Ataque de envenenamento de endereço Ethereum escalado: após uma transferência, ele recebeu 89 e-mails de alerta

No mundo da criptomoeda, não existe um botão de “desfazer”. Uma vez que fundos são enviados para um endereço errado, as chances de recuperá-los são quase nulas.

Artigo por: etherscan.eth

Compilado por: AididiaoJP, Foresight News

Há algumas semanas, um usuário do Etherscan chamado Nima compartilhou uma experiência desagradável. Após realizar apenas duas transferências de stablecoins, recebeu em pouco tempo mais de 89 e-mails de alerta de monitoramento de endereços.

Como Nima apontou, esses alertas foram acionados por transações de envenenamento de endereços. Os atacantes criam essas transações com o único objetivo de inserir endereços falsos muito semelhantes na história de transações do usuário, tentando enganar o usuário a copiar e usar esses endereços falsos na próxima transferência.

O envenenamento de endereços existe na Ethereum há vários anos. No entanto, esses incidentes evidenciam que esse tipo de ataque se tornou altamente automatizado e em escala. O que antes era ocasional e pontual, agora pode ser realizado em grande volume, com os atacantes geralmente inserindo as transações de envenenamento poucos minutos após uma transação legítima.

Para entender por que esses ataques se tornaram mais comuns atualmente, é preciso analisar dois aspectos: a evolução das técnicas de envenenamento de endereços e as razões que permitem sua operação em larga escala.

Além disso, este artigo destacará um princípio fundamental de defesa para ajudar os usuários a se protegerem eficazmente desses ataques.

1. Desenvolvimento industrial do envenenamento de endereços

O envenenamento de endereços era visto como uma tática de ataque oportunista, usada por fraudadores de nicho. Contudo, hoje seu funcionamento apresenta cada vez mais características de uma atividade industrializada.

Um estudo publicado em 2025 analisou as atividades de envenenamento de endereços entre julho de 2022 e junho de 2024 (antes da atualização Fusaka). O estudo revelou cerca de 17 milhões de tentativas de envenenamento na Ethereum, envolvendo aproximadamente 1,3 milhão de usuários, com perdas confirmadas de pelo menos 79,3 milhões de dólares.

A tabela abaixo, baseada no estudo “Pesquisa sobre Envenenamento de Endereços Blockchain”, mostra a escala dessas atividades na Ethereum e na BSC entre julho de 2022 e junho de 2024. Os dados indicam que, na BSC, onde as taxas de transação são significativamente menores, a frequência de transações de envenenamento é 1355% maior.

Os atacantes geralmente monitoram as atividades na blockchain para identificar possíveis alvos. Assim que detectam uma transação de um usuário, um sistema automatizado gera um endereço altamente semelhante, com os mesmos caracteres iniciais e finais, que já interagiu com esse usuário. Depois, enviam uma transação de envenenamento contendo esses endereços falsos, fazendo-os aparecer na história de transações do usuário.

Os atacantes tendem a escolher endereços com maior potencial de lucro. Endereços que fazem transferências frequentes, possuem grandes saldos de tokens ou participam de transações de alto valor costumam ser mais visados.

Mecanismo de competição aumenta a eficiência do ataque

Um estudo de 2025 revelou um fenômeno importante: há uma competição constante entre diferentes grupos de atacantes. Em muitas tentativas de envenenamento, vários atacantes enviam quase simultaneamente transações de envenenamento ao mesmo endereço alvo.

Cada grupo tenta primeiro inserir seu endereço falso na história do usuário, na esperança de que, ao copiar o endereço posteriormente, o usuário acabe usando o endereço falso. Quem consegue inserir primeiro, aumenta a chance de o usuário copiar erroneamente o endereço falso.

O caso de um endereço exemplifica bem essa competição intensa. Após uma transferência legítima de USDT, em poucos minutos, foram inseridas 13 transações de envenenamento.

Nota: O Etherscan oculta transações de valor zero por padrão; aqui, para fins de demonstração, essa ocultação foi desativada.

As técnicas comuns de envenenamento incluem: transferências de pequenas quantidades de tokens (dusting), falsificação de transferências de tokens e transferências de valor zero.

2. Razões que facilitam a operação em larga escala do envenenamento de endereços

À primeira vista, a taxa de sucesso do envenenamento parece baixa. Afinal, a maioria dos usuários não cai nessas armadilhas. No entanto, do ponto de vista econômico, a lógica é completamente diferente.

Lógica do jogo de probabilidades

Pesquisadores descobriram que, na Ethereum, a taxa de sucesso de uma tentativa de envenenamento é de aproximadamente 0,01%. Ou seja, a cada 10.000 tentativas, cerca de uma resultará na transferência incorreta de fundos para o atacante.

Diante disso, as atividades de envenenamento não se limitam a poucos endereços. Os atacantes enviam milhares ou até milhões de transações de envenenamento. Quando o número de tentativas é suficientemente grande, mesmo uma taxa de sucesso muito baixa pode gerar lucros significativos.

Um grande golpe de transferência bem-sucedido pode cobrir facilmente o custo de milhares de tentativas fracassadas.

Redução dos custos de transação estimula mais tentativas de envenenamento

A atualização Fusaka, ativada em 3 de dezembro de 2025, introduziu melhorias de escalabilidade que reduziram significativamente os custos de transação na Ethereum. Essa mudança beneficiou usuários e desenvolvedores, além de diminuir o custo para os atacantes realizarem uma única tentativa de envenenamento, permitindo que enviem em escala sem precedentes.

Após a atualização Fusaka, a atividade na rede Ethereum aumentou consideravelmente. Nos 90 dias seguintes à atualização, o volume diário de transações cresceu 30% em relação aos 90 dias anteriores. O número de novos endereços criados por dia também aumentou em média cerca de 78%.

Além disso, observamos um aumento expressivo nas transferências de dusting, que envolvem o envio de pequenas quantidades de tokens iguais às transferidas anteriormente pelos usuários. Com a redução dos custos de transação, os atacantes podem realizar operações em grande escala com custos mínimos.

Os dados abaixo comparam as atividades de dusting em 90 dias antes e depois da atualização Fusaka para principais tokens como USDT, USDC e DAI. Para stablecoins, dusting refere-se a transações de valores inferiores a 0,01 dólares; para ETH, transações abaixo de 0,00001 ETH.

USDT

• Antes: 4,2 milhões
• Depois: 29,9 milhões
• Aumento: +25,7 milhões (+612%)

USDC

• Antes: 2,6 milhões
• Depois: 14,9 milhões
• Aumento: +12,3 milhões (+473%)

DAI

• Antes: 142.405
• Depois: 811.029
• Aumento: +668.624 (+470%)

ETH

• Antes: 104,5 milhões
• Depois: 169,7 milhões
• Aumento: +65,2 milhões (+62%)

Os dados mostram que, logo após a atualização Fusaka, as atividades de dusting (transações abaixo de 0,01 dólares) aumentaram drasticamente, atingindo um pico antes de recuar, mas permanecendo significativamente acima do nível anterior. As transações acima de 0,01 dólares permaneceram relativamente estáveis.

Gráfico: Comparativo da tendência de dusting (<0,01 USD) de USDT, USDC e DAI nos 90 dias antes e depois da atualização Fusaka

Gráfico: Comparativo da tendência de transações normais (>0,01 USD) de USDT, USDC e DAI nos 90 dias antes e depois da atualização Fusaka

Em muitas atividades de ataque, os atacantes distribuem em massa tokens e ETH para endereços falsos recém-criados, e depois enviam as transações de dusting desses endereços falsos para os endereços-alvo. Como essas transferências envolvem valores extremamente baixos, a redução dos custos de transação permite que os atacantes operem em grande escala com custos mínimos.

Ilustração: Endereço Fake_Phishing1688433 enviando em massa tokens e ETH para vários endereços falsos em uma única transação

É importante esclarecer que nem todas as transferências de dusting são ataques de envenenamento. Algumas podem ser atividades legítimas, como troca de tokens ou pequenas interações entre endereços. No entanto, ao analisar um grande volume de registros de dusting, é possível identificar uma parcela significativa que provavelmente constitui tentativas de envenenamento.

3. Princípio central de defesa

Antes de enviar qualquer fundo, verifique cuidadosamente o endereço de destino.

Aqui estão algumas dicas práticas para reduzir riscos ao usar o Etherscan:

Use identificadores de endereço reconhecíveis

Para endereços com os quais você interage frequentemente, configure etiquetas de nome privadas no Etherscan. Isso ajuda a distinguir claramente os endereços legítimos entre muitos endereços semelhantes.

Utilize também serviços de domínio como ENS para melhorar a identificação dos endereços no navegador.

Além disso, recomenda-se usar a função de lista de contatos da carteira, adicionando endereços frequentes à lista de permissões, garantindo que os fundos sejam sempre enviados ao destino esperado.

Ative o destaque de endereços

A função de destaque de endereços do Etherscan ajuda a distinguir visualmente endereços semelhantes. Se dois endereços parecem quase iguais, mas um deles tem uma marca de destaque diferente, provavelmente um deles é um endereço de envenenamento.

Confirme duas vezes antes de copiar o endereço

Ao copiar um endereço que possa estar relacionado a atividades suspeitas, o Etherscan exibe uma janela de aviso. Essas atividades incluem:

• Transferências de tokens de baixo valor
• Transferências falsificadas de tokens
• Tokens com reputação ruim
• Tokens não atualizados

Quando você vir esses alertas, pause a operação e verifique cuidadosamente se o endereço copiado é realmente o destino pretendido.

Lembre-se: no mundo da criptomoeda, não há botão de “desfazer”. Uma vez que fundos são enviados para um endereço errado, recuperá-los é quase impossível.

Resumo

Com a redução dos custos de transação, estratégias de ataque em grande escala se tornam mais econômicas, e o envenenamento de endereços na Ethereum tem se tornado cada vez mais frequente. Esses ataques também prejudicam a experiência do usuário, com uma grande quantidade de lixo de envenenamento inundando as interfaces de histórico de transações.

Para se proteger efetivamente contra o envenenamento de endereços, é necessário que os usuários aumentem sua conscientização de segurança e que as interfaces sejam aprimoradas para facilitar a identificação de atividades suspeitas. O hábito mais importante é: antes de enviar fundos, verifique cuidadosamente o endereço de destino.

Além disso, ferramentas e interfaces devem desempenhar um papel mais ativo na ajuda aos usuários na rápida identificação de atividades suspeitas.

Etiquetas de endereços de envenenamento no Etherscan (https://etherscan.io/accounts/label/poisoning-address)

O Etherscan continua aprimorando sua interface e API para ajudar os usuários a identificar esses ataques de forma mais fácil. Marcamos endereços falsos, identificamos e ocultamos transferências de tokens de valor zero, e rotulamos tokens falsificados. Com esses dados organizados, os usuários podem detectar tentativas de envenenamento de endereços sem precisar filtrar manualmente uma grande quantidade de transações.

À medida que os ataques de envenenamento evoluem com automação e uso de grandes volumes de dusting, a apresentação clara desses sinais de risco é fundamental para ajudar os usuários a distinguir atividades suspeitas de transações legítimas.