A pesquisa foi aceita na SIGMETRICS 2025, uma das principais conferências de ciência da computação, e disponibilizamos nosso conjunto de dados em código aberto em https://github.com/blocksecteam/phishing_contract_sigmetrics25.
Desde o surgimento das Finanças Descentralizadas (DeFi), o espaço blockchain atraiu investimentos significativos de capital e usuários. No entanto, esse crescimento foi acompanhado por um aumento nos ataques de phishing, ocasionando perdas substanciais para os usuários. Para evitar a detecção, os golpistas não dependem mais exclusivamente de Contas de Propriedade Externa (EOAs). Em vez disso, migraram para a implantação de contratos inteligentes. Neste artigo, apresentamos nossa pesquisa mais recente sobre contratos de phishing e demonstramos como nossa inteligência de phishing oportuna, abrangente e precisa ajuda projetos de criptomoedas a proteger os fundos dos usuários e manter a conformidade, fortalecendo a segurança geral do blockchain.
A Evolução do Phishing: Das EOAs aos Contratos Inteligentes Maliciosos
Tradicionalmente, os golpistas atraíam usuários para assinar transações que enviavam ETH ou tokens diretamente para suas EOAs. Mas essa tática tornou-se fácil de detectar: carteiras como MetaMask e Coinbase agora alertam os usuários contra o envio de fundos para EOAs maliciosas conhecidas. Essa maior conscientização impulsionou os atacantes a inovar, levando à proliferação de contratos de phishing.
Em resposta, os golpistas agora utilizam contratos de phishing para imitar o comportamento de projetos legítimos e ofuscar suas intenções. Em vez de transferir ativos diretamente para a EOA de um atacante, as vítimas são induzidas a assinar transações que interagem com contratos maliciosos, efetivamente cedendo o controle de seus tokens sem perceber. Esse novo vetor representa um desafio significativo para a segurança DeFi.
Esses contratos de phishing frequentemente contêm:
- Funções pagáveis enganosas: Nomeadas como
ClaimouSecurityUpdate, essas funções induzem os usuários a enviar ETH diretamente para o contrato do atacante. - Funções multicall: Projetadas para agrupar múltiplas transferências de tokens em uma única transação — ideais para drenar tokens ERC20 ou NFTs depois que um usuário concede aprovação sem perceber. Essa é uma tática comum em golpes de criptomoedas.
Pesquisa da BlockSec: Detectando e Analisando Contratos de Phishing
Este estudo foca em contratos de phishing na Ethereum. Para viabilizar a detecção em larga escala de contratos de phishing, desenvolvemos um sistema que extrai seletores de funções suspeitas do bytecode dos contratos, simula transações e analisa os resultados. Utilizando essa abordagem, identificamos 37.654 contratos de phishing implantados entre 29 de dezembro de 2022 e 1º de janeiro de 2025. Esse extenso conjunto de dados é fundamental para compreender o panorama das ameaças à segurança de contratos inteligentes.
O Impacto Financeiro: Distribuição das Perdas dos Usuários
Os contratos de phishing têm causado perdas substanciais aos usuários. De 29 de dezembro de 2022 a 8 de janeiro de 2025, identificamos 211.319 transações de phishing afetando 171.984 vítimas, com perdas totais de US$ 190,7 milhões. Notavelmente, 89,9% das vítimas perderam menos de US$ 1.000. Muitos usuários caíram em esquemas de phishing várias vezes, frequentemente devido a aprovações de tokens não revogadas ou à assinatura repetida de transações maliciosas. Entre eles, usuários menos experientes em Web3 são especialmente vulneráveis a esses golpes de criptomoedas.
Compreendendo os Atacantes: Distribuição de Contratos de Phishing e Implantadores
A maioria dos contratos de phishing (86,5%) possui tanto funções pagáveis "vazias" quanto funções multicall para atingir diversos tipos de tokens. 70,9% deles geraram menos de US$ 1.000, e 96,2% permaneceram ativos por menos de um dia. Os golpistas implantam novos contratos rapidamente para contornar os mecanismos de rotulagem de contas, destacando a necessidade de inteligência de ameaças em tempo real.
Nossa pesquisa revelou ainda informações críticas sobre os próprios atacantes. Nove contas implantam 91,1% de todos os contratos de phishing. Os golpistas frequentemente utilizam tokens roubados das vítimas para financiar a implantação de novos contratos de phishing. Notavelmente, oito desses nove principais implantadores apresentam conexões de fluxo de fundos, sugerindo que operam como um grupo de phishing coordenado. Juntos, eles implantaram 85,7% de todos os contratos de phishing, indicando uma organização criminosa altamente estruturada por trás de muitos desses incidentes de segurança em blockchain.
Estratégias de Mitigação: Defendendo-se Contra Contratos de Phishing
Nosso trabalho revela a prevalência generalizada de contratos de phishing na Ethereum e as perdas significativas que causaram aos usuários. Portanto, propomos estratégias práticas e eficazes para proteger os usuários dessas ameaças e aprimorar a segurança geral do blockchain.
O Que os Usuários Podem Fazer Para se Proteger
Do ponto de vista do usuário, a vigilância é fundamental para prevenir golpes de criptomoedas. Ao acessar uma aplicação descentralizada e solicitar serviços, os usuários devem inspecionar cuidadosamente o site, incluindo a URL, a página principal, sublinks, Twitter e links do Discord. Antes de assinar uma transação, os usuários devem revisar atentamente os detalhes da transação, incluindo a conta e os parâmetros da chamada de função. Além disso, podem verificar o rótulo do endereço no Etherscan para determinar se é uma conta oficial. Sempre desconfie de ofertas não solicitadas ou pedidos de aprovação.
O Que os Provedores de Serviços Podem Fazer: Aproveitando a Inteligência Avançada de Ameaças
Provedores de serviços — incluindo CEXs, DEXs, carteiras, plataformas PayFi, stablecoins e bridges — devem manter e atualizar ativamente listas de sites e contas de phishing para proteger os usuários de ameaças potenciais. Quando determinadas contas são identificadas como responsáveis pela implantação de contratos de phishing em suas plataformas, esses provedores devem restringir ou negar o acesso aos seus serviços. No entanto, o anonimato inerente dos blockchains e a complexidade das interações on-chain — especialmente em atividades cross-chain — representam desafios significativos para as instituições na realização de avaliações de risco eficazes e na garantia da segurança DeFi.
Para enfrentar esses desafios, a BlockSec integrou esses resultados de pesquisa ao Phalcon Compliance APP. Essa plataforma utiliza um banco de dados massivo e em tempo real com mais de 400 milhões de rótulos de endereços, rastreamento ilimitado de saltos de transações e um mecanismo de análise comportamental baseado em IA. Com essas capacidades, o APP permite que as instituições identifiquem rapidamente endereços de phishing e entidades suspeitas que interagem com eles, fornecendo análises forenses on-chain críticas.
Além dos endereços de phishing, o Phalcon Compliance APP também detecta outras entidades de risco, como atacantes, entidades sancionadas, mixers, lavadores de dinheiro e dark webs, bem como comportamentos suspeitos como transferências de alta frequência, transferências de grande valor e endereços de trânsito. Quando atividades ilegais são detectadas, o APP notifica prontamente as instituições por meio de sete canais diferentes, garantindo que possam responder imediatamente. Além disso, o APP oferece uma variedade de recursos, incluindo delegação de tarefas, adição de comentários, inclusão em listas negras e geração com um clique de Relatórios de Transações Suspeitas (STRs). Juntas, essas ferramentas fornecem uma solução abrangente para identificar e mitigar riscos, ao mesmo tempo em que simplificam os fluxos de trabalho de conformidade e fortalecem a segurança Web3.
