Ativos
Depósito de criptomoedas
Comprar Cripto
Converter
Transferência
Levantamento
Meus cupons
Histórico do fundos
Dashboard
Segurança da conta
Verificação de identificação
Gestão de APIs
Relatório de transação
Terminar sessão
inscrever
BTCC / BTCC Square / CryptopolitanPT /
Exploração de Permissão Ethereum: Usuário Perde US$ 440.358 em USDC - O que Aconteceu?

Exploração de Permissão Ethereum: Usuário Perde US$ 440.358 em USDC - O que Aconteceu?

Author:
CryptopolitanPT
Published:
2025-12-09 08:30:17
18
3

Usuário Ethereum perde US$ 440.358 em USDC após exploração maliciosa de permissão.

Um único clique custou quase meio milhão de dólares. A mais recente exploração de permissão na rede Ethereum expôs, mais uma vez, a linha tênue entre conveniência e catástrofe na DeFi.

A Armadilha da Assinatura Cega

O ataque não quebrou a criptografia; explorou a confiança. Os invasores contornaram as defesas convencionais ao manipular uma solicitação de permissão aparentemente rotineira - aquela janela pop-up que os usuários frequentemente aprovam sem um segundo olhar. Uma vez concedida, a permissão concedeu acesso direto à carteira da vítima, permitindo a drenagem imediata de 440.358 USDC.

Lições Caras para a Autocustódia

O incidente serve como um lembrete brutal: na economia de autocustódia, a segurança absoluta é um mito. Suas chaves privadas, sua responsabilidade - e seu risco. A indústria continua a depender de usuários para atuar como seus próprios bancos centrais, auditores de segurança e equipes de resposta a incidentes, tudo ao mesmo tempo. É um modelo que, às vezes, parece mais focado em gerar taxas de transação do que em prevenir perdas catastróficas.

O Preço da Pressa em um Mercado em Alta

Em meio a um rally de preços, as verificações de segurança muitas vezes se tornam vítimas do FOMO. Quem tem tempo para auditar contratos inteligentes quando um meme coin pode bombar 1000% em uma hora? Essa mentalidade de 'aproveitar agora, perguntar depois' é o terreno fértil perfeito para explorações como esta. A ironia final? A vítima provavelmente estava apenas tentando participar de uma yield farm promissora - o equivalente cripto de correr atrás de um retorno decente em um mundo de juros próximos de zero dos bancos tradicionais.

O setor avança, mas os golpes permanecem fundamentalmente os mesmos. Até que a experiência do usuário em segurança acompanhe a inovação financeira, histórias como esta continuarão sendo uma característica, e não um bug, do ecossistema.

Golpista de phishing aprova transferência de US$ 440 mil em USDC da vítima

De acordo com dados da blockchain da Etherscan, o atacante utilizou uma transação de "permissão", um tipo de assinatura que transfere tokens sem exigir a confirmação manual do proprietário. Mesmo que nenhum dinheiro pareça ser movimentado no momento da assinatura, o atacante pode posteriormente inserir o valor e cash o dinheiro sem consentimento adicional, como foi o caso em que foram inseridos US$ 440.358.

Após a aprovação, o atacante invocou diversas chamadas “transferFrom” usando otracFiatTokenProxy, que lida com transações em USDC. Por volta das 10h UTC de segunda-feira, 22.000 USDC foram enviados para uma conta falsa de phishing, US$ 66.060 para o endereço 0xbb4…666f682aF e US$ 352.300 para o endereço 0x6a3aF6…d8F9a00B simultaneamente.

vítima:
0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605

Golpistas:
0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF
0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B https://t.co/GdyGP2iPYZ pic.twitter.com/IukksnpAl1

— Detector de Fraudes | Web3 Anti-Fraudes (@realScamSniffer) 8 de dezembro de 2025

O Scam Sniffer também relatou outro incidente de phishing dent 7 de novembro, quando outro usuário perdeu US$ 1,22 milhão em USDC e um token PlaUSDT0 apenas 30 minutos após assinar mensagens de autorização fraudulentas.

O relatório de novembro da empresa de segurança Web3 sobre phishing mostra que as perdas totais atingiram US$ 7,77 milhões, um aumento de 1137% em relação aos US$ 3,28 milhões de outubro. Apesar do aumento nas perdas, o número de vítimas diminuiu 42%, com 6.344 usuários afetados em novembro, uma queda de 42% em relação às 10.935 vítimas registradas no mês anterior.

Há quase uma semana, alguns hackers usaram "envenenamento de endereço" para roubar 1,1 milhão de USDT na Ethereum. De acordo com Kyle Soska, CIO da Ramiel Capital, o grupo monitorou pequenas transferências de saída de carteiras de grandes investidores e, em seguida, usou sistemas com GPUs para gerar endereços quasedentaos originais. 

“Nesse caso, o atacante envia uma transação Tether muito pequena para a vítima na blockchain, de forma que o endereço semelhante apareça na lista de atividades recentes da carteira Web3 da vítima. A vítima, então,dentescolhe esse endereço para enviar a grande quantia de dinheiro”, disse Soska, respondendo a um usuário do X que perguntou como odent foi possível.

A temporada de compras de fim de ano foi inundada por golpes de falsificação de identidade.

O aumento nos golpes de phishing relacionados a criptomoedas ocorre na sequência de um crescimento nos golpes digitais durante a temporada de compras de fim de ano. A Dark trac , uma empresa de cibersegurança trac as tendências globais de phishing contra consumidores, relatou um aumento de 201% em golpes de "falsificação de identidade" de grandes varejistas dos EUA durante a semana que antecedeu o Dia de Ação de Graças, em comparação com a mesma semana de outubro.

E-mails se passando por Macy's, Walmart e Target aumentaram 54% em apenas uma semana, mas a Amazon foi a empresa mais imitada no geral, representando 80% das tentativas de phishing, mais do que marcas digitais de consumo como Apple, Alibaba e Netflix. 

Somente no início de novembro, a Kaspersky detectou 146.535 e-mails de spam fazendo referência a descontos sazonais, incluindo 2.572 relacionados a campanhas do Dia dos Solteiros. Muitas dessas mensagens reutilizavam modelos comprovados de anos anteriores, com golpistas imitando a Amazon, o Walmart e o Alibaba para anunciar vendas com acesso antecipado que redirecionavam os usuários para páginas de finalização de compra falsas, com o objetivo de roubardente executar aprovações maliciosas.

Dados da Kaspersky Security Network (KSN) mostram que, entre janeiro e outubro, a empresa bloqueou 6.394.854 tentativas de phishing direcionadas a lojas online, bancos e sistemas de pagamento. Quase metade dessas tentativas, 48,2%, visavam especificamente compradores online.

No mesmo período, a Kasperskydentmais de 20 milhões de ataques a plataformas de jogos, incluindo 18,56 milhões de ataques ao Discord, que a empresa afirma ser um ponto de distribuição de arquivos maliciosos disfarçados de software de jogos.

As plataformas de entretenimento também foram alvo de ataques intensos, com 801.148 tentativas de phishing relacionadas à Netflix e 576.873 relacionadas ao Spotify registradas em 2025. A empresa também documentou 2.054.336 tentativas de phishing se passando pelas plataformas de jogos Steam, PlayStation e Xbox.

Além disso, a Kaspersky registrou 20.188.897 tentativas de infecção por malware disfarçadas de "software comum", sendo o Discord responsável pela maioria, com 18.556.566 detecções, mais de 14 vezes o número dedentrelatados no ano passado.

Quer que seu projeto seja apresentado às mentes mais brilhantes do mundo das criptomoedas? Apresente-o em nosso próximo relatório do setor, onde dados encontram impacto.

|Square

Baixe o aplicativo BTCC para iniciar sua jornada criptográfica

Download on the App Store GEI IT ON Google Play

Comece hoje mesmo Escaneie e junte-se a nossos +100 M usuários

Exchange for a better future

Produtos
Serviços
Guias
Sobre nós
Termos e Acordo
Atendimento ao cliente

Aviso de risco: A negociação de ativos digitais é um setor emergente com perspectivas brilhantes, mas também apresenta enormes riscos, pois é um mercado novo. O risco é especialmente elevado em negociações alavancadas, uma vez que a alavancagem amplia os lucros e amplifica os riscos ao mesmo tempo. Certifique-se de ter um conhecimento profundo do setor, dos modelos de negociação alavancados e das regras de negociação antes de abrir uma posição. Além disso, recomendamos fortemente que você identifique sua tolerância ao risco e aceite apenas os riscos que está disposto a correr. Todas as negociações envolvem riscos, por isso você deve ser cauteloso ao entrar no mercado.

A bolsa de criptomoedas mais antiga do mundo desde 2011 © 2011 - 2025 BTCC.com. All rights reserved

Aviso de Isenção de Responsabilidade: Todos os artigos republicados nesta plataforma são provenientes de redes públicas e destinam-se exclusivamente ao propósito de disseminar informações do setor. Eles não representam nenhuma posição oficial da BTCC. Todos os direitos de propriedade intelectual pertencem aos seus autores originais. Se acreditar que qualquer conteúdo infringe os seus direitos ou é suspeito de violação de direitos autorais, por favor, contacte-nos em [email protected]. Abordaremos a questão prontamente e de acordo com as leis aplicáveis. A BTCC não oferece quaisquer garantias, explícitas ou implícitas, quanto à precisão, pontualidade ou integridade das informações republicadas e não assume qualquer responsabilidade, direta ou indireta, por quaisquer consequências decorrentes da dependência de tal conteúdo. Todos os materiais são fornecidos apenas para referência em pesquisa setorial e não devem ser interpretados como conselhos de investimento, jurídicos ou comerciais. A BTCC não assume qualquer responsabilidade legal por quaisquer ações tomadas com base no conteúdo aqui fornecido.