Um comerciante de criptomoedas perdeu quase US$ 50 milhões em USDT após ser vítima de um golpe de envenenamento de endereço, uma técnica que explora o histórico de transações em vez de falhas de contratos inteligentes. As empresas de segurança Blockchain disseram que o incidente destaca como os hábitos rotineiros de carteira podem expor os usuários a perdas em grande escala.
Em uma postagem X, a empresa de análise on-chain Lookonchain relatou que a vítima transferiu 49.999.950 USDT para uma carteira controlada pelo invasor em 20 de dezembro. Os fundos tinham acabado de ser retirados da Binance e eram destinados ao endereço do próprio comerciante. Em vez disso, eles foram redirecionados para um endereço visualmente semelhante criado pelo invasor.
Esquema de envenenamento de endereço explora endereços falsificados
O incidente começou com uma transação de teste. O comerciante enviou uma transação de teste de 50 USDT para confirmar o endereço de destino. Pouco depois, um script automatizado gerou uma carteira falsificada projetada para se parecer com o endereço legítimo. Essa etapa marcou o início do golpe de envenenamento de endereço.
O endereço fraudulento compartilhava os mesmos caracteres de abertura e fechamento da carteira pretendida, com diferenças confinadas ao centro da string. Muitas interfaces de carteira encurtam esses caracteres intermediários, reduzindo a visibilidade durante verificações de rotina.
Ao explorar esse comportamento de exibição, o invasor enviou pequenas transações do endereço semelhante para a carteira da vítima. Isso inseriu o endereço falso no histórico de transações, fazendo com que parecesse legítimo durante transferências posteriores.
Posteriormente, quando o comerciante copiou um endereço de seu histórico para concluir a transferência completa, o endereço semelhante provavelmente foi selecionado por engano. Os dados do Etherscan mostram que o pagamento de teste foi enviado às 3h06 UTC. A transação errônea de US$ 50 milhões ocorreu cerca de 26 minutos depois, às 3h32 UTC.
Fundos roubados transferidos por meio de DAI, ETH e Tornado Cash
A empresa de segurança Blockchain SlowMist relatou que o invasor agiu rapidamente para minimizar o risco de recuperação. Em 30 minutos, os US$ 50 USDT foram trocados por DAI via MetaMask Swap. A decisão foi estratégica porque o Tether pode congelar o USDT se estiver associado a atividades ilícitas, mas o DAI não vem com nenhum congelamento centralizado.
O DAI foi então convertido pelo invasor para aproximadamente 16.690 ETH. Aproximadamente 16.680 ETH foram depositados no Tornado Cash. O mixer foi uma tentativa de ofuscar os rastros de transação, a etapa usual após um golpe de envenenamento de endereço.
Ao executar a transação, a vítima enviou uma mensagem on-chain ao invasor por meio de uma recompensa de chapéu branco de US$ 1 milhão. A oferta exigia o reembolso de 98% do dinheiro roubado. Não houve reconhecimento público ou resposta. As empresas de segurança continuam ativas monitorando o esquema de envenenamento de endereços.
De acordo com Chainalysis, o incidente contribui para um ano de aumento de roubos de criptografia. As perdas em hacks criptográficos em 2025 ultrapassaram US$ 3,4 bilhões, mais do que no ano anterior. Um deles, uma violação do Bybit em fevereiro por atores ligados à Coreia do Norte, totalizou cerca de US$ 1,4 bilhão e foi o maior roubo de criptografia de todos os tempos.
Fontecoingape
