O que fazer se você caiu em um golpe de drenador de carteira ou phishing de aprovação: guia completo de recuperação
Você conectou sua carteira a um site que parecia legítimo, assinou uma transação e, em segundos, seus tokens desapareceram. Os ataques de drenadores de carteira e phishing de aprovação estão entre os golpes cripto tecnicamente mais sofisticados em operação hoje. Em 2024, eles drenaram aproximadamente US$ 494 milhões de mais de 332.000 carteiras. Mesmo com a melhora das defesas e a queda significativa nas perdas em 2025, mais de US$ 83 milhões ainda foram roubados de mais de 106.000 vítimas. Este guia explica exatamente o que aconteceu, o que você deve fazer agora e como é a recuperação realista.
1. Resposta rápida: o primeiro passo mais importante
⚡ Se você acabou de ser drenado:
Imediatamente abra um verificador de aprovações de token como o revoke.cash ou o Etherscan Approvals, conecte a carteira afetada e revogue todas as aprovações para endereços desconhecidos. Isso não recupera os fundos já roubados, mas impede que um drenador ativo esvazie os tokens restantes. Faça isso em minutos.
Depois que as aprovações forem revogadas, pare de usar a carteira comprometida para qualquer coisa, exceto documentação. Não assine nenhuma nova transação até entender o que aconteceu.
2. Como esse golpe funciona
Um ataque de drenador de carteira explora a função approve incorporada no Ethereum e em blockchains compatíveis. Os pontos de entrada mais comuns incluem sites falsos de mint de NFT e clones de DeFi, assinaturas Permit e Permit2 (responsáveis por 38% das perdas em incidentes acima de US$ 1 milhão em 2025), contas do Discord e Twitter comprometidas, páginas de reivindicação de airdrop e delegações maliciosas EIP-7702 (pós-agosto de 2025).
Em todas as variantes, a vítima assina uma permissão. O backend do atacante chama a função aprovada milissegundos depois. A Chainalysis documentou US$ 374 milhões roubados em 2023 e US$ 494 milhões de 332.000 carteiras em 2024. O Scam Sniffer registrou, em 2025, US$ 83,85 milhões de 106.106 vítimas, com um único roubo via Permit atingindo US$ 6,5 milhões em uma única transação.
3. Por que as pessoas caem nele
Esses ataques têm sucesso não porque as vítimas são descuidadas, mas porque são engenhados para superar as defesas normais. Quatro fatores se combinam:
- O diálogo de aprovação parece idêntico às interações DeFi legítimas
- Urgência artificial (contagens regressivas, mensagens de escassez)
- Contas confiáveis comprometidas (Discord/Twitter verificados)
- Assinaturas Permit parecem logins — sem gás, idênticas ao login padrão
O relatório IOCTA 2025 da Europol documenta como a infraestrutura de phishing usa domínios lookalike profissionais, tornando quase impossível distinguir o site falso do original a olho nu.
4. Primeiras 24 horas: o que fazer imediatamente
A velocidade importa. Siga estes passos em ordem:
- Revogue todas as aprovações de token imediatamente. Acesse revoke.cash ou Etherscan. Uma pequena taxa de gás é necessária. Não recupera fundos roubados, mas interrompe novos drenamentos.
- Preserve todas as evidências. Faça capturas de tela da URL do site fraudulento, transações da carteira e comunicações relacionadas. Registre os timestamps exatos. Não limpe o histórico do navegador.
- Copie o endereço da carteira do atacante e os hashes de transação do explorador de blocos.
- Pare de usar a carteira comprometida. Trate-a como permanentemente comprometida. Mova os fundos restantes apenas para uma carteira recém-criada.
- Registre um boletim de ocorrência cibernética. No Brasil: delegacia de crimes cibernéticos. Em Portugal: unidade de crimes cibernéticos da PSP. Guarde o número de referência.
- Notifique as exchanges relevantes. Se a trilha blockchain mostrar fundos em uma exchange centralizada, reporte imediatamente ao time de compliance.
- Contate um investigador blockchain profissional se o valor roubado for significativo. O envolvimento precoce — dentro de 24 a 48 horas — preserva as opções de rastreamento.
⚠️ Importante:
Não espere o atacante devolver os fundos. Operadores de drainer não devolvem fundos. Cada hora de atraso reduz as chances de um congelamento bem-sucedido na exchange.
5. O que NÃO fazer
Várias reações instintivas pioram a situação:
- Não envie ETH para resgatar tokens restantes. Bots drainer varrem ETH recebido instantaneamente.
- Não publique seu endereço de carteira publicamente. Atrai serviços falsos de recuperação em minutos.
- Não se envolva com quem entrar em contato com você primeiro. Investigadores legítimos não solicitam via DM.
- Não pague nenhuma taxa antecipada de recuperação.
- Não interaja com tokens enviados para sua carteira após o drenamento.
- Não presuma que nada pode ser feito. Cada movimento de fundos roubados é registrado permanentemente na blockchain.
6. Como a recuperação realmente parece
As transações blockchain são irreversíveis. O que é possível é o rastreamento forense combinado com a cooperação das exchanges e coordenação com as autoridades.
Rastreamento forense
Todas as transações blockchain são registradas em um livro-razão público e imutável. A orientação do FATF de novembro de 2025 observa que os livros-razão blockchain fornecem rastreabilidade em tempo real. Um investigador profissional mapeia o cluster de carteiras do atacante, identifica endereços de depósito de exchanges e documenta a cadeia de custódia.
Cooperação das exchanges e congelamento de ativos
Quando apresentado com um relatório forense documentado, muitas exchanges congelam retiradas pendentes. A janela é tipicamente de 24 a 72 horas após o relatório dos fundos na plataforma.
Aplicação da lei e litígios civis
A Operação Spincaster congelou fundos em várias jurisdições. O acordo de culpa do DOJ em dezembro de 2025 em um esquema de US$ 263 milhões mostra que o processo internacional está ativo. Para perdas acima de US$ 50.000, o litígio civil de recuperação de ativos é viável.
🔍 Sobre as taxas de recuperação:
As taxas de recuperação dependem de para onde foram os fundos. Fundos enviados a exchanges regulamentadas são os casos mais tratáveis. Uma avaliação profissional do fluxo de fundos é a única maneira confiável de saber.
7. Quando envolver um investigador profissional
Nem todo drenamento de carteira exige investigação forense completa. Considere envolver um profissional nos seguintes casos:
- Acima de US$ 10.000: Um relatório forense provavelmente é economicamente viável.
- Acima de US$ 50.000: Investigação profissional fortemente aconselhada.
- Qualquer perda onde a cadeia leva a uma exchange centralizada: O envolvimento precoce pode acionar um congelamento.
- Qualquer perda institucional ou empresarial: Obrigações regulatórias ou de seguro podem exigir relatório formal.
Um investigador legítimo realiza rastreamento on-chain, produz um relatório forense documentado, envia pedidos de congelamento às exchanges e coordena com as autoridades. Cobra pelo trabalho documentado — nunca por uma taxa antecipada prometendo recuperação garantida.
8. Sinais de alerta de golpes de recuperação
A segunda vitimização é generalizada. Sinais de alerta para identificar serviços fraudulentos de recuperação:
- Eles entraram em contato com você primeiro, sem solicitação
- Garantem a recuperação dos fundos
- Exigem uma taxa antecipada antes de qualquer trabalho
- Pediram sua frase-semente ou chaves privadas
- Afirmam relações especiais com exchanges ou governos
- Seu site foi registrado recentemente, sem credenciais verificáveis
🚨 Denuncie golpes de recuperação:
Se você suspeitar que um serviço de recuperação é fraudulento, denuncie à mesma autoridade onde registrou sua denúncia original. O FBI e a Europol investigam ativamente fraudes de recuperação como categoria criminal distinta.
Perdeu fundos em um golpe de drenador de carteira ou phishing de aprovação?
A Recoveris realiza investigações forenses on-chain para rastrear criptoativos roubados, mapear carteiras de atacantes e coordenar com exchanges e autoridades para a possível recuperação.
Solicitar consulta inicial gratuitaNão tem certeza se foi vítima?
Faça nosso questionário de autoavaliação gratuito para avaliar sua situação e entender os próximos passos.
Referências
- 1.Chainalysis. Targeted Approval Phishing Scams See Explosive Growth. 2023. chainalysis.com
- 2.Chainalysis. 2024 Crypto Crime Mid-Year Update Part 2. 2024. chainalysis.com
- 3.Federal Bureau of Investigation. 2025 Internet Crime Report. 2025. ic3.gov
- 4.TRM Labs. A Record-Breaking Year for Cybercrime. 2025. trmlabs.com
- 5.Financial Action Task Force (FATF). 2025 Targeted Update on Virtual Assets. Novembro de 2025. fatf-gafi.org
- 6.Europol. Internet Organised Crime Threat Assessment (IOCTA) 2025. 2025. europol.europa.eu
- 7.Scam Sniffer. 2025 Crypto Phishing Losses Fall 83% to $84 Million. 2026. drops.scamsniffer.io
- 8.Infosecurity Magazine. Scammers Drain $500M in Crypto Wallets. 2025. infosecurity-magazine.com
- 9.United States Department of Justice. Guilty Plea in $263 Million Social Engineering Scheme. Dezembro de 2025. justice.gov
9. Perguntas frequentes
Posso recuperar criptomoedas roubadas em um ataque de phishing de aprovação?
Em alguns casos, sim — mas a recuperação não é garantida e depende de para onde foram os fundos e quão rapidamente você agiu. Se os fundos roubados chegaram a uma exchange centralizada antes de sua denúncia, há uma chance realista de congelamento. A investigação forense é o primeiro passo para avaliar as possibilidades.
Revogar uma aprovação de token recupera meu dinheiro?
Não. Revogar uma aprovação impede transferências futuras, mas não tem efeito nas transferências já concluídas. Ainda assim, é o passo imediato correto para proteger os tokens restantes na carteira comprometida.
Assinei uma assinatura Permit, não uma transação approve — é diferente?
O resultado final é o mesmo, mas o mecanismo difere. Uma assinatura Permit é uma mensagem assinada off-chain que não aparece no histórico da carteira até ser submetida on-chain. Em 2025, assinaturas Permit e Permit2 responderam por 38% das perdas em incidentes acima de US$ 1 milhão, tornando-as uma das variantes mais perigosas e difíceis de detectar.
Devo reportar à polícia se o valor for pequeno?
Sim. Mesmo para valores pequenos, sua denúncia contribui para investigações agregadas. O FBI IC3 e a Europol usam dados de reclamações para mapear clusters de carteiras de atacantes, o que pode levar a operações de aplicação da lei que beneficiam vítimas de grandes valores.
Como saber se um serviço de recuperação é legítimo?
Empresas legítimas de blockchain forense não contatam vítimas sem solicitação, não garantem recuperação e cobram pelo trabalho documentado. Verifique as credenciais, pesquise o nome da empresa junto com os termos “golpe” ou “reclamação” e consulte as autoridades antes de pagar a qualquer terceiro.