Surpresa de férias: Desmascarando o ataque de phishing "Feliz Ano Novo" disfarçado de MetaMask, como esvaziar centenas de carteiras?

Conhecido pesquisador de segurança on-chain ZachXBT revelou recentemente que um ataque de phishing direcionado aos usuários da carteira MetaMask resultou em danos a centenas de carteiras, com perdas acumuladas superiores a 10,7 mil dólares e ainda em contínua escalada. Os atacantes aproveitaram o feriado de Ano Novo, disfarçando-se de fontes oficiais e enviando e-mails de phishing de “atualização forçada”, induzindo os usuários a assinar contratos maliciosos de autorização.

Este incidente, juntamente com o recente vazamento na extensão do navegador Trust Wallet que roubou pelo menos 8,5 milhões de dólares, mais uma vez evidencia a extrema vulnerabilidade da segurança do lado do usuário no mundo da criptomoeda. Este artigo irá aprofundar a análise das táticas de ataque utilizadas, fornecer orientações de resposta imediata e construir um sistema de defesa profunda voltado ao futuro.

Visão geral do ataque: caça precisa durante o feriado

No início do Ano Novo, enquanto desenvolvedores globais e equipes de suporte de projetos estavam em férias, com recursos operacionais reduzidos, uma ofensiva coordenada contra carteiras de criptomoedas foi lançada silenciosamente. O pesquisador de segurança ZachXBT monitorou na cadeia que, em várias blockchains compatíveis com EVM, centenas de endereços de carteiras estavam sendo alvo de roubo contínuo, de forma dispersa e em pequenas quantidades. O valor perdido por vítima geralmente fica abaixo de 2.000 dólares, e todo o dinheiro roubado acaba sendo enviado para um mesmo endereço suspeito. Até o momento da publicação, o total de perdas confirmadas ultrapassa 10,7 mil dólares, e esse número continua crescendo.

Embora a causa raiz do ataque ainda esteja sendo investigada, muitos relatos de usuários revelam a porta de entrada: um e-mail de phishing disfarçado de uma “atualização obrigatória” enviada oficialmente pela MetaMask. O e-mail é bem elaborado, usando o ícone do raposo característico da MetaMask, inclusive com um chapéu de festa, e o assunto é “Feliz Ano Novo!”, aproveitando a atmosfera festiva para diminuir a vigilância do usuário. Os atacantes escolheram esse momento, justamente por aproveitar a janela de tempo em que a resposta é mais lenta e a atenção mais dispersa.

Esse padrão de roubo “por pequenas quantidades” é altamente estratégico. Indica que, na maioria dos casos, os atacantes não estão simplesmente roubando as seed phrases (frases-semente) dos usuários para controlar completamente as carteiras, mas explorando as autorizações de contratos maliciosos previamente induzidos. Normalmente, muitas autorizações de tokens são configuradas como “ilimitadas”, mas os atacantes não esvaziam a carteira de uma só vez; eles controlam o valor de roubo por operação, mantendo-o em níveis baixos. Assim, evitam alertar o usuário imediatamente, permitindo que o ataque seja replicado em escala para centenas de carteiras, acumulando um valor considerável de forma gradual.

ZachXBT revela dados-chave do ataque de phishing

Duração do ataque: Durante o feriado de Ano Novo, período exato a ser confirmado

Número de carteiras afetadas: Centenas (número em contínuo aumento)

Perda média por carteira: Geralmente abaixo de 2.000 dólares

Perda total confirmada: Mais de 10,7 mil dólares

Redes envolvidas: Múltiplas blockchains compatíveis com EVM (como Ethereum, Polygon, Arbitrum, etc.)

Método de ataque: E-mails de phishing induzindo assinatura de autorizações maliciosas de contratos

Análise das quatro falhas principais em “e-mails de phishing eficazes”

Por que tantos usuários experientes de criptomoedas caem nessa armadilha? Este e-mail de phishing com tema MetaMask é um exemplo de “estudo de caso” de engenharia social, cujo sucesso revela vulnerabilidades comuns nos hábitos de segurança dos usuários comuns. No entanto, por mais elaborado que seja o disfarce, esses ataques sempre deixam pistas nos detalhes. Reconhecer os seguintes quatro sinais-chave pode ajudar a interceptar a ameaça antes que cause perdas.

Primeiro, e mais evidente, é “conflito grave entre marca e remetente”. No caso, o remetente aparece como “MetaLiveChain” — um nome que soa como relacionado a finanças descentralizadas (DeFi), mas que na verdade não tem ligação alguma com a MetaMask. Isso é uma evidência direta de que o atacante usou um modelo legítimo de e-mail de marketing. No cabeçalho, há até um link de descadastro que aponta para “reviews@yotpo .com”, expondo ainda mais sua natureza de spam.

Em segundo lugar, “a sensação de urgência artificial” é uma tática clássica de phishing. O corpo do e-mail enfatiza que a atualização é “obrigatória” e exige ação imediata, sob pena de afetar o uso da carteira. Isso entra em conflito direto com as diretrizes de segurança oficiais da MetaMask. A MetaMask afirma claramente que “nunca” solicitará validações ou atualizações por e-mails não solicitados. Qualquer pedido de atualização emergencial vindo de uma fonte oficial deve ser tratado como um sinal de alerta vermelho.

O terceiro sinal de alerta é “links enganosos”. Os botões ou links no e-mail de ataque geralmente têm textos como “Atualize agora” que apontam para domínios diferentes do oficial. Antes de clicar, o usuário pode passar o mouse sobre o link (em desktop) e verificar o endereço real de destino na barra do navegador. Qualquer link que não seja metamask.io ou seus subdomínios oficiais deve ser considerado altamente suspeito.

Por fim, “solicitação de informações sensíveis ou permissões” é a linha vermelha final. A MetaMask e seus representantes legítimos nunca solicitarão por e-mail, SMS ou telefone sua “frase secreta de recuperação” (Secret Recovery Phrase). Além disso, pedir que você assine uma mensagem off-chain ou uma transação cujo conteúdo e finalidade não sejam claros também é um potencial golpe. No caso do ataque revelado por ZachXBT, é provável que o usuário tenha sido induzido a assinar um contrato de autorização de tokens malicioso, abrindo a porta para transferência de ativos.

Guia de resposta rápida: revogação de autorizações e limitação de perdas

Se você perceber que clicou em um link de phishing ou assinou uma autorização suspeita, o pânico não ajuda — aja imediatamente para limitar os danos. A prioridade é “revogar o acesso do atacante”. Felizmente, há várias ferramentas que facilitam a gestão e revogação de autorizações de contratos.

Para usuários do MetaMask, é possível verificar e gerenciar todas as autorizações de tokens diretamente na interface do MetaMask Portfolio. Além disso, sites especializados como Revoke.cash oferecem um procedimento extremamente simples: conecte sua carteira, selecione a rede correspondente, e eles listarão claramente todas as autorizações de sua carteira para contratos inteligentes. Você pode revisar e revogar qualquer autorização que não confie ou que não utilize mais, enviando uma transação de revogação. Da mesma forma, exploradores como Etherscan oferecem páginas de “Token Approvals” que permitem revogar manualmente autorizações de tokens ERC-20, ERC-721, entre outros. Agir rapidamente é fundamental para impedir que os atacantes esvaziem sua carteira antes que você possa reagir.

No entanto, a ação correta depende de uma avaliação precisa do grau de invasão. Existe uma distinção fundamental entre “autorização de contrato roubada” e “seed phrase completamente comprometida”. Se for o primeiro caso, o atacante só tem permissão para mover certos tokens; revogando as autorizações, você mantém o controle da carteira, embora deva reforçar a segurança para continuar usando. Se for o segundo, significa que o invasor tem controle total da sua carteira, e qualquer ação — incluindo revogar autorizações — pode ser interceptada ou resultar em novos roubos.

As diretrizes de segurança oficiais da MetaMask deixam isso bem claro: se suspeitar que sua seed phrase foi comprometida, pare de usar a carteira imediatamente. Crie uma nova carteira em um dispositivo limpo e sem vírus, e transfira seus ativos não comprometidos para ela. A seed phrase antiga deve ser considerada “queimadura definitiva” e nunca mais usada. Essa decisão de “cortar o mal pela raiz” é a única forma de lidar com o pior cenário.

Construção de defesa profunda: de proteção pontual a sistema de segurança

Tanto o ataque de phishing atual quanto o vazamento na extensão Trust Wallet que resultou em perdas de 850 mil dólares apontam para uma mesma conclusão: confiar em uma única camada de proteção é perigoso. Diante de ameaças em constante evolução, usuários comuns precisam estabelecer um sistema de “defesa em profundidade”, criando múltiplas barreiras para limitar possíveis perdas.

Primeira camada: configuração da carteira e hábitos diários. Os provedores de carteiras estão integrando cada vez mais recursos de segurança. Por exemplo, a MetaMask agora incentiva os usuários a definir limites de gastos ao autorizar tokens, ao invés de aceitar autorizações ilimitadas por padrão. Além disso, é fundamental revisar e limpar periodicamente as autorizações antigas, tratando-as como uma rotina de higiene de segurança, assim como o uso de hardware wallets. O recurso de alertas de segurança “Blockaid” da MetaMask, que avisa antes de transações suspeitas, é uma linha de defesa muitas vezes subestimada.

Segunda camada: classificação de risco dos ativos e isolamento de carteiras. Essa é uma das estratégias mais eficazes contra invasões. Recomenda-se adotar um modelo de “carteiras frias, quentes e mornas”:

• Carteira fria (longo prazo): usar hardware wallets (Ledger, Trezor) para guardar ativos de valor e posições de longo prazo.
• Carteira morna (uso diário): manter uma quantidade pequena de ativos em carteiras de software (como MetaMask) para transações, staking, etc.
• Carteira quente (interação experimental): criar uma carteira “queimável” para interagir com protocolos DeFi ou NFTs não auditados.

Esse método aumenta a complexidade de gerenciamento, mas a fricção é a essência da segurança. Uma única carteira de software que seja comprometida pode causar perdas de centenas ou milhares de dólares, enquanto uma estratégia de isolamento limita o impacto ao “carteira queimável”.

Terceira camada: educação contínua e mentalidade de segurança. Muitas vezes, as vulnerabilidades de segurança são atribuídas à falta de educação do usuário. No entanto, dados da Chainalysis indicam que, em 2025, ocorreram cerca de 158 mil casos de roubo de carteiras pessoais, afetando pelo menos 80 mil pessoas. Isso mostra que a velocidade de evolução dos atacantes supera a do aprendizado dos usuários. Portanto, é necessário internalizar uma postura de “desconfiança contínua”: desconfie de qualquer informação não solicitada de provedores, considere todas as autorizações de contrato como potencialmente perigosas — a menos que você compreenda e confie totalmente — e lembre-se de que a conveniência das criptomoedas é um vetor de ataque inevitável.

O ataque revelado por ZachXBT eventualmente será neutralizado por marcações de endereços e pelo congelamento de fundos por exchanges principais, mas amanhã outro atacante surgirá com uma versão ligeiramente modificada do template e um novo endereço de contrato. Nesse ciclo incessante de ofensiva e defesa, a verdadeira escolha do usuário não é entre segurança e conveniência, mas entre “agir agora, mesmo com algum incômodo” para proteger seus ativos, ou sofrer perdas devastadoras no futuro. Construir e praticar sua defesa profunda é optar pelo primeiro caminho, mantendo o controle total do seu patrimônio.