← Voltar para os artigos

O que fazer se uma extensão de navegador maliciosa roubou suas criptomoedas: guia completo de recuperação

9 de julho de 2026 12 min de leitura Guia de recuperação
Recuperação de extensão de navegador maliciosa

Resposta rapida

Se uma extensao de navegador maliciosa esvaziou sua carteira de criptomoedas:

Fique offline imediatamente, remova a extensao, revogue todas as aprovacoes de contratos inteligentes de um dispositivo limpo e transfira os ativos restantes para uma nova carteira criada em hardware nao comprometido. Depois documente cada hash de transacao e registre uma denuncia no IC3 do FBI (ic3.gov) e na autoridade nacional de crimes ciberneticos dentro de 24 horas. A reversao direta da blockchain nao e possivel, mas se os fundos roubados chegaram a uma exchange centralizada, uma solicitacao rapida de bloqueio pelas autoridades - ou um investigador profissional de blockchain agindo em seu nome - pode intercepta-los antes que sejam lavados. A velocidade e a variavel mais importante em quanto, se algo, pode ser recuperado.

Como é este golpe

Extensoes de navegador maliciosas sao um dos vetores de roubo de cripto mais perigosos em atividade hoje. Ao contrario de e-mails de phishing que exigem um clique em um link enganoso, uma extensao maliciosa fica silenciosamente dentro do navegador com acesso privilegiado a cada pagina visitada - incluindo sua interface de carteira, painel da exchange e area de transferencia.

O relatorio de drainers da Chainalysis 2025 identificou os drainers baseados em extensoes de navegador como componente central do ecossistema profissional de roubo, que ja havia extraido mais de 2,17 bilhoes de dolares na primeira metade de 2025. O relatorio IOCTA 2025 da Europol apontou os infostealers distribuidos por meio de extensoes de navegador maliciosas como metodo primario para comprometer contas de cripto, citando a familia de malware StealC.

Metodos de distribuicao comuns

O que a extensao realmente faz

Uma vez ativa, uma extensao maliciosa pode: interceptar prompts de assinatura de carteira, ler e sobrescrever o conteudo da area de transferencia, coletar tokens de sessao para se passar por voce em exchanges, capturar toques de teclado e injetar JavaScript em qualquer pagina.

A TRM Labs relatou que 76% dos fundos roubados em grandes ataques fluiram atraves de comprometimentos em nivel de infraestrutura. O Relatorio IC3 do FBI de 2024 documentou 9,3 bilhoes de dolares em perdas por fraude cripto. O relatorio IC3 de 2025 elevou esse numero para mais de 11 bilhoes.

Por que as pessoas caem nele

Tanto o Chrome Web Store quanto o Firefox Add-ons Store usam revisao automatizada, mas esses processos nao sao infaliveis. Os invasores investem em listagens convincentes: avaliacoes de cinco estrelas semeadas, capturas de tela polidas, descricoes copiadas de extensoes legitimas. A equipe de seguranca da Mozilla removeu mais de 40 extensoes maliciosas em 2025 apos descobrir a tecnica de "Extension Hollowing".

Ataques a cadeia de suprimentos contornam completamente a vigilancia do usuario. O comprometimento do Chrome do Trust Wallet em dezembro de 2025 afetou usuarios que haviam instalado uma extensao genuina meses antes. As extensoes de navegador atualizam-se silenciosamente.

A atualizacao alvo 2025 do FATF sobre ativos virtuais observou que o aumento de fraudes e parcialmente impulsionado pela lacuna entre a complexidade da tecnologia e a postura media de seguranca dos usuarios. Os invasores sincronizam campanhas com eventos de mercado - lancamentos de tokens, cunhagens de NFT, janelas de airdrop - quando a urgencia suprime o pensamento critico.

Primeiras 24 horas: o que fazer imediatamente

O tempo e critico.

Os invasores geralmente roteiam fundos roubados atraves de protocolos de troca descentralizados e mixers em minutos. Cada hora de atraso reduz a probabilidade de um bloqueio em uma exchange destinataria.

  1. 1
    Desconecte imediatamente o navegador da internet - Fique offline desativando o Wi-Fi e desconectando o cabo ethernet. Isso interrompe qualquer sequestro de sessao ou exfiltracao de dados em andamento.
  2. 2
    Remova a extensao maliciosa e execute uma varredura completa de malware - Abra o gerenciador de extensoes do navegador (chrome://extensions ou about:addons), identifique e remova a extensao suspeita. Depois execute uma varredura completa.
  3. 3
    Revogue todas as aprovacoes da carteira de um dispositivo limpo - Use um dispositivo separado nao comprometido para se conectar a ferramentas de revogacao como Revoke.cash ou o verificador de aprovacao de tokens da Etherscan.
  4. 4
    Transfira os ativos restantes para uma carteira totalmente nova - Gere uma carteira completamente nova em um dispositivo limpo - idealmente uma carteira de hardware. Trate a carteira comprometida como permanentemente queimada.
  5. 5
    Documente tudo antes de mudar qualquer outra coisa - Tire capturas de tela de sua lista completa de extensoes, da pagina de permissoes da extensao, de qualquer e-mail de confirmacao de instalacao e de todos os hashes de transacao.
  6. 6
    Registre uma denuncia nas autoridades - Envie uma queixa ao Internet Crime Complaint Center do FBI (ic3.gov) e a sua unidade nacional de crimes ciberneticos.
  7. 7
    Notifique qualquer exchange onde os fundos roubados chegaram - Use um explorador de blockchain para rastrear para onde os fundos foram. Se chegaram a uma exchange centralizada, entre em contato imediatamente com a equipe de fraudes.
  8. 8
    Preserve todos os dispositivos - nao apague nada ainda - Faca backups em um disco externo criptografado e os coloque de lado.

O que NÃO fazer

Evite estes erros - sao comuns e pioram as coisas.

  • Nao procure "servicos de recuperacao de cripto" online. A grande maioria sao golpes secundarios.
  • Nao apague seu dispositivo imediatamente. Voce destruira evidencias forenses.
  • Nao reinstale a mesma extensao de um link diferente. Os invasores listam varios clones.
  • Nao reutilize o endereco da carteira comprometida.
  • Nao pague taxas antecipadas para ninguem que prometa recuperacao.
  • Nunca compartilhe sua frase semente ou chave privada. Nenhum investigador legitimo precisa disso.

Como é a recuperação real

As transacoes blockchain sao imutaveis. Nao existe botao de desfazer. Mas a recuperacao existe em um espectro.

Se os fundos chegaram a uma exchange centralizada - o caminho de maior probabilidade - essa exchange detem dados KYC da conta destinataria. Uma solicitacao de bloqueio das autoridades, apoiada por um rastreamento profissional de blockchain, pode resultar no congelamento dos ativos antes da retirada.

Se os fundos passaram por uma DEX ou ponte, a recuperacao e mais dificil mas nao impossivel. Investigadores profissionais com acesso a plataformas de analise comerciais (Chainalysis Reactor, TRM Forensics, Elliptic Navigator) podem rastrear fluxos invisiveis para exploradores de blockchain gratuitos.

Se os fundos passaram por um mixer ou protocolo de privacidade, a probabilidade de recuperacao cai significativamente.

A Security Week documentou 494 milhoes de dolares em roubos por drainers de 332.000 vitimas em 2024. A recuperacao total de todos os ativos nao e a norma.

Quando envolver um investigador profissional

Em muitos casos de roubo por extensao de navegador, envolver um investigador profissional de blockchain nas primeiras 48 horas e a diferenca entre uma trilha rastreaval e fundos que passaram por saidas de mixers.

Considere contratar um investigador profissional quando:

Um investigador legitimo comeca com um rastreamento forense de blockchain - mapeando fundos roubados por cada endereco intermediario, rotulando entidades conhecidas, identificando pontos de saida potenciais. A Recoveris e especializada neste processo para casos de roubo de cripto em varias jurisdicoes.

Sinais de alerta de golpes de recuperação

O segundo golpe e muitas vezes maior que o primeiro.

Vitimas de roubo de cripto sao alvos especificos porque se sabe que possuem cripto e estao em um estado desesperado e emocionalmente comprometido.

O relatorio IC3 do FBI de 2025 destacou a fraude de recuperacao como uma das subcategorias de crescimento mais rapido do crime cripto.

Sinais de alerta a observar imediatamente

Como verificar uma empresa legitima

Solicite os detalhes de registro da empresa e verifique-os no registro nacional. Pesquise os principais responsaveis independentemente. Empresas como a Recoveris publicam sua metodologia e podem ser verificadas atraves de registros publicos de empresas na Suica.

Uma extensão de navegador esvaziou sua carteira?

Nossos investigadores rastreiam criptomoedas roubadas em múltiplas cadeias, preparam pacotes para as autoridades e coordenam solicitações de bloqueio em exchanges. Obtenha uma avaliação gratuita do seu caso.

Obter ajuda com seu caso

Não tem certeza se foi alvo?

Faça nossa avaliação de segurança cripto de 2 minutos para identificar riscos em sua configuração atual antes que se tornem um problema.

Fazer a avaliação gratuita

Referências

  1. 1. FBI/IC3 - Relatorio de Crimes na Internet 2024. https://ic3.gov/AnnualReport/Reports/2024_ic3report.pdf
  2. 2. FBI/IC3 - Relatorio de Crimes na Internet 2025. https://ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
  3. 3. Chainalysis - Relatorio de Crypto Drainers. https://chainalysis.com/blog/crypto-drainers/
  4. 4. TRM Labs - Drainware: Infelizmente chegando a uma carteira de criptomoedas perto de voce. https://trmlabs.com/resources/blog/drainware-unfortunately-coming-to-a-cryptocurrency-wallet-near-you
  5. 5. Europol - IOCTA 2025: Roubar, Negociar, Repetir. https://europol.europa.eu/cms/sites/default/files/documents/Steal-deal-repeat-IOCTA_2025.pdf
  6. 6. FATF - Sexta Atualizacao Direcionada sobre Ativos Virtuais e VASPs (2025). https://fatf-gafi.org/en/publications/Fatfrecommendations/targeted-update-virtual-assets-vasps-2025.html
  7. 7. Mozilla - Golpes de Carteira Cripto: Frustrando uma Nova Ameaca (maio 2025). https://blog.mozilla.org/addons/2025/05/30/crypto-wallet-scams-thwarting-a-new-threat/
  8. 8. The Hacker News - Hack da Extensao Chrome Trust Wallet (dezembro 2025). https://thehackernews.com/2025/12/trust-wallet-chrome-extension-hack.html
  9. 9. SlowMist - Como uma Extensao Maliciosa Roubou um Milhao de Dolares (junho 2024). https://slowmist.medium.com/unraveling-how-a-malicious-extension-stole-a-million-dollars-e847a83cc50e
  10. 10. TRM Labs Blog - Um Ano Recorde para o Cibercrime. https://trmlabs.com/resources/blog/a-record-breaking-year-for-cybercrime-key-findings-from-the-fbis-2024-ic3-report
  11. 11. Security Week - Malware Drainer de Carteira Usado para Roubar 500 Milhoes de Dolares. https://securityweek.com/wallet-drainer-malware-used-to-steal-500-million-in-cryptocurrency-in-2024/
  12. 12. Bleeping Computer - Dezenas de Falsas Extensoes de Carteira Inundam Firefox Store (julho 2025). https://bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/

Perguntas frequentes

Uma extensão de navegador maliciosa pode roubar criptomoedas sem que eu clique em nada?

Sim. Uma vez instalada, uma extensao maliciosa opera com privilegios de segundo plano persistentes. Ela pode silenciosamente substituir enderecos de carteira na area de transferencia, interceptar prompts de assinatura, ler cookies de sessao ativos para exchanges em que voce esta conectado e injetar codigo nas paginas visitadas - tudo sem nenhuma interacao visivel. A investigacao da SlowMist sobre a extensao AGGR descobriu que o modulo de sequestro de cookies operava inteiramente em segundo plano, possibilitando um saque de 1 milhao de dolares sem que a vitima aprovasse uma transacao suspeita.

A extensão veio da Chrome Web Store: isso é realmente possível?

Sim, e aconteceu repetidamente. Em dezembro de 2025, uma extensao Chrome legitima do Trust Wallet foi comprometida por meio de sua infraestrutura de distribuicao. A atualizacao que roubou 8,5 milhoes de dolares de 2.520 carteiras chegou pelo mecanismo oficial de atualizacao da loja. A Mozilla tambem removeu mais de 40 extensoes maliciosas em 2025. A instalacao de uma loja oficial nao e uma garantia de seguranca.

Minha frase semente nunca foi inserida no navegador: uma extensão ainda pode esvaziar minha carteira?

Sim. O roubo de cookies de sessao permite que um invasor se passe por voce em exchanges em que voce ja esta conectado. O sequestro da area de transferencia redireciona transacoes de saida. A injecao de transacoes modifica enderecos de destino nos prompts de assinatura. O fato de sua frase semente nao estar no navegador nao o protege se uma extensao maliciosa estiver instalada.

Quanto tempo tenho para agir antes que os fundos se tornem irrecuperáveis?

A janela realista para intervencao em nivel de exchange e de horas, nao dias. As operacoes de drainer profissionais geralmente roteiam e fazem bridge dos fundos dentro de 15 a 30 minutos do saque inicial. Mesmo assim, algumas contas destinatarias ficam dormentes por dias antes que o invasor saque fiat. Registrar um relatorio formal imediatamente cria um registro que pode acionar um bloqueio mesmo dias depois, se os fundos ainda nao foram sacados.

Há alguma forma de recuperar criptomoedas roubadas por uma extensão de navegador?

A recuperacao parcial ou total e possivel em circunstancias especificas. O melhor caso e de fundos que foram transferidos para um endereco de deposito de exchange centralizada - as autoridades ou um investigador profissional com relacoes com exchanges podem solicitar um bloqueio antes que o invasor retire. Para fundos que passaram por protocolos descentralizados ou mixers, a probabilidade de recuperacao cai, mas a forense de blockchain ainda pode estabelecer um caso documentado.