Perdas por phishing em redes de criptomoedas caíram 83%! Novos métodos de ataque do EIP-7702 ainda estão ativos

2025 年 criptomoedas perdas por phishing na rede caíram para 8,385 milhões de dólares, uma queda de 83%, com vítimas reduzidas para 10.6 mil pessoas. Scam Sniffer alerta que o ecossistema ainda está ativo, com atacantes a recorrer a estratégias de alta frequência e baixo valor, com perdas médias de apenas 790 dólares. Um novo ataque EIP-7702 conseguiu enganar por 2,54 milhões de dólares numa só operação.

Terceiro trimestre do mercado em alta torna-se zona de desastre por phishing na rede

A diminuição das perdas não indica uma redução na atividade de ataques, mas está estreitamente relacionada com o ciclo de mercado. A plataforma de segurança Web3 Scam Sniffer analisou as descobertas de phishing na cadeia Ethereum Virtual Machine (EVM) com base em características, constatando que as perdas aumentam durante períodos de atividade intensa na cadeia, e diminuem quando o mercado esfria. O terceiro trimestre de 2025 coincidiu com a maior alta do Ethereum (ETH) no ano, com perdas por phishing na rede de até 31 milhões de dólares, sendo que de agosto a setembro essas perdas representaram quase 29% do total anual.

O relatório aponta: “Quando o mercado está ativo, o volume geral de atividade dos usuários aumenta, e a proporção de usuários vítimas também sobe — a probabilidade de phishing ocorrer é positivamente correlacionada com o volume de atividade dos usuários.” As perdas mensais variaram de 2,04 milhões de dólares em dezembro, o mês mais calmo, a 12,17 milhões de dólares em agosto, o mês mais ativo, uma variação de seis vezes. Essa correlação revela o timing preciso dos atacantes, que aproveitam o momento de maior atividade e distração dos usuários para atacar.

Uma razão mais profunda é a mudança de comportamento dos usuários durante o mercado em alta. Quando os preços das criptomoedas sobem, o sentimento de FOMO (medo de perder) leva os usuários a negociações frequentes de novos tokens, participações em airdrops e mineração de liquidez, atividades que exigem assinaturas de autorização frequentes, criando mais oportunidades para phishing. Os atacantes exploram a queda de julgamento dos usuários em estado de excitação, através de sites falsificados de projetos populares, canais oficiais do Discord falsificados, entre outros métodos de engano.

O pico do terceiro trimestre também está relacionado à atualização Pectra do Ethereum. O lançamento de novas funcionalidades do protocolo costuma vir acompanhado de insuficiente educação dos usuários, e os atacantes rapidamente aproveitam essa janela para desenvolver novos métodos de ataque. Este padrão de “inovação técnica trazendo janelas de segurança” já se repetiu na história das criptomoedas, desde o verão DeFi até o boom de NFTs, com cada avanço técnico trazendo também o surgimento de novas fraudes.

EIP-7702 abre a caixa de Pandora

2025 marca o surgimento de novas formas de ataque. Assinaturas maliciosas baseadas em EIP-7702 apareceram logo após a atualização do Ethereum Pectra, com atacantes usando o mecanismo de abstração de contas para agrupar várias operações maliciosas numa única assinatura de usuário. Em agosto, dois incidentes importantes de ataque EIP-7702 causaram perdas de 2,54 milhões de dólares, evidenciando a rapidez com que os atacantes se adaptam às mudanças na camada de protocolo.

O EIP-7702 foi originalmente projetado para melhorar a experiência do usuário, permitindo que contas externas (EOA) temporariamente se transformem em contas inteligentes, possibilitando transações em lote e recuperação social. Contudo, essa flexibilidade foi weaponizada por atacantes. Eles falsificam solicitações de autorização aparentemente legítimas, escondendo múltiplas operações maliciosas numa única assinatura, como transferências de tokens, alterações de permissões de contas e configurações de proxies maliciosos.

Mais perigoso ainda, os ataques EIP-7702 são altamente discretos. Phishing tradicional geralmente envolve autorizações de tokens claras, que usuários experientes podem identificar como anormais. Mas ataques EIP-7702 podem se disfarçar de atualizações legítimas de contas ou autorizações de transações em lote, enganando até usuários técnicos. As interfaces de carteiras muitas vezes não exibem claramente essas operações complexas, dificultando a compreensão do significado real da assinatura.

Embora as perdas de 2,54 milhões de dólares não sejam enormes, isso é apenas uma fase inicial de testes dessa nova técnica. Pesquisadores do Scam Sniffer alertam que, à medida que mais carteiras e DApps integrarem funcionalidades EIP-7702, a escala e a frequência desses ataques podem aumentar significativamente. Os atacantes estão aprendendo e otimizando essa abordagem, e variantes mais sofisticadas podem surgir no futuro.

De caçadores solitários a estratégias de pesca em rede

A mudança de estratégia nos ataques de phishing na rede de criptomoedas tem uma lógica econômica profunda. Grandes ataques, embora com altos lucros por operação, apresentam riscos elevados. As vítimas tendem a denunciar às autoridades, contratar empresas de análise on-chain para rastrear fundos, expondo os atacantes a maior risco legal e de exposição. Por outro lado, ataques de baixo valor e alta frequência geram lucros menores por operação, mas as vítimas muitas vezes aceitam a perda como azar, e as autoridades têm recursos limitados para investigar cada pequeno incidente.

Mais importante, os ataques de baixo valor são mais escaláveis. Os atacantes podem usar ferramentas de automação para operar centenas de sites de phishing simultaneamente, gerar e-mails e mensagens de redes sociais convincentes com IA, processar vítimas em massa. Esse modo de “fraude industrializada” reduz o custo de cada ataque individual e aumenta a eficiência geral. O relatório conclui: “O ecossistema de drenagem ainda está ativo — à medida que os antigos drenadores saem, novos surgirão para preencher o vazio.”

Três grandes mudanças nos padrões de ataques de phishing em 2025

Redução drástica no número de grandes casos: em 2025, apenas 11 incidentes tiveram perdas superiores a 1 milhão de dólares, contra 30 em 2024. O maior ataque de phishing individual ocorreu em setembro, com 6,5 milhões de dólares, envolvendo assinatura maliciosa Permit.

Queda acentuada na perda média por vítima: a perda média por vítima caiu para 790 dólares, uma redução significativa em relação ao ano anterior. Isso indica que os atacantes migraram de uma caça de “grandes alvos” para uma estratégia de ataque em massa a pequenos investidores.

Permissões Permit continuam sendo a principal tática: em incidentes com perdas superiores a 1 milhão de dólares, ataques baseados em permissões Permit e Permit2 representaram 38% do total, demonstrando que essa técnica ainda é eficaz e amplamente utilizada.

Toxificação de endereços e vulnerabilidades em múltiplas assinaturas tornam-se novos focos

Em dezembro de 2025, perdas relacionadas a ataques de hackers e vulnerabilidades de segurança na criptomoeda caíram para cerca de 76 milhões de dólares, uma redução de 60% em relação aos 194 milhões de dólares de novembro. A PeckShield registrou 26 incidentes importantes nesse mês, indicando que, embora os ataques continuem, as perdas totais estão desacelerando.

O maior incidente envolveu um golpe de toxificação de endereço de 50 milhões de dólares, com atacantes usando endereços semelhantes para enganar vítimas a transferir fundos para contas diferentes. Esses ataques exploram a limitação da visão humana, pois a maioria dos endereços mostra apenas os primeiros e últimos caracteres, com o meio omitido. Os atacantes geram endereços semelhantes aos do alvo, enviando pequenas quantidades de tokens para criar registros de transações, levando as vítimas a copiar o endereço errado ao tentar transferir fundos.

Outro incidente envolveu a exposição de chaves privadas de carteiras multiassinatura, resultando em perdas de 27,3 milhões de dólares. Carteiras multiassinatura teoricamente são mais seguras, exigindo múltiplas assinaturas para aprovar transações. Mas, se as chaves forem mal geridas — armazenadas na nuvem, compartilhadas por canais inseguros ou vazadas por insiders — a proteção se torna inútil. Este caso reforça que a segurança técnica depende, no final, da operação humana.

Embora as perdas por phishing tenham caído 83%, isso não indica o fim da guerra. A conclusão do Scam Sniffer é clara: o ecossistema ainda está ativo, e os atacantes apenas mudaram de tática. Com a próxima alta do mercado, as perdas podem subir novamente.