Address Poisoning: O Golpe Silencioso que Drena Milhões a Cada Copiar e Colar
Um único erro de copiar e colar custou a um trader de cripto US$ 50 milhões em dezembro de 2025. Nenhum contrato inteligente foi explorado. Nenhuma chave privada foi comprometida. A vítima simplesmente copiou um endereço de carteira de seu histórico de transações — um que parecia quase idêntico ao real, mas pertencia a um invasor. Bem-vindo ao address poisoning (envenenamento de endereço), o vetor de ataque mais insidioso e subestimado do DeFi.
O que é Address Poisoning?
O address poisoning é um ataque de engenharia social que utiliza como arma a forma como os seres humanos interagem com os endereços de blockchain. Ao contrário dos hacks tradicionais que exploram vulnerabilidades de código, este golpe explora uma fraqueza muito mais fundamental: o comportamento humano.
Veja como funciona na prática:
- Vigilância: Um invasor monitora a blockchain em busca de carteiras de alto valor que realizam transferências regulares.
- Geração de endereços parecidos: Usando ferramentas de endereços personalizados (vanity addresses) aceleradas por GPU, como Profanity2 ou Vanity-ETH, o invasor gera um endereço de carteira que corresponde aos primeiros 4 – 6 e aos últimos 4 – 6 caracteres do endereço do destinatário frequentemente usado pela vítima.
- Envenenamento do histórico: O invasor envia uma transação minúscula — muitas vezes de valor zero ou apenas frações de centavo — do endereço parecido para a carteira da vítima. Isso "semeia" o histórico de transações da vítima com o endereço falso.
- A armadilha é acionada: Quando a vítima precisa enviar fundos posteriormente, ela abre seu histórico de transações, localiza o que parece ser seu endereço de destinatário habitual, copia-o e envia. Os fundos vão diretamente para o invasor.
Todo o ataque custa ao adversário apenas alguns centavos em taxas de gás (gas fees). O retorno pode ser de milhões.
A Escala é Impressionante
Uma pesquisa acadêmica apresentada na USENIX Security 2025 revelou a verdadeira magnitude desta ameaça. Ao longo de um período de medição de dois anos, os pesquisadores identificaram 270 milhões de tentativas de envenenamento no Ethereum e na Binance Smart Chain, visando mais de 17 milhões de endereços de vítimas únicos usando aproximadamente 50 milhões de endereços parecidos.
As perdas confirmadas excedem US$ 83,8 milhões apenas no Ethereum. E esses são apenas os casos documentados — o número real é quase certamente maior, já que muitas vítimas nunca relatam ou sequer percebem o que aconteceu.
O Efeito Fusaka
A atualização Fusaka do Ethereum, em 3 de dezembro de 2025, inadvertidamente intensificou o address poisoning. Ao reduzir as taxas de transação em aproximadamente 6 vezes, a atualização tornou as campanhas de envenenamento em massa drasticamente mais baratas de executar. Os resultados foram imediatos:
- As transações de "poeira" (dust transactions) diárias saltaram para 167.000, atingindo um pico de 510.000 em um único dia em janeiro de 2026.
- As tentativas de envenenamento dispararam de 628.000 em novembro de 2025 para milhões em janeiro de 2026 — um aumento de mais de 5 vezes em apenas dois meses.
- 67% dos endereços Ethereum recém-ativos receberam menos de US$ 1 em sua primeira transação, um indicador claro de campanhas sistemáticas de dusting.
Embora as transações diárias do Ethereum tenham aumentado ~ 50% e os endereços ativos tenham crescido ~ 60% pós-Fusaka, uma parte significativa deste "crescimento" foi artificial — impulsionada por bots de envenenamento em vez de adoção orgânica.
Anatomia de um Erro de US$ 50 Milhões
O ataque de address poisoning mais devastador até hoje ocorreu em 20 de dezembro de 2025. Um trader de cripto primeiro enviou uma pequena transação de teste para o endereço correto — a melhor prática padrão. Mas um invasor estava observando.
Em questão de minutos, o invasor gerou um endereço parecido que correspondia ao destino da vítima, enviou uma transação de poeira para envenenar o histórico e esperou. Apenas 26 minutos depois, a vítima copiou o endereço envenenado de seu registro de transações e enviou 49.999.950 USDT diretamente para o invasor.
O invasor agiu com precisão cirúrgica:
- Em 30 minutos, trocou (swapped) todos os US$ 50 milhões em USDT para DAI via MetaMask Swap — uma escolha estratégica, pois a Tether pode congelar USDT em carteiras sinalizadas, mas o DAI descentralizado carece de tais controles centralizados.
- Converteu o DAI em aproximadamente 16.690 ETH.
- Depositou o ETH no Tornado Cash para ocultar o rastro.
A vítima publicou uma mensagem on-chain exigindo a devolução de 98% dos fundos e oferecendo uma recompensa de "white-hat" de US$ 1 milhão. Os fundos nunca foram devolvidos.
O Caso Sillytuna: Quando Ataques Digitais Tornam-se Físicos
Em 5 de março de 2026, o influenciador de cripto "Sillytuna" perdeu **US 20 milhões em DAI e começou a transferir partes para a Arbitrum para complicar o rastreamento.
Mas este caso foi além do roubo digital. Sillytuna relatou ter recebido ameaças físicas, incluindo armas e ameaças de sequestro, após o ataque. A vítima anunciou planos de deixar o setor de cripto inteiramente. O incidente ilustrou uma escalada aterrorizante: o address poisoning como ponto de entrada para ataques combinados digitais-físicos visando detentores conhecidos de cripto.
Outros incidentes notáveis de 2026 incluem:
- 4.556 ETH (US$ 12,4 milhões) roubados em 30 de janeiro de 2026, de uma vítima que realizava o que parecia ser um depósito rotineiro de balcão (OTC).
- Duas vítimas perderam um total de US$ 62 milhões para address poisoning entre dezembro de 2025 e janeiro de 2026, de acordo com o Scam Sniffer.
Três Variantes de Ataque
Pesquisadores identificaram três estratégias principais de envenenamento, cada uma explorando diferentes mecanismos técnicos:
1. Ataques de Pequena Transferência (Tiny Transfer Attacks)
O atacante envia uma pequena quantia (geralmente abaixo de $ 10) de um endereço semelhante. Isso cria uma entrada de aparência legítima no histórico de transações da vítima. Isso custa tokens reais ao atacante, mas produz entradas de histórico convincentes.
2. Ataques de Transferência de Valor Zero (Zero-Value Transfer Attacks)
Explorando a função transferFrom do ERC-20, os atacantes podem criar eventos de transferência de tokens que aparecem nos logs de transação sem gastar nenhum token. O padrão ERC-20 permite chamadas transferFrom com valores zero, que os exploradores de blocos e carteiras exibem como transações normais. Esta é a variante mais barata e comum.
3. Ataques de Tokens Falsificados (Counterfeit Token Attacks)
Os atacantes implantam contratos de tokens falsos que imitam tokens legítimos (como USDT ou USDC falsos). Eles enviam tokens falsificados sem valor de endereços semelhantes, criando entradas no histórico de transações que parecem idênticas a transferências reais em muitas interfaces de carteira.
Por Que as Defesas Tradicionais Continuam Falhando
O envenenamento de endereço (address poisoning) persiste porque visa a lacuna entre a segurança do blockchain e a usabilidade humana:
- Nenhum malware necessário: Ao contrário do phishing ou keyloggers, o envenenamento de endereço requer zero acesso ao dispositivo da vítima.
- Nenhuma exploração de contrato inteligente: O próprio blockchain funciona exatamente como projetado — a vítima autoriza genuinamente a transferência.
- Dependência de abreviações: A maioria das carteiras exibe endereços como
0xAbCd...EfGh, mostrando apenas os primeiros e últimos caracteres. Os atacantes combinam especificamente essas partes exibidas. - Histórico de transações como fonte confiável: Os usuários tratam seu próprio histórico de transações como uma agenda de contatos confiável, sem perceber que ele pode ser manipulado por qualquer pessoa em um blockchain público.
- Irreversibilidade: Uma vez confirmadas, as transações de blockchain não podem ser revertidas. Não há serviço de atendimento ao cliente para ligar, nem estorno para solicitar.
O Guia de Defesa
A proteção requer tanto disciplina individual quanto melhorias em todo o ecossistema:
Para Usuários Individuais
- Nunca copie endereços do histórico de transações. Sempre recupere endereços de sua fonte original e verificada — um contato salvo, um site oficial ou comunicação direta com o destinatário.
- Verifique o endereço COMPLETO. Verifique cada caractere, não apenas o início e o fim. Mesmo um único caractere diferente no meio significa uma carteira completamente diferente.
- Use agendas de endereços religiosamente. A maioria das carteiras suporta listas de contatos ou listas de permissão (whitelisting) de endereços. Depois de verificar um endereço, salve-o e envie sempre a partir do contato salvo.
- Aproveite o ENS e domínios de blockchain. Nomes do Ethereum Name Service (ENS) como
seunome.etheliminam totalmente a necessidade de lidar com endereços brutos, reduzindo drasticamente o risco de copiar e colar. - Envie transações de teste — depois verifique cuidadosamente. Transações de teste são uma boa prática, mas não o protegem se você copiar o endereço envenenado na segunda vez. Após um teste, verifique se o destinatário confirmou o recebimento por meio de um canal off-chain.
Soluções em Nível de Ecossistema
A indústria está começando a responder, embora o progresso tenha sido desigual:
- Trust Wallet lançou proteção automática contra envenenamento de endereço em 32 cadeias EVM em março de 2026, verificando cada transação de saída em tempo real contra endereços de envenenamento conhecidos.
- Ledger Live agora oculta transferências de tokens de valor zero por padrão, filtrando tentativas comuns de envenenamento antes que apareçam no histórico de transações.
- Avisos em nível de carteira: Várias carteiras agora sinalizam transações para endereços que se assemelham muito, mas não coincidem com endereços no histórico do usuário.
- Iniciativas de Clear Signing exigem que os usuários revisem e confirmem os detalhes completos da transação em telas de hardware wallets antes de assinar.
O Que a Indústria Ainda Precisa
Apesar dessas melhorias, lacunas críticas permanecem:
- Proteção ativada por padrão: As defesas contra envenenamento de endereço devem ser ativadas por padrão em todas as carteiras, não como recursos opcionais enterrados nas configurações.
- Exibição de endereço completo: As carteiras devem mostrar endereços completos durante a etapa de confirmação, não versões abreviadas.
- Coordenação multi-chain: Os atacantes movem cada vez mais fundos roubados entre cadeias (como visto no caso Sillytuna). As proteções das carteiras precisam ser multi-chain desde o primeiro dia.
- Mitigações no nível do protocolo: Os contratos ERC-20 poderiam ser atualizados para rejeitar chamadas
transferFromde valor zero de remetentes não autorizados, eliminando a variante de envenenamento mais barata no nível do protocolo.
A Verdade Desconfortável
O envenenamento de endereço expõe uma tensão fundamental na filosofia de design das criptos. As mesmas propriedades que tornam o blockchain poderoso — sem permissão, imutável, pseudônimo — também o tornam um ambiente perfeito para ataques de engenharia social. Qualquer pessoa pode enviar transações para qualquer endereço. Uma vez enviados, os fundos não podem ser recuperados. E os endereços são projetados para máquinas, não para a memória humana.
Os $ 83,8 milhões em perdas confirmadas são quase certamente uma fração do custo real. Muitas vítimas nunca percebem que foram envenenadas. Outras ficam com vergonha de relatar. E com a redução de taxas pós-Fusaka do Ethereum tornando as campanhas de envenenamento mais baratas do que nunca, a superfície de ataque está se expandindo, não diminuindo.
Até que as carteiras tratem a verificação de endereço como uma preocupação de segurança de primeira classe — e não um pensamento tardio — o envenenamento de endereço continuará a drenar milhões de usuários que fizeram tudo o mais corretamente.
Construir em infraestrutura de blockchain requer confiar nos fundamentos por baixo de sua aplicação. BlockEden.xyz fornece serviços de RPC e API de nível empresarial em várias cadeias, para que os desenvolvedores possam se concentrar na construção de experiências de usuário seguras em vez de gerenciar a infraestrutura de nós. Explore nosso marketplace de APIs para começar.