Back to Blog

Como Evitar Ser uma Vítima de Phishing na Web3

MetaSleuth
April 26, 2024
4 min read

Observamos uma tendência crescente de ataques de phishing que causaram centenas de milhões em perdas. Portanto, além da perspectiva técnica, devemos informar os usuários sobre os métodos comuns de phishing e educar sobre como evitar um ataque de phishing.

Tipos de Ataques de Phishing

Encontramos quatro tipos comuns de ataques de phishing.

  • Transferência direta de tokens: O atacante atrai usuários para transferir diretamente o token nativo (Ether) ou tokens ERC20/ERC711 para contas controladas pelo atacante.

  • Phishing de aprovação: Aprovação é um mecanismo que delega os tokens de um usuário a um gastador mediante a assinatura de uma transação de aprovação. O atacante pode atrair usuários para assinar uma transação que aprova seus tokens ao atacante e, em seguida, o atacante pode transferir o token da vítima.

  • Envenenamento de endereço: Como ataques de token falso, ataques de valor zero e ataques de transferência de dust.

  • Phishing de Zerobuy de NFT: O atacante atrai usuários para assinar uma transação para vender seu NFT a um preço baixo ou até mesmo de graça.

  • Outros.

Transferência Direta de Tokens

O primeiro tipo é chamado de transferência direta de tokens. Os atacantes pedem aos usuários que assinem uma transação para transferir seu Ether diretamente para a conta controlada pelo atacante. Uma variante avançada utiliza um contrato inteligente malicioso com uma função chamada SecurityUpdate ou ClaimRewards para fazer os usuários assinarem a transação.

A figura anterior (a da direita) mostra um exemplo de uma transação de phishing com a função SecurityUpdate no contrato inteligente. Se os usuários assinarem esta transação, seu Ether será transferido para este contrato inteligente e, em seguida, para o atacante.

Phishing de Aprovação

Aprovação é um mecanismo que permite aos usuários deixar outros usuários (gastadores) gastarem seus tokens. Por exemplo, um usuário pode aprovar seu USDC a um contrato inteligente para que o contrato inteligente possa operar no token USDC em nome do usuário, por exemplo, trocando o USDC por outros tokens. Como o usuário aprovou seus tokens ao contrato inteligente, a operação no token USDC do usuário pelo contrato inteligente não precisa de outra confirmação (ou uma nova mensagem assinada) do usuário. Isso pode tornar todo o fluxo mais fluido.

No entanto, os atacantes abusaram desse mecanismo. Eles podem atrair usuários para assinar uma transação que aprova seu USDC (ou outros tokens valiosos) ao contrato controlado pelo atacante ou endereço EOA. Depois disso, o atacante pode transferir os tokens do usuário para o atacante.

A figura anterior mostra uma transação que aprova o USDT ao atacante. Observe que a permissão de aprovação não expira até que o usuário a revogue explicitamente. Portanto, revogue a aprovação maliciosa o mais rápido possível.

Também observamos um novo tipo de ataque de phishing que aproveita o contrato legítimo, que chamamos de ROP no ataque de phishing Web3. Veja nosso blog para mais informações.

Envenenamento de Endereço

Neste vídeo, mostraremos como o envenenamento de endereço acontece, incluindo ataques de token falso, ataques de valor zero e ataques de transferência de dust, e como identificar transações suspeitas no Etherscan.

Transferência de valor zero: O atacante cria um registro de transferência de valor zero de tokens populares (USDC, por exemplo) da vítima para um endereço de phishing. Esse endereço de phishing é semelhante ao endereço no histórico de transações da vítima. Quando a vítima copia diretamente o endereço para a próxima transferência, ela pode copiar o endereço de phishing do histórico de transações. Leia mais em nosso Twitter, investigação da Coinbase 1 2 3, e mais.

Phishing de Zerobuy de NFT

Ao vender um NFT em mercados de NFT, por exemplo, OpenSea, o usuário primeiro assina uma transação declarando a intenção de vender seu NFT a um preço. Em seguida, aqueles que desejam comprar esse NFT podem pegar a mensagem de ordem assinada para preencher a ordem.

Isso dá ao golpista a oportunidade de atrair usuários para assinar uma transação para vender seus NFTs a um preço particularmente baixo (ou até mesmo de graça). O atacante pode então pegar essa transação e preencher essa ordem no mercado de NFT para obter o NFT da vítima a um preço baixo (ou de graça).

Esse phishing é prevalente, pois o usuário precisa de ajuda para entender o significado ao assinar uma ordem.

A figura anterior mostra a interface do MetaMask ao assinar uma ordem para o OpenSea. Infelizmente, essas informações são difíceis de entender para os usuários.

Como Nos Proteger

  • Primeiro, apenas assine uma transação que você entenda! Se tiver alguma dúvida sobre a transação, não a assine.
  • Segundo, utilize múltiplas carteiras para realizar as transações. Use um endereço de carteira para transações diárias, mas com uma pequena quantidade de tokens. Coloque a maioria dos tokens em um endereço de carteira separado que não assine transações, exceto para transferir tokens para a primeira carteira.
  • Terceiro, verifique suas aprovações e remova as desnecessárias. Você pode utilizar o Diagnóstico de Aprovação do MetaSuites para essa finalidade.
Sign up for the latest updates
Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Rede do Cartel de Sinaloa sancionada pelo OFAC por lavagem de recursos do fentanil. Rastreamos os seis endereços sancionados com MetaSleuth; o dinheiro flui quase inteiramente por depósitos em exchanges centralizadas.

Ferramentas de Conformidade em Cripto: Um Guia Prático para Integração de Web3 e TradFi

Ferramentas de Conformidade em Cripto: Um Guia Prático para Integração de Web3 e TradFi

Reguladores aplicaram US$ 4,2 bilhões em multas só em 2024. Para equipes Web3 e TradFi, escolher a solução de conformidade certa não é mais opcional.

Relatório FATF sobre Stablecoins: Uma Mudança para a Conformidade no Mercado Secundário
Knowledge

Relatório FATF sobre Stablecoins: Uma Mudança para a Conformidade no Mercado Secundário

BlockSec analisa o relatório do GAFI de março de 2026 sobre stablecoins e carteiras não custodiadas, explica a supervisão de P2P, resume recomendações e alertas, e mostra como monitoramento on-chain e rastreamento cross-chain fortalecem a conformidade.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation