A empresa de segurança cibernética Malwarebytes Labs emitiu um alerta de emergência na terça-feira, avisando que um site falso com o domínio “pudgypengu-gamegifts[.]live” está a imitar o jogo de navegador Pudgy World, lançado recentemente em 10 de março, na tentativa de roubar senhas de carteiras de criptomoedas.
Técnicas sofisticadas de phishing: reprodução de 11 interfaces de carteiras
O engenheiro sênior de malware da Malwarebytes, Stefan Dasic, detalhou na sua análise a lógica por trás do ataque. Algumas funcionalidades do Pudgy World (como verificar a propriedade de NFTs ou desbloquear conteúdos do jogo) requerem que os jogadores conectem suas carteiras de criptomoedas, e os atacantes estão a explorar essa etapa legítima para enganar:
“Os sites de phishing aproveitam-se desse fluxo de operação. Quando um visitante escolhe sua carteira no site falso, a página exibe uma tela que parece ser a interface de desbloqueio da própria carteira. Para o usuário, parece completamente uma cópia confiável do software de carteira real com o qual já está familiarizado e confia.”
Dasic também destacou que o ataque é tecnicamente impressionante — os atacantes criaram interfaces falsas para 11 diferentes carteiras, quase sem deixar pontos cegos. Independentemente de o usuário possuir Ethereum, Solana ou ativos multi-chain, ele pode receber uma interface de desbloqueio de carteira altamente realista e falsa. Ele acredita que criar 11 interfaces de carteira falsas “não é uma tarefa fácil”, indicando que por trás pode haver um “atacante com recursos consideráveis” ou o uso de ferramentas comerciais de phishing específicas para esse tipo de ataque.
Contexto da marca Pudgy World e riscos de segurança cruzados
Pudgy World é um jogo de navegador gratuito baseado na marca Pudgy Penguins NFT, onde os jogadores podem explorar um mundo virtual, personalizar seus pinguins e completar missões. Desde a aquisição pelo CEO Luca Netz em 2022, a marca Pudgy Penguins expandiu-se de uma coleção de NFTs para uma marca de consumo que inclui produtos de varejo, jogos mobile e jogos web.
No entanto, os Pudgy Penguins já haviam sido alvo de ataques semelhantes anteriormente. Em dezembro de 2024, a empresa de segurança blockchain Scam Sniffer alertou que atacantes usaram anúncios maliciosos no Google para se passar pela plataforma Pudgy Penguins, enganando usuários a conectar suas carteiras. Pesquisadores apontaram que esse tipo de ataque costuma ocorrer em momentos de grande destaque de projetos NFT populares, aproveitando o fluxo de novos usuários para maximizar o impacto.
Recomendações de proteção: como evitar ser vítima
A Malwarebytes recomenda as seguintes medidas de proteção específicas para usuários do Pudgy World:
- Acesse o site oficial apenas por meio de favoritos: evite usar links de motores de busca ou redes sociais para entrar no jogo.
- Fique atento ao local de exibição de solicitações de senha da carteira: solicitações legítimas de senha nunca aparecem no conteúdo da página; se a página pedir que insira a senha no navegador, pare imediatamente.
- Não clique em links de mensagens privadas ou redes sociais: os links oficiais de projetos de criptomoedas devem ser obtidos diretamente do Twitter/X oficial ou do Discord, em mensagens fixadas.
- Resposta rápida se inserir credenciais em sites suspeitos: se você inseriu sua senha de carteira em um site suspeito, altere-a imediatamente. Se suspeitar que sua carteira foi comprometida, considere transferir seus ativos para um endereço novo e seguro.
Perguntas frequentes
Como posso confirmar que estou acessando o Pudgy World legítimo e não um site falso?
Verifique se o domínio corresponde exatamente ao do site oficial do Pudgy Penguins (atenção a caracteres extras ou hífens); obtenha o link diretamente do Twitter/X oficial ou do Discord; e utilize favoritos para acessar o endereço oficial, evitando procurar pelo site em motores de busca toda vez.
Por que os atacantes agem logo após o lançamento de um novo jogo?
Segundo Stefan Dasic, o momento do ataque é deliberado — durante o lançamento, há um grande fluxo de novos usuários que estão começando a usar carteiras de criptomoedas, muitas vezes sem familiaridade com os procedimentos de conexão, o que facilita o sucesso do golpe. Além disso, o aumento de buscas pelo novo jogo faz com que sites falsos apareçam mais facilmente nos resultados de pesquisa.
Dados do FBI mostram que em 2024 o prejuízo com fraudes de phishing ultrapassou 70 milhões de dólares. Quais riscos os usuários de criptomoedas enfrentam?
De acordo com o Centro de Denúncias de Crimes na Internet do FBI (IC3), em 2024 foram registradas 193.407 denúncias de phishing e fraudes, com perdas superiores a 70 milhões de dólares, sem contar muitos casos não reportados. Usuários de criptomoedas enfrentam riscos ainda maiores devido ao anonimato e à irreversibilidade das transações — uma vez que os ativos são transferidos para endereços controlados pelos atacantes, é quase impossível recuperá-los.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
O golpe mais absurdo no mundo cripto? Hackers cunham 1 bilhão de USD em DOT, mas só conseguem roubar 230.000 USD
Hackers exploraram uma vulnerabilidade da ponte cross-chain Hyperbridge para cunhar 1 bilhão de tokens Polkadot (DOT), com valor nominal acima de US$ 1,19 bilhão, mas, devido à falta de liquidez, no fim conseguiram sacar apenas cerca de US$ 237 mil. O ataque ocorreu porque os contratos inteligentes não validaram corretamente as mensagens, permitindo que os hackers roubassem a autoridade de gerenciamento e cunhassem moedas. O incidente destaca o papel crucial da liquidez do mercado no sucesso de arbitragens.
CryptoCity3h atrás
Aplicativo Falso do Ledger Live Rouba US$ 9,5M de Mais de 50 Usuários em Múltiplas Blockchains
Um aplicativo fraudulento do Ledger Live na App Store da Apple roubou US$ 9,5 milhões de mais de 50 usuários ao comprometer as informações da carteira. O incidente, envolvendo perdas significativas para grandes investidores, levanta preocupações sobre a segurança da App Store, levando a discussões sobre uma possível ação judicial contra a Apple.
GateNews4h atrás
Criticaram o congelamento do USDC por ser lento demais! CEO da Circle: é preciso esperar, com certeza, a ordem do tribunal para congelar; recusa-se a congelar por conta própria
A diretoria executiva da Circle, Jeremy Allaire, afirmou que, a menos que receba uma ordem judicial ou uma exigência de aplicação da lei, a empresa não irá, de iniciativa própria, congelar endereços de carteira. Mesmo diante de controvérsias sobre lavagem de dinheiro por parte de hackers e de críticas da comunidade, a Circle continua insistindo em operar seguindo os princípios do Estado de direito.
Jeremy Allaire estabelece o limite de aplicação da lei da Circle
-----------------------------
Enquanto o mercado global de criptomoedas passa por uma fase de grande agitação, o CEO da empresa emissora de stablecoins Circle, Jeremy Allaire, em uma coletiva de imprensa em Seul, na Coreia do Sul, apresentou uma posição clara sobre o tema mais sensível para o mercado: “congelamento de ativos”. Ele apontou que, embora a Circle tenha meios técnicos para congelar endereços específicos de carteiras, a menos que receba uma ordem judicial ou uma instrução formal das autoridades de aplicação da lei, a empresa não
CryptoCity6h atrás
Atacante explorando vulnerabilidade do Polkadot via ponte transfere $269K para o Tornado Cash
Em 15 de abril, a Arkham informou que o atacante que explorou uma vulnerabilidade do Bridged Polkadot transferiu cerca de US$ 269.000 em fundos roubados para a Tornado Cash, complicando o rastreamento de ativos.
GateNews7h atrás
Desenvolvedores do Bitcoin Propõem o BIP 361 para Se Proteger Contra Ameaças da Computação Quântica
Os desenvolvedores do Bitcoin propuseram o BIP 361 para proteger a rede contra riscos de computadores quânticos, congelando endereços vulneráveis. A proposta inclui um plano em fases para fazer a transição dos usuários para carteiras resistentes a ataques quânticos, mas ela gerou debate sobre controle do usuário e segurança.
GateNews7h atrás
Hackers exploram plugin do Obsidian para espalhar o Trojan PHANTOMPULSE com C2 baseado em blockchain
Os Laboratórios de Segurança do Elastic revelaram que agentes de ameaças se passaram por empresas de capital de risco no LinkedIn e no Telegram para implantar um RAT do Windows chamado PHANTOMPULSE, usando cofres de anotações do Obsidian para os ataques, o que o Elastic Defend conseguiu bloquear com sucesso.
GateNews8h atrás
