Back to Blog

Protegendo Seus Ativos: Como se Defender Contra Golpes de Phishing na Web3

MetaSleuth
December 14, 2023
5 min read

O que é Phishing na Web3?

À medida que os usuários realizam negociações de tokens por meio de transações em blockchain, um novo tipo de golpe de phishing surgiu. Ao contrário dos golpes de phishing convencionais, que se concentram em obter informações pessoais ou financeiras das vítimas, este método específico de phishing tem como objetivo roubar os ativos dos usuários explorando transações. Em essência, os golpistas enganam as vítimas para que assinem transações ou mensagens que lhes permitem retirar os tokens das vítimas. Nas próximas seções, exploraremos diversos golpes de phishing prevalentes na Web3 e adquiriremos estratégias práticas para proteger seus ativos contra eles.

Tipos Prevalentes de Golpes de Phishing na Web3

1. Transferência Direta de Tokens

Este golpe manipula os usuários para que transfiram diretamente seus ativos para endereços maliciosos. O sucesso desses golpes frequentemente depende de sofisticadas técnicas de engenharia social. Uma variante comum envolve enganar os usuários para que assinem uma transação sob o pretexto de uma "atualização de segurança" ou uma "reivindicação", o que resulta, em última análise, no roubo de seus ativos. Este tipo de golpe é tipicamente executado por meio da utilização de um Golpe de Interface Falsa.

2. Aprovação de Token / Permissão

Os métodos de Aprovação e Permissão permitem que outra pessoa, conhecida como gastador, utilize seus tokens em seu nome. É uma prática comum os usuários concederem aprovações de tokens a DApps para facilitar atividades de negociação. No entanto, conceder aprovações a atores maliciosos, como um endereço de phishing, pode levar a perdas financeiras. Se a vítima não perceber e revogar a aprovação, um ataque de phishing pode persistir por um longo período de tempo.

Exemplo de transação de ataque

3. Exemplo de transação de ataque

Os golpes de transferência de valor zero, também conhecidos como "envenenamento", ocorrem quando phishers manipulam transferências de valor zero do endereço de uma vítima para um endereço de phishing que se assemelha aos endereços legítimos com os quais a vítima interagiu anteriormente. Essa tática enganosa visa induzir as vítimas a transferirem fundos erroneamente para esses endereços de phishing, resultando em uma perda significativa de ativos.

Exemplo de endereço da vítima

4. Golpe de Token de Gas

Na Binance Smart Chain (BSC), certos phishers empregam golpes de airdrop, nos quais distribuem tokens fraudulentos às vítimas e as convencem a aprovar ou transferir esses tokens. Lamentavelmente, as vítimas incorrem inadvertidamente em taxas substanciais ao interagir com esses tokens fraudulentos. Essas taxas são utilizadas para mintar tokens de gas para o endereço do golpista, que são posteriormente trocados por lucro.

Exemplo de transação de phishing

5. Golpe de Mercado de NFT

Os NFTs são uma forma única de ativos virtuais. Os preços dos NFTs de uma mesma coleção apresentam variação significativa, tornando as transações automatizadas por meio de exchanges descentralizadas (Dex) impraticáveis. Como resultado, o mercado de NFTs surgiu, fornecendo uma plataforma para os usuários fazerem pedidos e realizarem compras de forma mais facilitada. No entanto, os golpistas exploram esses mercados criando ordens maliciosas e roubando os NFTs das vítimas.

Exemplo de transação de phishing

6. Golpe de Interface Falsa

Os usuários interagem com contratos on-chain, como DApps, por meio de chamadas de interface de contrato. Para melhorar a compreensão do usuário, essas interfaces são tipicamente apresentadas na forma de nomes de métodos. No entanto, é importante notar que os nomes dos métodos podem nem sempre representar com precisão a implementação específica do método. Por exemplo, um método chamado "SecurityUpdate" pode não envolver necessariamente uma atualização de segurança, mas poderia, em vez disso, envolver a transferência dos ativos do chamador.

Exemplo de transação de phishing

Como se Proteger do Phishing na Web3

  • Evite visitar sites suspeitos de fontes não confiáveis e seja extremamente cuidadoso com aqueles que exigem uma carteira conectada. Muitas carteiras e extensões de explorer podem alertá-lo sobre sites de phishing. Ferramentas como o MetaMask podem ajudar.

  • Verifique novamente os endereços com os quais você interage, incluindo EOAs e contratos. Não presuma que estão corretos apenas porque os primeiros e últimos caracteres do endereço são familiares. Para endereços com os quais você interage pela primeira vez, use ferramentas para verificar seus riscos, como o scanner de risco da AvengerDAO e o MetaDock.

  • Verifique e revogue regularmente as permissões de tokens. Muitas ferramentas podem ajudá-lo com isso. Por exemplo, o MetaDock é uma extensão de navegador que ajuda os usuários a identificar aprovações arriscadas, melhorando o recurso de gerenciamento de aprovações de tokens dos exploradores de blockchain.

  • Use múltiplas carteiras e mantenha seus ativos distribuídos. Armazene apenas os ativos necessários em carteiras quentes para uso diário. Mantenha a grande maioria dos ativos em carteiras frias mais seguras, como carteiras de hardware.

Sobre o MetaSleuth

O MetaSleuth é uma plataforma abrangente desenvolvida pela BlockSec para auxiliar os usuários a rastrear e investigar efetivamente todas as atividades cripto. Com o MetaSleuth, os usuários podem facilmente rastrear fundos, visualizar fluxos de fundos, monitorar movimentações de fundos em tempo real, salvar informações importantes e colaborar compartilhando suas descobertas com outras pessoas. Atualmente, suportamos 13 blockchains diferentes, incluindo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) e mais.

Website: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation