Nova técnica de phishing: permissões de transações maliciosas fazem os utilizadores perderem 23 mil dólares, o seu carteira também pode estar em risco

De acordo com as últimas notícias, um usuário foi vítima de um ataque de phishing ao assinar transações maliciosas de permit e increaseAllowance, tendo seus ativos aArbWETH e aEthLBTC no valor de 23 mil dólares roubados por um phisher. Isto não é um caso isolado. Desde 2026, casos semelhantes de fraudes na blockchain têm ocorrido com frequência, desde projetos falsos de MEME até contratos maliciosos, com técnicas de fraude que evoluem continuamente. Este incidente nos lembra que cada decisão antes de assinar uma transação pode determinar a segurança dos seus ativos.

Como funciona a técnica de phishing

Dados de monitoramento do GoPlus indicam que esta fraude envolveu duas operações maliciosas-chave:

Perigos de Permit e Increaseallowance

Estas duas funções parecem inofensivas, mas quando exploradas, têm um impacto enorme. permit permite que o usuário autorize e transfira fundos em uma única transação, enquanto increaseAllowance aumenta o limite de gastos de um endereço. Os phishers falsificam transações ou induzem os usuários a assinar interações com contratos aparentemente normais, na verdade autorizando-se a transferir os ativos do usuário livremente.

Principais riscos:

• O usuário pode não ver o conteúdo real da transação ao assinar
• A interface do contrato pode ser falsificada ou esconder informações essenciais
• Uma vez assinado, o phisher obtém permissão para transferir os ativos
• Ativos cross-chain como aArbWETH (ETH embrulhado na rede Arbitrum) e aEthLBTC, devido à menor liquidez, são mais vulneráveis a ataques

Por que esse tipo de fraude é mais fácil de ter sucesso

Os usuários geralmente caem nas armadilhas nas seguintes situações:

• Atraídos por projetos que prometem altos retornos, com pressa de participar
• Links de phishing disfarçados de canais oficiais ou projetos conhecidos
• Clicam em confirmar sem verificar cuidadosamente o conteúdo da assinatura
• Falta de compreensão sobre as permissões concedidas aos contratos

Padrões recentes de casos de fraude

O incidente recente envolvendo o grupo RUG, que controlava dezenas de MEME moedas, mostra que, no início de 2026, as fraudes já estavam formando uma rede sistemática de coleta de fundos. Desde mitos falsos de “fazer fortuna” até autorizações maliciosas de contratos, os fraudadores usam múltiplas estratégias simultaneamente. Isso significa que medidas de proteção únicas já não são suficientes.

Como se proteger

Lista de verificação antes de assinar uma transação

• Obtenha links de transação apenas de canais oficiais; não confie em links diretos de redes sociais
• Antes de assinar, utilize ferramentas de segurança na blockchain (como a função de detecção de risco do GoPlus) para verificar o endereço do contrato
• Entenda exatamente o que a transação faz; se não entender, não assine
• Mantenha-se atento a projetos desconhecidos; promessas de altos retornos geralmente vêm com altos riscos
• Verifique periodicamente os contratos autorizados e revogue permissões desnecessárias

Recomendações para alocação de ativos

• Não coloque grandes quantidades de ativos em endereços de interação frequente; diversifique usando várias carteiras para reduzir riscos
• Ativos cross-chain (como aArbWETH), devido à menor liquidez, apresentam riscos mais elevados e devem ser tratados com mais cautela
• Para fundos destinados a participar de novos projetos, defina um limite de perda que você possa suportar

Resumo

A perda de 23 mil dólares é um golpe significativo para um usuário, mas, do ponto de vista do mercado como um todo, é apenas a ponta do iceberg. A frequência e a complexidade das fraudes em 2026 estão aumentando. O mais importante é reconhecer que, no mundo da blockchain, cada assinatura é uma transferência de permissão, que deve ser tratada com o mesmo cuidado que uma chave privada. Não subestime a simplicidade de uma operação; a melhor proteção é sempre questionar antes de assinar: este negócio realmente precisa da minha assinatura?