em aprovações de contratos, em vez de comprometer a frase-semente completa em muitos casos, o que mantém as perdas individuais abaixo do limite em que as vítimas soam imediatamente os alarmes, mas permite ao atacante escalar centenas de carteiras.
A indústria ainda está processando um incidente separado com a extensão do navegador Trust Wallet, no qual o código malicioso na extensão v2.68 do Chrome coletou chaves privadas e drenou pelo menos US$ 8,5 milhões de 2.520 carteiras antes da Trust Wallet ser corrigida para v2.69.
Duas explorações diferentes, a mesma lição: os endpoints dos usuários continuam sendo o elo mais fraco.
Anatomia de um e-mail de phishing que funciona
O e-mail de phishing com tema MetaMask demonstra por que esses ataques são bem-sucedidos.
A identidade do remetente mostra “MetaLiveChain”, um nome que soa vagamente adjacente ao DeFi, mas não tem conexão com o MetaMask.
O cabeçalho do e-mail contém um link de cancelamento de inscrição para “(e-mail protegido)”, revelando que o invasor retirou modelos de campanhas de marketing legítimas. O corpo apresenta o logotipo da raposa da MetaMask usando um chapéu de festa, combinando a alegria sazonal com a urgência fabricada sobre uma “atualização obrigatória”.
Essa combinação ignora a heurística que a maioria dos usuários aplica a golpes óbvios.
A documentação oficial de segurança da MetaMask estabelece regras claras. Os e-mails de suporte vêm apenas de endereços verificados, como (e-mail protegido), e nunca de domínios de terceiros.
O provedor da carteira não envia e-mails não solicitados exigindo verificação ou atualizações.
Além disso, nenhum representante jamais solicitará uma frase secreta de recuperação. No entanto, estes e-mails funcionam porque exploram a lacuna entre o que os utilizadores sabem intelectualmente e o que fazem reflexivamente quando chega uma mensagem com aspecto oficial.
Quatro sinais expõem o phishing antes que ocorram danos.
Primeiro, a incompatibilidade marca-remetente, já que a marca MetaMask de “MetaLiveChain” sinaliza roubo de modelo. Em segundo lugar, a urgência fabricada em torno das atualizações obrigatórias que a MetaMask diz explicitamente que não enviará.
Terceiro, URLs de destino que não correspondem aos domínios reivindicados, passar o mouse antes de clicar revela o destino real. Quarto, solicitações que violam as regras básicas da carteira, como solicitar frases-semente ou solicitar assinaturas em mensagens opacas fora da cadeia.
O caso ZachXBT demonstra a mecânica de phishing de assinatura. As vítimas que clicaram no link de atualização falso provavelmente assinaram um contrato de aprovação concedendo ao drenador permissão para mover tokens.
Essa única assinatura abriu a porta para roubos contínuos em várias cadeias. O invasor escolheu pequenos valores por carteira porque as aprovações de contratos geralmente acarretam limites de gastos ilimitados por padrão, mas drenar tudo desencadearia investigações imediatas.
Espalhar o roubo entre centenas de vítimas a US$ 2.000 cada passa despercebido pelo radar individual enquanto acumula totais de seis dígitos.
Revogação de aprovações e redução do raio de explosão
Depois que um link de phishing é clicado ou uma aprovação maliciosa é assinada, a prioridade muda para a contenção. MetaMask agora permite que os usuários visualizem e revoguem permissões de token diretamente dentro do portfólio MetaMask.
Revoke.cash orienta os usuários em um processo simples: conecte sua carteira, inspecione as aprovações por rede e envie transações de revogação para contratos não confiáveis.
A página de aprovações de token do Etherscan oferece a mesma funcionalidade para revogação manual de aprovações ERC-20, ERC-721 e ERC-1155. Essas ferramentas são importantes porque as vítimas que agem rapidamente podem cortar o acesso ao escorredor antes de perder tudo.
A distinção entre compromisso de aprovação e compromisso de frase-semente determina se uma carteira pode ser recuperada. O guia de segurança da MetaMask estabelece uma linha dura: se você suspeitar que sua frase secreta de recuperação foi exposta, pare de usar essa carteira imediatamente.
Crie uma nova carteira em um novo dispositivo, transfira os ativos restantes e trate a semente original como permanentemente queimada. A revogação de aprovações ajuda quando o invasor possui apenas permissões de contrato; se sua semente acabar, toda a carteira deverá ser abandonada.
A Chainalysis documentou cerca de 158.000 comprometimentos de carteiras pessoais afetando pelo menos 80.000 pessoas em 2025, mesmo com o valor total roubado caindo para aproximadamente US$ 713 milhões.
Os invasores atingiram mais carteiras por quantias menores, o padrão identificado pelo ZachXBT. A implicação prática: organizar carteiras para limitar o raio de explosão é tão importante quanto evitar phishing.
Uma única carteira comprometida não deve significar perda total do portfólio.
Construindo defesa em profundidade
Os provedores de carteira enviaram recursos que teriam contido esse ataque se adotados.
MetaMask agora incentiva a definição de limites de gastos para aprovações de tokens, em vez de aceitar as permissões “ilimitadas” padrão. O defensor do painel Revoke.cash e De.Fi’s Shield trata as revisões de aprovação como uma higiene de rotina, juntamente com o uso de carteira de hardware para participações de longo prazo.
MetaMask permite alertas de segurança de transações do Blockaid por padrão, sinalizando contratos suspeitos antes que as assinaturas sejam executadas.
O incidente da extensão da Trust Wallet reforça a necessidade de defesa profunda. Essa exploração ignorou as decisões do usuário e o código malicioso em uma lista oficial do Chrome coletou chaves automaticamente.
Os usuários que segregaram os acervos em carteiras de hardware (armazenamento frio), carteiras de software (transações quentes) e carteiras queimadoras (protocolos experimentais) limitaram a exposição.
Esse modelo de três níveis cria atrito, mas o atrito é o ponto principal. Um e-mail de phishing que captura uma carteira gravadora custa centenas ou alguns milhares de dólares. O mesmo ataque contra uma única carteira que contém um portfólio inteiro custa dinheiro que mudará vidas.
O escorredor ZachXBT teve sucesso porque mirou na junção entre conveniência e segurança. A maioria dos usuários mantém tudo em uma instância do MetaMask porque o gerenciamento de múltiplas carteiras parece complicado.
O invasor apostou que um e-mail com aparência profissional no dia de Ano Novo pegaria um número suficiente de pessoas desprevenidas e geraria um volume lucrativo. Essa aposta valeu a pena, com US$ 107.000 e aumentando.
O que está em jogo
Este incidente levanta uma questão mais profunda: quem é o responsável pela segurança dos terminais num mundo auto-custodial?
Os provedores de carteiras criam ferramentas antiphishing, os pesquisadores publicam relatórios de ameaças e os reguladores alertam os consumidores. No entanto, o invasor precisava apenas de um e-mail falso, um logotipo clonado e um contrato drenante para comprometer centenas de carteiras.
A infraestrutura que permite a autocustódia, transações sem permissão, endereços pseudônimos e transferências irreversíveis também a torna implacável.
A indústria trata isso como um problema educacional: se os usuários verificassem os endereços dos remetentes, passassem o mouse sobre os links e revogassem aprovações antigas, os ataques falhariam.
No entanto, os dados da Chainalysis sobre 158.000 compromissos sugerem que a educação por si só não é escalável. Os invasores se adaptam mais rápido do que os usuários aprendem. O e-mail de phishing MetaMask evoluiu do bruto “Sua carteira está bloqueada!” modelos para campanhas sazonais sofisticadas.
A exploração da extensão Trust Wallet provou que mesmo usuários cuidadosos podem perder fundos se os canais de distribuição forem comprometidos.
O que funciona: carteiras de hardware para participações significativas, revogação implacável de aprovação, segregação de carteiras por perfil de risco e ceticismo em relação a qualquer mensagem não solicitada dos fornecedores de carteiras.
O que não funciona: assumir que as interfaces da carteira são seguras por padrão, tratar as aprovações como decisões únicas ou consolidar todos os ativos em uma única carteira quente por conveniência. O drenador ZachXBT será desligado porque o endereço está sinalizado e as exchanges congelarão os depósitos.
Mas outro escorredor será lançado na próxima semana com um modelo ligeiramente diferente e um novo contrato
endereço.
O ciclo continua até que os usuários internalizem que a conveniência da criptografia cria uma superfície de ataque que eventualmente é explorada. A escolha não é entre segurança e usabilidade, mas sim entre atrito agora e perda depois.
Fonte: www.cryptoslate.com
Link da Fonte
