Trader de Criptomoedas Perde $50M em USDT em Golpe de Envenenamento de Endereço

Os Mecânicos do Envenenamento de Endereço

Um trader de criptomoedas perdeu quase $50 milhões em uma única transação em 20 de dezembro após se tornar vítima de um sofisticado ataque de “envenenamento de endereço”. O incidente, que viu 49,999,950 USDT transferidos diretamente para a carteira de um golpista, destaca uma crescente crise de segurança onde ladrões de alta tecnologia exploram hábitos humanos básicos e limitações de interface do usuário.

De acordo com o investigador onchain Specter, a vítima, tentando mover fundos de uma exchange para uma carteira pessoal, inicialmente realizou uma transação de teste de 50 USDT para seu endereço legítimo. Isso foi detectado pelo atacante, que imediatamente gerou um endereço de vaidade “falsificado” que combinava com os quatro primeiros e últimos caracteres da carteira legítima da vítima.

Leia mais: Golpes em Cripto em 2025: Como Identificá-los e Proteger-se

O atacante então enviou uma quantidade insignificante de cripto deste endereço falso para a vítima, “envenenando” efetivamente o histórico de transações do usuário. Em uma discussão que se seguiu no X, Specter lamentou o fato de que um trader havia perdido fundos para “uma das causas menos prováveis de uma perda tão massiva.” Respondendo ao colega investigador ZachXBT, que expressou pesar pela vítima, Specter disse:

“É exatamente por isso que fiquei sem palavras, perder uma quantia tão massiva por causa de um erro simples. Apenas alguns segundos para copiar e colar o endereço da fonte correta em vez do histórico de transações poderiam ter prevenido tudo. Natal arruinado.”

A Falha da UI: Elipses e Erro Humano

Como a maioria das carteiras de cripto modernas e exploradores de blocos truncam longas sequências alfanuméricas—exibindo endereços com elipses no meio (por exemplo, 0xBAF4…F8B5)—o endereço falsificado apareceu idêntico ao da própria vítima à primeira vista. Portanto, quando a vítima foi transferir os restantes 49,999,950 USDT, seguiu uma prática comum: copiar o endereço do destinatário de seu histórico de transações recentes, em vez da fonte.

Dentro de 30 minutos do ataque de envenenamento, os quase $50 milhões em USDT foram trocados pelo stablecoin DAI antes de serem convertidos em aproximadamente 16,690 ETH e canalizados através do Tornado Cash. Após perceber o que aconteceu, a vítima desesperada enviou uma mensagem onchain para o atacante, oferecendo uma recompensa de white-hat de $1 milhão pelo retorno de 98% dos fundos. Em 21 de dezembro, os ativos permanecem não recuperados.

Especialistas em segurança alertam que, à medida que os ativos cripto atingem novos patamares, esses golpes de “envenenamento” de baixa tecnologia e alta recompensa estão se tornando mais comuns. Para evitar destinos semelhantes, os detentores são instados a sempre obter um endereço de recebimento diretamente da guia “Receber” da carteira.

Os usuários devem colocar na lista branca endereços confiáveis em suas carteiras para evitar erros de entrada manual. Eles também devem considerar usar dispositivos que exigem confirmação física do endereço de destino completo para fornecer uma segunda camada crítica de verificação.

FAQ 💡

• O que aconteceu no ataque de 20 de dezembro? Um trader perdeu quase $50M USDT para um golpe de envenenamento de endereço.
• Como o golpe funcionou? Atacantes falsificaram um endereço de carteira que parecia idêntico na forma truncada.
• Para onde foram movidos os cripto roubados? Os fundos foram lavados através da DAI, convertidos em ETH, e canalizados via Tornado Cash.
• Como os traders podem se proteger?
  Sempre copie endereços da guia “Receber” da carteira e coloque na lista branca contas confiáveis.