O que fazer se uma extensão de navegador maliciosa roubou suas criptomoedas: guia completo de recuperação
Resposta rapida
Se uma extensao de navegador maliciosa esvaziou sua carteira de criptomoedas:
Fique offline imediatamente, remova a extensao, revogue todas as aprovacoes de contratos inteligentes de um dispositivo limpo e transfira os ativos restantes para uma nova carteira criada em hardware nao comprometido. Depois documente cada hash de transacao e registre uma denuncia no IC3 do FBI (ic3.gov) e na autoridade nacional de crimes ciberneticos dentro de 24 horas. A reversao direta da blockchain nao e possivel, mas se os fundos roubados chegaram a uma exchange centralizada, uma solicitacao rapida de bloqueio pelas autoridades - ou um investigador profissional de blockchain agindo em seu nome - pode intercepta-los antes que sejam lavados. A velocidade e a variavel mais importante em quanto, se algo, pode ser recuperado.
Como é este golpe
Extensoes de navegador maliciosas sao um dos vetores de roubo de cripto mais perigosos em atividade hoje. Ao contrario de e-mails de phishing que exigem um clique em um link enganoso, uma extensao maliciosa fica silenciosamente dentro do navegador com acesso privilegiado a cada pagina visitada - incluindo sua interface de carteira, painel da exchange e area de transferencia.
O relatorio de drainers da Chainalysis 2025 identificou os drainers baseados em extensoes de navegador como componente central do ecossistema profissional de roubo, que ja havia extraido mais de 2,17 bilhoes de dolares na primeira metade de 2025. O relatorio IOCTA 2025 da Europol apontou os infostealers distribuidos por meio de extensoes de navegador maliciosas como metodo primario para comprometer contas de cripto, citando a familia de malware StealC.
Metodos de distribuicao comuns
- Extensoes de carteira falsas: Imitadores do MetaMask, Trust Wallet, Phantom, Ledger Live aparecem nas lojas de navegador com icones quase identicos. Em julho de 2025, mais de 40 extensoes falsas de carteira cripto foram identificadas na Firefox Add-ons Store em uma campanha chamada FoxyWallet. A Mozilla relatou ter removido mais de 40 extensoes maliciosas usando "Extension Hollowing" para contornar a verificacao automatizada.
- Comprometimento da cadeia de suprimentos: Em dezembro de 2025, uma extensao Chrome legitima do Trust Wallet foi comprometida. O ataque resultou em 8,5 milhoes de dolares roubados de mais de 2.500 carteiras.
- Trojans em ferramentas de produtividade: Extensoes para gravadores de tela, conversores de PDF, rastreadores de precos ou servicos VPN as vezes contem modulos ocultos de roubo de cripto.
- Sequestro de cookies e sessoes: O roubo de 1 milhao de dolares documentado pela SlowMist via extensao AGGR (junho de 2024) demonstrou como uma extensao maliciosa pode roubar cookies do navegador e contornar completamente a autenticacao de dois fatores.
O que a extensao realmente faz
Uma vez ativa, uma extensao maliciosa pode: interceptar prompts de assinatura de carteira, ler e sobrescrever o conteudo da area de transferencia, coletar tokens de sessao para se passar por voce em exchanges, capturar toques de teclado e injetar JavaScript em qualquer pagina.
A TRM Labs relatou que 76% dos fundos roubados em grandes ataques fluiram atraves de comprometimentos em nivel de infraestrutura. O Relatorio IC3 do FBI de 2024 documentou 9,3 bilhoes de dolares em perdas por fraude cripto. O relatorio IC3 de 2025 elevou esse numero para mais de 11 bilhoes.
Por que as pessoas caem nele
Tanto o Chrome Web Store quanto o Firefox Add-ons Store usam revisao automatizada, mas esses processos nao sao infaliveis. Os invasores investem em listagens convincentes: avaliacoes de cinco estrelas semeadas, capturas de tela polidas, descricoes copiadas de extensoes legitimas. A equipe de seguranca da Mozilla removeu mais de 40 extensoes maliciosas em 2025 apos descobrir a tecnica de "Extension Hollowing".
Ataques a cadeia de suprimentos contornam completamente a vigilancia do usuario. O comprometimento do Chrome do Trust Wallet em dezembro de 2025 afetou usuarios que haviam instalado uma extensao genuina meses antes. As extensoes de navegador atualizam-se silenciosamente.
A atualizacao alvo 2025 do FATF sobre ativos virtuais observou que o aumento de fraudes e parcialmente impulsionado pela lacuna entre a complexidade da tecnologia e a postura media de seguranca dos usuarios. Os invasores sincronizam campanhas com eventos de mercado - lancamentos de tokens, cunhagens de NFT, janelas de airdrop - quando a urgencia suprime o pensamento critico.
Primeiras 24 horas: o que fazer imediatamente
O tempo e critico.
Os invasores geralmente roteiam fundos roubados atraves de protocolos de troca descentralizados e mixers em minutos. Cada hora de atraso reduz a probabilidade de um bloqueio em uma exchange destinataria.
-
1
Desconecte imediatamente o navegador da internet - Fique offline desativando o Wi-Fi e desconectando o cabo ethernet. Isso interrompe qualquer sequestro de sessao ou exfiltracao de dados em andamento.
-
2
Remova a extensao maliciosa e execute uma varredura completa de malware - Abra o gerenciador de extensoes do navegador (chrome://extensions ou about:addons), identifique e remova a extensao suspeita. Depois execute uma varredura completa.
-
3
Revogue todas as aprovacoes da carteira de um dispositivo limpo - Use um dispositivo separado nao comprometido para se conectar a ferramentas de revogacao como Revoke.cash ou o verificador de aprovacao de tokens da Etherscan.
-
4
Transfira os ativos restantes para uma carteira totalmente nova - Gere uma carteira completamente nova em um dispositivo limpo - idealmente uma carteira de hardware. Trate a carteira comprometida como permanentemente queimada.
-
5
Documente tudo antes de mudar qualquer outra coisa - Tire capturas de tela de sua lista completa de extensoes, da pagina de permissoes da extensao, de qualquer e-mail de confirmacao de instalacao e de todos os hashes de transacao.
-
6
Registre uma denuncia nas autoridades - Envie uma queixa ao Internet Crime Complaint Center do FBI (ic3.gov) e a sua unidade nacional de crimes ciberneticos.
-
7
Notifique qualquer exchange onde os fundos roubados chegaram - Use um explorador de blockchain para rastrear para onde os fundos foram. Se chegaram a uma exchange centralizada, entre em contato imediatamente com a equipe de fraudes.
-
8
Preserve todos os dispositivos - nao apague nada ainda - Faca backups em um disco externo criptografado e os coloque de lado.
O que NÃO fazer
Evite estes erros - sao comuns e pioram as coisas.
- Nao procure "servicos de recuperacao de cripto" online. A grande maioria sao golpes secundarios.
- Nao apague seu dispositivo imediatamente. Voce destruira evidencias forenses.
- Nao reinstale a mesma extensao de um link diferente. Os invasores listam varios clones.
- Nao reutilize o endereco da carteira comprometida.
- Nao pague taxas antecipadas para ninguem que prometa recuperacao.
- Nunca compartilhe sua frase semente ou chave privada. Nenhum investigador legitimo precisa disso.
Como é a recuperação real
As transacoes blockchain sao imutaveis. Nao existe botao de desfazer. Mas a recuperacao existe em um espectro.
Se os fundos chegaram a uma exchange centralizada - o caminho de maior probabilidade - essa exchange detem dados KYC da conta destinataria. Uma solicitacao de bloqueio das autoridades, apoiada por um rastreamento profissional de blockchain, pode resultar no congelamento dos ativos antes da retirada.
Se os fundos passaram por uma DEX ou ponte, a recuperacao e mais dificil mas nao impossivel. Investigadores profissionais com acesso a plataformas de analise comerciais (Chainalysis Reactor, TRM Forensics, Elliptic Navigator) podem rastrear fluxos invisiveis para exploradores de blockchain gratuitos.
Se os fundos passaram por um mixer ou protocolo de privacidade, a probabilidade de recuperacao cai significativamente.
A Security Week documentou 494 milhoes de dolares em roubos por drainers de 332.000 vitimas em 2024. A recuperacao total de todos os ativos nao e a norma.
Quando envolver um investigador profissional
Em muitos casos de roubo por extensao de navegador, envolver um investigador profissional de blockchain nas primeiras 48 horas e a diferenca entre uma trilha rastreaval e fundos que passaram por saidas de mixers.
Considere contratar um investigador profissional quando:
- O valor roubado e significativo para voce.
- Os fundos se moveram por varias cadeias ou protocolos.
- Voce precisa de evidencias formais para uma exchange ou tribunal.
- A extensao veio de uma loja oficial. Ataques a cadeia de suprimentos podem criar responsabilidade.
Um investigador legitimo comeca com um rastreamento forense de blockchain - mapeando fundos roubados por cada endereco intermediario, rotulando entidades conhecidas, identificando pontos de saida potenciais. A Recoveris e especializada neste processo para casos de roubo de cripto em varias jurisdicoes.
Sinais de alerta de golpes de recuperação
O segundo golpe e muitas vezes maior que o primeiro.
Vitimas de roubo de cripto sao alvos especificos porque se sabe que possuem cripto e estao em um estado desesperado e emocionalmente comprometido.
O relatorio IC3 do FBI de 2025 destacou a fraude de recuperacao como uma das subcategorias de crescimento mais rapido do crime cripto.
Sinais de alerta a observar imediatamente
- Contato nao solicitado apos sua perda. Se alguem entrar em contato via Telegram, Discord ou e-mail dizendo ser especialista em recuperacao logo apos um roubo, trate como golpe.
- Promessas de recuperacao garantida. Nenhum profissional honesto garante resultados.
- Taxas antecipadas chamadas de "taxas de liberacao" ou "desbloqueio de carteira". Nenhuma taxa reverte uma transacao blockchain.
- Pedidos para instalar software de acesso remoto. Qualquer servico que pede TeamViewer ou AnyDesk quer acesso ao que resta.
- Falsificacao de identidade governamental. Agencias reais nao cobram taxas de recuperacao.
- Pedidos de sua frase semente ou chave privada. Nenhum investigador legitimo precisa disso.
Como verificar uma empresa legitima
Solicite os detalhes de registro da empresa e verifique-os no registro nacional. Pesquise os principais responsaveis independentemente. Empresas como a Recoveris publicam sua metodologia e podem ser verificadas atraves de registros publicos de empresas na Suica.
Uma extensão de navegador esvaziou sua carteira?
Nossos investigadores rastreiam criptomoedas roubadas em múltiplas cadeias, preparam pacotes para as autoridades e coordenam solicitações de bloqueio em exchanges. Obtenha uma avaliação gratuita do seu caso.
Obter ajuda com seu casoNão tem certeza se foi alvo?
Faça nossa avaliação de segurança cripto de 2 minutos para identificar riscos em sua configuração atual antes que se tornem um problema.
Fazer a avaliação gratuitaReferências
- 1. FBI/IC3 - Relatorio de Crimes na Internet 2024. https://ic3.gov/AnnualReport/Reports/2024_ic3report.pdf
- 2. FBI/IC3 - Relatorio de Crimes na Internet 2025. https://ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
- 3. Chainalysis - Relatorio de Crypto Drainers. https://chainalysis.com/blog/crypto-drainers/
- 4. TRM Labs - Drainware: Infelizmente chegando a uma carteira de criptomoedas perto de voce. https://trmlabs.com/resources/blog/drainware-unfortunately-coming-to-a-cryptocurrency-wallet-near-you
- 5. Europol - IOCTA 2025: Roubar, Negociar, Repetir. https://europol.europa.eu/cms/sites/default/files/documents/Steal-deal-repeat-IOCTA_2025.pdf
- 6. FATF - Sexta Atualizacao Direcionada sobre Ativos Virtuais e VASPs (2025). https://fatf-gafi.org/en/publications/Fatfrecommendations/targeted-update-virtual-assets-vasps-2025.html
- 7. Mozilla - Golpes de Carteira Cripto: Frustrando uma Nova Ameaca (maio 2025). https://blog.mozilla.org/addons/2025/05/30/crypto-wallet-scams-thwarting-a-new-threat/
- 8. The Hacker News - Hack da Extensao Chrome Trust Wallet (dezembro 2025). https://thehackernews.com/2025/12/trust-wallet-chrome-extension-hack.html
- 9. SlowMist - Como uma Extensao Maliciosa Roubou um Milhao de Dolares (junho 2024). https://slowmist.medium.com/unraveling-how-a-malicious-extension-stole-a-million-dollars-e847a83cc50e
- 10. TRM Labs Blog - Um Ano Recorde para o Cibercrime. https://trmlabs.com/resources/blog/a-record-breaking-year-for-cybercrime-key-findings-from-the-fbis-2024-ic3-report
- 11. Security Week - Malware Drainer de Carteira Usado para Roubar 500 Milhoes de Dolares. https://securityweek.com/wallet-drainer-malware-used-to-steal-500-million-in-cryptocurrency-in-2024/
- 12. Bleeping Computer - Dezenas de Falsas Extensoes de Carteira Inundam Firefox Store (julho 2025). https://bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/
Perguntas frequentes
Uma extensão de navegador maliciosa pode roubar criptomoedas sem que eu clique em nada?
Sim. Uma vez instalada, uma extensao maliciosa opera com privilegios de segundo plano persistentes. Ela pode silenciosamente substituir enderecos de carteira na area de transferencia, interceptar prompts de assinatura, ler cookies de sessao ativos para exchanges em que voce esta conectado e injetar codigo nas paginas visitadas - tudo sem nenhuma interacao visivel. A investigacao da SlowMist sobre a extensao AGGR descobriu que o modulo de sequestro de cookies operava inteiramente em segundo plano, possibilitando um saque de 1 milhao de dolares sem que a vitima aprovasse uma transacao suspeita.
A extensão veio da Chrome Web Store: isso é realmente possível?
Sim, e aconteceu repetidamente. Em dezembro de 2025, uma extensao Chrome legitima do Trust Wallet foi comprometida por meio de sua infraestrutura de distribuicao. A atualizacao que roubou 8,5 milhoes de dolares de 2.520 carteiras chegou pelo mecanismo oficial de atualizacao da loja. A Mozilla tambem removeu mais de 40 extensoes maliciosas em 2025. A instalacao de uma loja oficial nao e uma garantia de seguranca.
Minha frase semente nunca foi inserida no navegador: uma extensão ainda pode esvaziar minha carteira?
Sim. O roubo de cookies de sessao permite que um invasor se passe por voce em exchanges em que voce ja esta conectado. O sequestro da area de transferencia redireciona transacoes de saida. A injecao de transacoes modifica enderecos de destino nos prompts de assinatura. O fato de sua frase semente nao estar no navegador nao o protege se uma extensao maliciosa estiver instalada.
Quanto tempo tenho para agir antes que os fundos se tornem irrecuperáveis?
A janela realista para intervencao em nivel de exchange e de horas, nao dias. As operacoes de drainer profissionais geralmente roteiam e fazem bridge dos fundos dentro de 15 a 30 minutos do saque inicial. Mesmo assim, algumas contas destinatarias ficam dormentes por dias antes que o invasor saque fiat. Registrar um relatorio formal imediatamente cria um registro que pode acionar um bloqueio mesmo dias depois, se os fundos ainda nao foram sacados.
Há alguma forma de recuperar criptomoedas roubadas por uma extensão de navegador?
A recuperacao parcial ou total e possivel em circunstancias especificas. O melhor caso e de fundos que foram transferidos para um endereco de deposito de exchange centralizada - as autoridades ou um investigador profissional com relacoes com exchanges podem solicitar um bloqueio antes que o invasor retire. Para fundos que passaram por protocolos descentralizados ou mixers, a probabilidade de recuperacao cai, mas a forense de blockchain ainda pode estabelecer um caso documentado.