Fraudes de falsificação de endereços expostas: Por que uma perda de $50M USDT é um alerta para a segurança em criptomoedas

O espaço cripto acabou de testemunhar uma das falhas de segurança mais marcantes do ano. Um único utilizador perdeu $50 milhões em USDT num ataque de envenenamento de endereços — um esquema de baixa tecnologia que é surpreendentemente eficaz até contra traders sofisticados. O incidente reacendeu conversas urgentes sobre defesas ao nível da carteira, com figuras proeminentes como CZ a pedir medidas de proteção a nível da indústria.

Como Funciona na Prática o Envenenamento de Endereços (E Por Que É Tão Perigoso)

No seu núcleo, o envenenamento de endereços explora uma fraqueza humana simples: erros de copiar e colar. Os atacantes enviam pequenas quantidades de criptomoeda de endereços falsificados que imitam de perto os endereços de carteiras legítimas. Estas transferências fraudulentas aparecem no seu histórico de transações, criando um atalho tentador mas perigoso. Quando envia fundos posteriormente, pode inconscientemente usar o endereço semelhante do seu histórico em vez do correto — uma diferença de um único carácter que encaminha milhões para o scammer em vez do seu destinatário pretendido.

O que torna este esquema particularmente insidioso é a sua simplicidade. Não é necessário hacking. Não há comprometimento de chaves privadas. Apenas a exploração dos hábitos do utilizador e da semelhança visual. O incidente de 19 de dezembro exemplificou isto perfeitamente: uma baleia enviou uma pequena transação de teste para verificar um endereço, depois transferiu quase $50 milhões de USDT para o que parecia ser a mesma carteira — exceto que não era. Dentro de horas, os fundos roubados foram convertidos e dispersos por múltiplos endereços, tornando a recuperação virtualmente impossível.

A Escala do Problema É Maior Do Que Pensa

Isto não foi um incidente isolado. A pesquisa de segurança na indústria catalogou aproximadamente 15 milhões de endereços envenenados em diferentes blockchains. Só em novembro, esquemas de envenenamento de endereços e phishing relacionados representaram perdas de $7,77 milhões em mais de 6.300 vítimas. Estimativas mais amplas sugerem perdas totais de criptomoeda de cerca de $3,3 mil milhões durante 2025, com compromissos de carteiras e ataques de phishing a representar uma parte substancial.

A tendência não está a diminuir. Cada mês traz novos relatos de perdas de seis e sete dígitos por parte de utilizadores que caíram nestas truques de “endereço envenenado”. A acessibilidade do método de ataque — que requer mínima sofisticação técnica por parte dos perpetradores — significa que a adoção por parte dos scammers continua a aumentar.

O Que CZ e Líderes da Indústria Estão a Propor

Em resposta, CZ e outros defensores da segurança estão a promover soluções ao nível da carteira que não requerem alterações no protocolo:

Consultas em listas negras em tempo real permitiriam às carteiras verificar os endereços de destino contra bases de dados partilhadas de endereços envenenados conhecidos, sinalizando transferências suspeitas antes de serem confirmadas.

Filtragem automática de “poeira” poderia esconder as pequenas transações de teste que envenenam os históricos de endereços, reduzindo a tentação de copiar de listas de transações.

Alertas aprimorados na interface de utilizador ativariam sempre que estiver a copiar um endereço, colar um destinatário desconhecido, ou quando os primeiros/últimos caracteres coincidirem com padrões de spoofing conhecidos.

Estas são correções a nível de software que transferem a responsabilidade dos utilizadores para os fornecedores de carteiras — uma abordagem prática, dado o quão difícil é treinar milhões de utilizadores de cripto a nunca cometerem erros.

Porque Isto É Importante Para a Sua Segurança Hoje

A realidade é que a segurança das carteiras tornou-se numa corrida armamentista. Soluções centralizadas (atualizações de listas negras) e soluções descentralizadas (educação melhorada do utilizador) têm ambos um papel a desempenhar. Se os principais fornecedores de carteiras adotarem estas salvaguardas, muitas tentativas de envenenamento de endereços poderiam ser detidas antes de clicar no botão de “enviar”. O $50 milhão de perdas serve como lembrete de que até atores sofisticados podem cair em truques surpreendentemente simples quando a infraestrutura de segurança não acompanha o ritmo.

Para utilizadores individuais, isto significa pressionar o seu fornecedor de carteira por melhores ferramentas de verificação de endereços, usar carteiras de hardware sempre que possível, e sempre enviar quantidades de teste primeiro — embora mesmo transações de teste não o protejam se o endereço inteiro for falsificado.