Revelada nova fraude de phishing do MetaMask: falso 2FA induz a inserir a frase de recuperação, estas vulnerabilidades podem salvar você

2026-01-05 09:40:29

Recentemente, os utilizadores do MetaMask estão a enfrentar um novo tipo de phishing altamente disfarçado. De acordo com as últimas notícias, a empresa de segurança blockchain SlowMist alertou que os atacantes estão a explorar o pretexto de “ativar a autenticação de dois fatores (2FA)” para induzir os utilizadores a divulgarem voluntariamente a frase-semente da carteira. Este tipo de fraude já causou perdas reais, incluindo o roubo de várias centenas de carteiras EVM e mais de 10 mil dólares em fundos furtados. A questão-chave é: quão parecidas parecem estas fraudes com as reais, e consegue identificá-las?

Métodos de Fraude: Passo a Passo para a Armadilha

Processo completo de fraude

O esquema dos atacantes divide-se em quatro passos:

Primeiro passo: Envio de email falso. A vítima recebe um email que parece ser do próprio MetaMask, contendo logotipo de marca e dicas de segurança, alegando que é necessário ativar imediatamente a autenticação de dois fatores para “proteger os ativos”.
Segundo passo: Criação de senso de urgência. O email inclui um temporizador de contagem decrescente, induzindo o utilizador a clicar rapidamente no botão “Ativar agora” sob pressão.
Terceiro passo: Redirecionamento para uma página falsa. Ao clicar no link, o utilizador é levado a uma página de simulação criada pelos atacantes, com aparência quase idêntica à original.
Quarto passo: Engano para inserir a frase-semente. A página falsa solicita que o utilizador complete o suposto processo de verificação 2FA, com o único objetivo de roubar a frase-semente.

Porque a divulgação da frase-semente é a maior ameaça

É importante esclarecer: a frase-semente equivale ao nível máximo de acesso à carteira. Uma vez divulgada, o atacante pode transferir os ativos em pouco tempo, sendo quase impossível recuperá-los. Não se trata de uma conta congelada, mas de uma perda total do controlo sobre a carteira.

Como Identificar as Fraudes

Embora estes emails de phishing sejam disfarçados com grande engenho, não são perfeitos. Segundo análises de especialistas em segurança, existem pequenas, mas cruciais, anomalias nos sites e emails fraudulentos:

Ponto de Identificação	Comportamento Específico	Explicação
Ortografia do domínio	Nesta fraude, usam “mertamask” em vez de “metamask”	Verifique cuidadosamente o URL; o domínio oficial nunca terá erros de ortografia
Email do remetente	De contas não relacionadas ou domínios públicos como Gmail	Emails oficiais do MetaMask vêm de domínios oficiais
Detalhes de design	Erros de ortografia, design inconsistente	Produtos oficiais apresentam detalhes mais rigorosos
Pedido de informações	Solicitação de frase-semente ou verificação de conta	Os canais oficiais nunca solicitam esses dados proativamente

Princípios de Defesa Mais Importantes

Posicionamento oficial do MetaMask

É fundamental reforçar: o MetaMask nunca solicitará por email que os utilizadores verifiquem a conta, ativem funcionalidades de segurança ou divulguem a frase-semente. Qualquer pedido desse tipo é quase certamente uma fraude.

O que os utilizadores devem fazer

Nunca divulgue a frase-semente a qualquer site ou email, por mais convincente que pareça
Sempre obtenha atualizações e informações de segurança através dos canais oficiais
Mantenha-se atento a emails desconhecidos, especialmente aqueles que envolvem verificações de segurança
Verifique regularmente as autorizações da carteira, usando ferramentas como Rabby para auditar permissões de risco
Para valores elevados, considere transferir para uma carteira de hardware (como Ledger, Trezor)

Contexto mais amplo: Fraudes de phishing em evolução

Este não é um evento isolado. Recentemente, utilizadores de criptomoedas têm sido alvo de múltiplos ataques de phishing e malware, incluindo atualizações falsas do aplicativo MetaMask, extensões de navegador Trust Wallet com código malicioso, e propagação de uma aplicação falsa Eternl Desktop direcionada a utilizadores de Cardano. Estes ataques abrangem várias redes compatíveis com EVM, atingindo um grande número de vítimas.

Curiosamente, dados recentes indicam que, em 2025, as perdas totais por fraudes de phishing em criptomoedas diminuíram quase 88% em comparação com o ano anterior. Contudo, isso não significa que a ameaça desapareceu, mas sim que as técnicas de ataque estão a tornar-se mais sofisticadas e “confiáveis”. Em outras palavras, a taxa de sucesso pode estar a aumentar.

Resumo

Este incidente de phishing do MetaMask serve para nos lembrar de três pontos essenciais:

Primeiro, a frase-semente é o coração da sua carteira; uma vez divulgada, perde-se o controlo total. Nenhum motivo justifica correr esse risco.

Segundo, os canais oficiais nunca irão solicitar que você verifique a sua conta proativamente. Se receber um email semelhante, mantenha a calma, confirme no site oficial ou nas redes sociais, e não clique nos links do email.

Por último, a defesa deve ser multifacetada. Além de estar atento, utilize ferramentas profissionais (como Rabby Wallet, Revoke.cash, etc.) para auditar permissões regularmente, e para grandes ativos, utilize carteiras de hardware para isolamento. No mundo blockchain, manter uma postura de “paranoia de vítima” é, na verdade, uma estratégia racional.

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.