O investigador de segurança on-chain ZachXBT sinalizou centenas de carteiras em múltiplas cadeias EVM a serem drenadas por pequenas quantidades, tipicamente abaixo de $2.000 por vítima, canalizadas para um único endereço suspeito.
O total do roubo ultrapassou $107.000 e continuou a subir. A causa raiz ainda é desconhecida, mas os utilizadores relataram ter recebido um e-mail de phishing disfarçado como uma atualização obrigatória do MetaMask, completo com um logótipo de raposa com chapéu de festa e um assunto "Feliz Ano Novo!".
Este ataque chegou quando os programadores estavam de férias, os canais de suporte funcionavam com equipas reduzidas e os utilizadores navegavam por caixas de entrada repletas de promoções de Ano Novo.
Os atacantes exploram essa janela. As pequenas quantidades por vítima sugerem que o drainer opera a partir de aprovações de contratos em vez de comprometimento completo da frase-semente em muitos casos, o que mantém as perdas individuais abaixo do limiar onde as vítimas soam alarmes imediatamente, mas permite ao atacante escalar através de centenas de carteiras.
A indústria ainda está a processar um incidente separado da extensão de browser Trust Wallet no qual código malicioso na extensão Chrome v2.68 recolheu chaves privadas e drenou pelo menos $8,5 milhões de 2.520 carteiras antes da Trust Wallet corrigir para v2.69.
Duas explorações diferentes, mesma lição: os pontos finais do utilizador permanecem o elo mais fraco.
Anatomia de um e-mail de phishing que funciona
O e-mail de phishing com tema MetaMask demonstra por que estes ataques têm sucesso.
A identidade do remetente mostra "MetaLiveChain", um nome que soa vagamente adjacente a DeFi mas não tem conexão com o MetaMask.
O cabeçalho do e-mail contém um link de cancelamento de subscrição para "[email protected]", revelando que o atacante copiou modelos de campanhas de marketing legítimas. O corpo apresenta o logótipo da raposa do MetaMask usando um chapéu de festa, misturando alegria sazonal com urgência fabricada sobre uma "atualização obrigatória".
Essa combinação contorna as heurísticas que a maioria dos utilizadores aplica a esquemas óbvios.
O e-mail de phishing personifica o MetaMask com um logótipo de raposa com chapéu de festa, alegando falsamente que uma atualização de sistema "obrigatória" de 2026 é necessária para acesso à conta.A documentação de segurança oficial do MetaMask estabelece regras claras. E-mails de suporte vêm apenas de endereços verificados, como [email protected], e nunca de domínios de terceiros.
O fornecedor da carteira não envia e-mails não solicitados exigindo verificação ou atualizações.
Além disso, nenhum representante pedirá uma Frase de Recuperação Secreta. No entanto, estes e-mails funcionam porque exploram a lacuna entre o que os utilizadores sabem intelectualmente e o que fazem reflexivamente quando uma mensagem com aparência oficial chega.
Quatro sinais expõem phishing antes que ocorram danos.
Primeiro, incompatibilidade marca-remetente, pois a marca MetaMask de "MetaLiveChain" sinaliza roubo de modelo. Segundo, urgência fabricada em torno de atualizações obrigatórias que o MetaMask diz explicitamente que não enviará.
Terceiro, URLs de destino que não correspondem aos domínios alegados, pairar antes de clicar revela o alvo real. Quarto, pedidos que violam regras centrais da carteira, como pedir frases-semente ou solicitar assinaturas em mensagens off-chain opacas.
O caso ZachXBT demonstra mecânicas de phishing por assinatura. As vítimas que clicaram no link de atualização falso provavelmente assinaram uma aprovação de contrato concedendo ao drainer permissão para mover tokens.
Essa única assinatura abriu a porta para roubo contínuo através de múltiplas cadeias. O atacante escolheu pequenas quantidades por carteira porque as aprovações de contratos frequentemente têm limites de gasto ilimitados por padrão, mas drenar tudo desencadearia investigações imediatas.
Espalhar o roubo por centenas de vítimas a $2.000 cada passa despercebido individualmente enquanto acumula totais de seis dígitos.
Revogar aprovações e reduzir o raio de impacto
Uma vez que um link de phishing é clicado ou uma aprovação maliciosa é assinada, a prioridade muda para contenção. O MetaMask agora permite aos utilizadores visualizar e revogar permissões de tokens diretamente dentro do MetaMask Portfolio.
O Revoke.cash orienta os utilizadores através de um processo simples: conecte a sua carteira, inspecione aprovações por rede e envie transações de revogação para contratos não confiáveis.
A página Token Approvals do Etherscan oferece a mesma funcionalidade para revogação manual de aprovações ERC-20, ERC-721 e ERC-1155. Estas ferramentas são importantes porque as vítimas que agem rapidamente podem cortar o acesso do drainer antes de perder tudo.
A distinção entre comprometimento de aprovação e comprometimento de frase-semente determina se uma carteira pode ser recuperada. O guia de segurança do MetaMask traça uma linha dura: se suspeitar que a sua Frase de Recuperação Secreta foi exposta, pare de usar essa carteira imediatamente.
Crie uma nova carteira num dispositivo novo, transfira os ativos restantes e trate a seed original como permanentemente queimada. Revogar aprovações ajuda quando o atacante apenas detém permissões de contrato; se a sua seed foi comprometida, toda a carteira deve ser abandonada.
A Chainalysis documentou aproximadamente 158.000 comprometimentos de carteiras pessoais afetando pelo menos 80.000 pessoas em 2025, mesmo quando o valor total roubado caiu para aproximadamente $713 milhões.
As perdas de carteiras pessoais como parcela do roubo total de cripto subiram de aproximadamente 10% em 2022 para quase 25% em 2025, segundo dados da Chainalysis.Os atacantes atingem mais carteiras por quantidades menores, o padrão que ZachXBT identificou. A implicação prática: organizar carteiras para limitar o raio de impacto importa tanto quanto evitar phishing.
Uma única carteira comprometida não deve significar perda total do portfólio.
Construir defesa em profundidade
Os fornecedores de carteiras lançaram funcionalidades que teriam contido este ataque se adotadas.
O MetaMask agora incentiva a definição de limites de gastos em aprovações de tokens em vez de aceitar as permissões "ilimitadas" padrão. O Revoke.cash e o painel Shield da De.Fi defendem que as revisões de aprovação sejam tratadas como higiene de rotina juntamente com o uso de carteira de hardware para detenções de longo prazo.
O MetaMask ativa alertas de segurança de transações do Blockaid por padrão, sinalizando contratos suspeitos antes das assinaturas serem executadas.
O incidente da extensão Trust Wallet reforça a necessidade de defesa em profundidade. Essa exploração contornou decisões do utilizador, e código malicioso numa listagem oficial do Chrome recolheu automaticamente chaves.
Os utilizadores que segregaram detenções através de carteiras de hardware (armazenamento frio), carteiras de software (transações quentes) e carteiras descartáveis (protocolos experimentais) limitaram a exposição.
Esse modelo de três níveis cria atrito, mas o atrito é o objetivo. Um e-mail de phishing que captura uma carteira descartável custa centenas ou alguns milhares de dólares. O mesmo ataque contra uma única carteira contendo um portfólio inteiro custa dinheiro que muda vidas.
O drainer ZachXBT teve sucesso porque visou a costura entre conveniência e segurança. A maioria dos utilizadores mantém tudo numa instância MetaMask porque gerir múltiplas carteiras parece pesado.
O atacante apostou que um e-mail com aparência profissional no Dia de Ano Novo apanharia pessoas suficientes desprevenidas para gerar volume lucrativo. Essa aposta valeu a pena, com $107.000 e a contar.
A orientação oficial do MetaMask identifica três sinais de alerta de phishing: endereços de remetente errados, exigências urgentes de atualização não solicitadas e pedidos de Frases de Recuperação Secretas ou palavras-passe.O que está em jogo
Este incidente coloca uma questão mais profunda: quem tem responsabilidade pela segurança de pontos finais num mundo de autocustódia?
Os fornecedores de carteiras constroem ferramentas anti-phishing, investigadores publicam relatórios de ameaças e reguladores alertam consumidores. No entanto, o atacante precisou apenas de um e-mail falso, um logótipo clonado e um contrato drainer para comprometer centenas de carteiras.
A infraestrutura que permite autocustódia, transações sem permissão, endereços pseudónimos e transferências irreversíveis também a torna implacável.
A indústria trata isto como um problema de educação: se os utilizadores verificassem endereços de remetentes, pairassem sobre links e revogassem aprovações antigas, os ataques falhariam.
No entanto, os dados da Chainalysis sobre 158.000 comprometimentos sugerem que a educação por si só não escala. Os atacantes adaptam-se mais rápido do que os utilizadores aprendem. O e-mail de phishing do MetaMask evoluiu de modelos crus "A sua carteira está bloqueada!" para campanhas sazonais polidas.
A exploração da extensão Trust Wallet provou que mesmo utilizadores cuidadosos podem perder fundos se os canais de distribuição forem comprometidos.
O que funciona: carteiras de hardware para detenções significativas, revogação implacável de aprovações, segregação de carteiras por perfil de risco e ceticismo em relação a qualquer mensagem não solicitada de fornecedores de carteiras.
O que não funciona: assumir que as interfaces de carteiras são seguras por padrão, tratar aprovações como decisões únicas ou consolidar todos os ativos numa única hot wallet por conveniência. O drainer ZachXBT será encerrado porque o endereço está sinalizado e as exchanges congelarão depósitos.
Mas outro drainer será lançado na próxima semana com um modelo ligeiramente diferente e um novo endereço de contrato.
O ciclo continua até que os utilizadores internalizem que a conveniência das cripto cria uma superfície de ataque que eventualmente é explorada. A escolha não é entre segurança e usabilidade, mas sim entre atrito agora e perda mais tarde.
Fonte: https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
