← Voltar aos artigos

Ataques de envenenamento de endereço cripto: como funcionam, como identificá-los e como proteger sua carteira

16 de junho de 202615 min de leituraSegurança
Ataques de envenenamento de endereço cripto

Ataques de envenenamento de endereço já roubaram mais de 500 milhões de dólares de usuários de criptomoedas ao explorar um hábito enganosamente simples: copiar endereços de carteira do histórico de transações em vez de fontes verificadas. Este guia explica exatamente como esses ataques funcionam, o que os dados revelam sobre sua escala e o que você precisa fazer para proteger cada transferência que realizar.

O que é envenenamento de endereço?

O envenenamento de endereço — também chamado de falsificação de endereço — é um ataque de engenharia social no qual um criminoso envia uma pequena transação sem valor para sua carteira, a partir de um endereço que imita de perto um endereço que você já utilizou anteriormente. O objetivo é contaminar seu histórico de transações para que, na próxima vez que precisar enviar fundos a uma contraparte conhecida, você copie acidentalmente o endereço do atacante em vez do legítimo [1].

O nome vem de "envenenar" seu histórico on-chain — assim como se envenena um poço. O atacante planta um endereço falso à vista de todos e aguarda. Em muitos blockchains populares, enviar uma transação não exige permissão do destinatário. Essa arquitetura aberta viabiliza as finanças sem permissão; ela também é a superfície de ataque que o envenenamento de endereço explora [1][6].

A Chainalysis define assim: "O envenenamento de endereço ocorre quando um golpista envia uma pequena transação de um endereço de carteira falsificado para a carteira de um alvo, na esperança de que o alvo use acidentalmente o endereço do golpista na próxima vez que enviar cripto." [1] Pesquisa apresentada no USENIX Security 2025 por Tsuchiya e Christin confirmou que se trata de uma ameaça sistêmica com grande impacto financeiro [6].

Como a armadilha é preparada

Você envia 100 USDT para o endereço de saque da sua exchange. Minutos depois, o bot de um atacante envia 0 USDT para você a partir de um endereço que começa e termina com os mesmos caracteres do seu endereço da exchange. Esse endereço envenenado agora aparece diretamente abaixo do legítimo no histórico da sua carteira. Na próxima vez que você iniciar um saque, você sobe uma linha por engano e confirma uma transferência para o atacante.

O ataque não requer nenhum malware, nenhuma página de phishing, nenhuma frase-semente comprometida. Funciona porque a maioria das carteiras exibe apenas os primeiros quatro e os últimos quatro caracteres de um endereço. Quando um atacante cria um endereço que corresponde exatamente a esses oito caracteres, o atalho falha completamente [1][13].

O envenenamento de endereço é distinto do sequestro de área de transferência e do phishing. Ocorre inteiramente on-chain [6].

Como os atacantes criam endereços semelhantes

Gerar um endereço de carteira que começa e termina com caracteres específicos é computacionalmente intensivo, mas está longe de ser impossível. A técnica é chamada de geração de endereço personalizado (vanity address). Programas acelerados por GPU podem forçar bilhões de pares de chaves candidatos por segundo [6].

Para um endereço Ethereum padrão (42 caracteres hexadecimais), corresponder oito caracteres específicos exige aproximadamente 4,3 bilhões de tentativas. Com um cluster de GPU moderno, isso leva de segundos a minutos por endereço alvo [6][1].

Na rede TRON, a superfície de ataque é ainda maior. A TRM Labs documentou que o modelo de taxas da TRON torna as transações de valor quase zero extremamente baratas [4].

A economia dos endereços personalizados

Um atacante sofisticado pode gerar um endereço correspondente em menos de um minuto. O custo por tentativa de envenenamento pode ser frações de um centavo. O retorno esperado, se apenas um alvo em milhares cair na armadilha, pode chegar a milhões de dólares.

Alguns atacantes identificam fontes tipográficas nas quais caracteres parecem quase idênticos — "0" versus "O", "1" versus "l" — e criam endereços que parecem idênticos mesmo quando os usuários observam mais caracteres [6][13].

Pesquisadores da CMU descobriram que muitas campanhas visam especificamente carteiras de alto valor. Bots automatizados monitoram o mempool e respondem dentro do mesmo bloco [6][7]. Alguns atacantes baseiam-se na observação de que a maioria dos usuários não verifica o endereço completo — um endereço parcialmente correspondente é suficiente [1][4].

Como o envenenamento se espalha em escala industrial

O que começou como ataques oportunistas evoluiu para uma operação altamente automatizada e industrializada. Campanhas modernas funcionam como bots em operação contínua, varrendo o mempool de múltiplos blockchains simultaneamente [6][7].

Os dados de crimes cripto de 2025 da Chainalysis mostram que o envenenamento de endereço representa uma parcela cada vez maior das perdas. Grupos ligados a organizações criminosas do Sudeste Asiático e do Leste Europeu utilizam infraestrutura compartilhada [1][2][3].

A TRM Labs constatou que a rede TRON se tornou um palco preferencial para campanhas em larga escala por causa das taxas de transação próximas de zero. Clusters de carteiras enviavam milhares de transações de envenenamento por dia [4].

O pipeline do envenenamento

(1) O bot monitora o mempool em busca de transações de saída acima de um limite. (2) Extrai o endereço de destino. (3) O gerador de endereço personalizado produz um endereço semelhante. (4) Envia a transação de envenenamento dentro do mesmo bloco, se possível. (5) Arquiva o endereço da vítima para monitoramento. (6) Se a vítima enviar para o endereço envenenado, os fundos são movidos imediatamente por serviços de mistura.

Para usuários comuns: presuma que seu histórico de carteira já foi envenenado. Se você já enviou uma transação acima de alguns centenas de dólares, há uma probabilidade real de que um atacante já tenha colocado um endereço falso em seu histórico [1][4][6].

O Relatório de Crimes Cripto 2025 da TRM observou que os atacantes de envenenamento se adaptaram rotacionando endereços com mais frequência [5]. O CyLab da CMU constatou que os lucros são lavados por DEXes e pontes cross-chain, tornando a recuperação extremamente difícil [7][6].

Perdas reais: casos notáveis e dados

O custo financeiro está documentado e é substancial.

A perda de 50 milhões de dólares em USDT

Em maio de 2024, um trader perdeu 50 milhões de dólares em USDT — um dos maiores incidentes individuais de envenenamento de endereço já registrados. O bot de um atacante detectou o padrão, gerou um endereço semelhante e injetou uma transação de envenenamento. A vítima copiou do histórico em vez de uma fonte verificada. Posteriormente, a vítima ofereceu uma recompensa de 1 milhão de dólares pela devolução dos fundos [10].

O caso dos 71 milhões de dólares e a recuperação parcial

Em maio de 2024, outra vítima perdeu aproximadamente 71 milhões de dólares em WBTC. O atacante acabou devolvendo cerca de 90% dos fundos após negociações — algo excepcional porque o valor atraiu atenção investigativa imediata de múltiplas empresas e das autoridades [11]. Para perdas típicas na faixa de 50.000 a 500.000 dólares, esse nível de pressão não se materializa.

Dados do FBI e escala agregada

O Relatório de Crimes na Internet 2025 do FBI documentou perdas com criptomoedas superiores a 9,3 bilhões de dólares em 2024 [8]. Comunicados do FBI identificaram a "falsificação de endereços de carteira" como uma das técnicas de fraude cripto de crescimento mais rápido [9].

A Chainalysis documentou que apenas no primeiro trimestre de 2024, golpes de envenenamento de endereço resultaram em centenas de perdas confirmadas de vítimas, chegando próximo a 100 milhões de dólares [1][2].

Por que o valor de 500 milhões de dólares importa

Chainalysis, TRM Labs e pesquisadores acadêmicos chegaram cada um independentemente a estimativas cumulativas superiores a 500 milhões de dólares em perdas atribuíveis a envenenamento de endereço no Ethereum, TRON, BNB Chain e outras redes [1][4][5][6]. Isso provavelmente subestima significativamente as perdas reais.

Pesquisadores da CMU descobriram que os ataques de envenenamento de endereço não são distribuídos aleatoriamente — traders de alta frequência e usuários avançados de DeFi são visados de forma desproporcional [6][7].

Por que até usuários experientes caem na armadilha

Um dos aspectos mais contraintuitivos é quem cai na armadilha. Traders experientes, participantes de DeFi e contrapartes institucionais já foram vítimas [6][7].

O problema da truncagem

Quase todas as principais carteiras exibem endereços de forma truncada: os primeiros quatro a seis caracteres, reticências, e os últimos quatro a seis caracteres. Isso cria uma vulnerabilidade estrutural: é exatamente a parte exibida que os atacantes otimizam para corresponder [13][12].

O design de truncagem treina os usuários a depender de verificação parcial — e o ataque explora exatamente esse treinamento [6][1].

Hábitos e carga cognitiva

Pesquisadores da CMU descobriram que o aumento da frequência de transações é positivamente correlacionado com a vitimização por envenenamento de endereço. Traders de alto volume que movimentam fundos várias vezes ao dia correm risco maior do que usuários ocasionais [6][7].

A armadilha da familiaridade

Paradoxalmente, usar os mesmos endereços repetidamente cria vulnerabilidade. Cada vez que você envia sem incidentes, sua confiança aumenta. Quando um atacante envenena seu histórico, ele está se inserindo em um sulco bem rodado. Seu cérebro diz "isso parece certo" porque aprendeu a buscar exatamente o padrão que o atacante reproduziu.

Falhas no design da interface

Até recentemente, poucas carteiras sinalizavam transações de valor zero como suspeitas. O artigo do USENIX identificou o design da interface das carteiras como um fator crítico que habilita o ataque [6][12][13].

A pressão de tempo também desempenha um papel. Quando os mercados estão se movendo, as etapas de verificação são puladas. Os atacantes podem sincronizar campanhas com períodos de alta atividade [6][7].

Como verificar corretamente um endereço cripto

A verificação de endereços é a defesa mais eficaz. Requer apenas um hábito: nunca confirme uma transferência sem verificar o endereço de destino completo a partir de uma fonte confiável [13][1].

Regra 1: nunca copiar do histórico de transações

Seu histórico de transações é um potencial campo de batalha de envenenamento. Nunca o trate como uma agenda de endereços. Mantenha uma agenda de endereços dedicada, preenchida a partir de fontes confiáveis [13][1].

Regra 2: verificar o endereço completo, não apenas a pré-visualização

Antes de confirmar qualquer transferência, expanda o endereço de destino completo. Compare cada caractere com sua fonte verificada. Para carteiras de hardware, sempre verifique na própria tela do dispositivo [13].

A regra dos cinco segundos para transferências de alto valor

Para qualquer transferência acima do seu limite de alto valor, dedique cinco segundos adicionais para: (1) expandir o endereço completo, (2) comparar os primeiros e últimos seis caracteres com sua fonte verificada, (3) verificar a seção do meio em busca de anomalias, (4) confirmar na tela da sua carteira de hardware, se aplicável.

Regra 3: usar códigos QR para transferências locais

Use a leitura de código QR em vez de digitar endereços manualmente ou colar da área de transferência. Códigos QR codificam o endereço completo e contornam tanto o sequestro da área de transferência quanto o envenenamento do histórico de transações [13].

Regra 4: usar ENS ou outros serviços de nomenclatura com cuidado

Antes de enviar para um nome ENS, sempre verifique se o endereço resolvido corresponde ao esperado [13][1].

Regra 5: testar com um valor pequeno primeiro

Para qualquer novo endereço, envie primeiro um valor de teste pequeno. Verifique o recebimento antes de enviar o valor total [13][1].

Configurações de segurança da carteira que bloqueiam o envenenamento

Recursos no nível da carteira podem reduzir significativamente a exposição. A qualidade da proteção varia bastante e nem todos os recursos protetores estão habilitados por padrão [12][13].

Proteção contra envenenamento de endereço na Trust Wallet

A Trust Wallet introduziu um recurso dedicado que analisa as transações recebidas e sinaliza aquelas que exibem características de envenenamento. Quando detectadas, marca visualmente as transações suspeitas na visualização do histórico [12].

Para verificar: acesse Configurações - Segurança - Proteção contra Envenenamento de Endereço [12].

Carteiras de hardware e verificação independente de endereços

Carteiras de hardware como Trezor e Ledger exibem o endereço de destino completo na tela do dispositivo de forma independente do computador conectado [13].

As orientações da Trezor enfatizam que os usuários devem comparar o endereço exibido na tela da Trezor com o destino pretendido — não com o que é mostrado no computador [13].

A verificação da carteira de hardware não é opcional

Se você possui uma carteira de hardware mas pula a verificação na tela do dispositivo nas transações rotineiras, você não está aproveitando seu benefício de segurança. Use a tela de confirmação sempre, especialmente para transferências de grande valor.

Recursos de agenda de endereços e contatos salvos

Ao salvar um endereço verificado com um nome reconhecível e selecioná-lo na agenda de endereços em vez do histórico de transações, você elimina o vetor principal que os ataques de envenenamento exploram [13][12].

Para exchanges centralizadas, habilite o gerenciamento de endereços de saque autorizados com confirmação por e-mail ou autenticador de dois fatores [13].

Configurações do explorador de blocos e marcação de riscos

Antes de enviar para um endereço desconhecido, cole-o no Etherscan ou em um explorador de blocos similar e verifique se ele foi sinalizado como suspeito [1][4].

Se você enviou fundos para um endereço envenenado: passos imediatos

Esta é uma situação grave e crítica em relação ao tempo. Transações em blockchain são irreversíveis — sem botão de cancelar, sem departamento de fraudes, sem estorno. A forma como você responde nas primeiras horas pode afetar materialmente o que é possível recuperar [11][8].

Passo 1: documentar tudo imediatamente

Tire capturas de tela de: a transação mostrando o endereço de destino, o hash da transação, o horário e o valor. Essa documentação é essencial para qualquer boletim de ocorrência ou contratamento de empresas de análise de blockchain [8][9].

Passo 2: rastrear os fundos on-chain imediatamente

Use um explorador de blocos (Etherscan, Tronscan, BscScan) para rastrear para onde os fundos foram imediatamente após o recebimento pelo atacante. Se os fundos forem para uma exchange centralizada, entre em contato com a equipe de conformidade imediatamente, com o hash da transação [11][8].

A janela de congelamento da exchange

Se você identificar que os fundos roubados estão indo para uma exchange importante — Binance, Coinbase, Kraken, OKX — entre em contato com a equipe de segurança ou conformidade imediatamente. Inclua: endereço de envio, endereço de recebimento, hash da transação, horário, valor e uma breve explicação. Cada minuto conta.

Passo 3: contatar empresas de análise de blockchain

Para perdas acima de 50.000 dólares, pode valer a pena contratar diretamente a Chainalysis, TRM Labs ou Elliptic para rastrear os fundos e produzir um relatório de atribuição [1][4][5].

Passo 4: registrar boletins com as autoridades

Nos Estados Unidos, registre uma queixa no FBI IC3 em ic3.gov [8][9]. Na UE, registre com sua unidade nacional de combate ao cibercrime. A EC3 da Europol coordena investigações transfronteiriças [8].

Passo 5: consultar assessoria jurídica para perdas grandes

Para perdas acima de 100.000 dólares, considere contratar assessoria jurídica com experiência em recuperação de ativos digitais. Existêm opções legais e elas devem ser exploradas com urgência [11][8].

Tenha expectativas realistas: a maioria das vítimas recupera pouco ou nada. Uma resposta rápida e sistemática oferece as melhores chances disponíveis [11].

Sua carteira foi alvo de um ataque?

A Recoveris oferece serviços de investigação on-chain e recuperação de ativos digitais para vítimas de envenenamento de endereço e fraudes cripto relacionadas.

Solicitar avaliação do caso

Quanto você perdeu? Descubra com nossa ferramenta

Use nossa ferramenta de autoavaliação para entender suas opções de recuperação.

Iniciar avaliação gratuita

Referências

  1. 1.Address Poisoning Scam — Chainalysis, 2024. link
  2. 2.2025 Crypto Crime Report — Chainalysis, 2025. link
  3. 3.2025 Crypto Crime Mid-Year Update — Chainalysis, 2025. link
  4. 4.Understanding Address Poisoning on the TRON Blockchain — TRM Labs, 2024. link
  5. 5.2025 Crypto Crime Report — TRM Labs, 2025. link
  6. 6.USENIX Security 25: Address Poisoning Research (Tsuchiya & Christin, CMU) — USENIX Security Symposium, 2025. link
  7. 7.CyLab Crypto Phishing Research — CMU CyLab, 2026. link
  8. 8.2025 Internet Crime Report — FBI IC3, 2025. link
  9. 9.Cryptocurrency and AI Scams Bilk Americans of Billions — FBI, 2025. link
  10. 10.Crypto Trader Loses $50 Million in Address Poisoning Attack — The Block, 2024. link
  11. 11.Victim of $71 Million Address Poisoning Attack Recovers Funds — The Block, 2024. link
  12. 12.Introducing Address Poisoning Protection on Trust Wallet — Trust Wallet, 2024. link
  13. 13.What Are Address Poisoning Attacks and How to Avoid Them — Trezor, 2024. link

Perguntas frequentes

Como sei se minha carteira já foi alvo de envenenamento de endereço?

Procure por transações pequenas no seu histórico — valores de R$0, frações de centavo ou quantias ínfimas — de endereços desconhecidos. Se algum deles se assemelhar aos endereços para os quais você costuma enviar, sua carteira foi visada. Cole cada endereço suspeito no Etherscan e verifique se há sinalizadores de risco.

O envenenamento de endereço pode funcionar no Bitcoin?

Sim. Endereços Bitcoin também podem ser visados com geração de endereços personalizados, embora o ataque seja relativamente menos comum. A estrutura de taxas do Bitcoin torna as transações de spam mais caras. Usuários de Bitcoin não estão imunes, especialmente aqueles que realizam transações de grande valor regularmente.

Usar uma carteira de hardware me protege completamente do envenenamento de endereço?

Uma carteira de hardware oferece uma camada de proteção crucial ao exibir o endereço de destino completo na própria tela do dispositivo. No entanto, isso só funciona se você comparar ativamente o endereço na tela da carteira de hardware com o destino pretendido antes de confirmar. Se você pressionar confirmar sem verificar, a carteira de hardware não oferece proteção adicional.

Existe alguma forma de recuperar fundos perdidos por envenenamento de endereço?

A recuperação é possível, mas rara. As oportunidades de recuperação se estreitam rapidamente se os fundos roubados passarem por mix ou pontes nas primeiras horas. Os caminhos mais realistas: (1) os fundos chegam a uma exchange centralizada e são congelados, (2) as autoridades atuam com base em boletins registrados no IC3, (3) empresas de análise de blockchain identificam o atacante. Aja rápido para perdas acima de 50.000 dólares.

Os usuários de DEX correm mais risco do que os usuários de exchanges centralizadas?

Usuários de DeFi e DEX tendem a realizar transações com mais frequência e a interagir com uma variedade maior de endereços, aumentando a exposição. A vulnerabilidade principal é a mesma: se você copiar um endereço do histórico de transações sem verificá-lo, estará exposto.

Recursos relacionados

Segurança

Guia completo de segurança de carteira cripto: hardware, software e melhores práticas

Segurança

Ataques de phishing cripto: como reconhecer e evitar as técnicas mais comuns

Guia de recuperação

O que fazer se sua cripto for roubada: guia de resposta passo a passo