Categoria: Guia de recuperação | Atualizado:
O que fazer se você caiu em um golpe de envenenamento de endereços: guia completo de recuperação
Resposta rápida: o que fazer agora
Se você acabou de enviar criptomoedas para o endereço de um atacante porque copiou um endereço parecido do seu histórico de transações, pare toda atividade imediatamente: não movimente mais nenhum fundo, tire capturas de tela com registro de data e hora de todas as transações envolvidas, anote o endereço completo do atacante e o hash da transação e, em seguida, entre em contato com a equipe de fraude da exchange receptora e registre uma denúncia no IC3 do FBI (ic3.gov) dentro da primeira hora. A rapidez é fundamental porque transações em blockchain são irreversíveis após a confirmação, mas a recuperação ainda é possível por meio de rastreamento on-chain, cooperação de exchanges e perícia forense de blockchain profissional, especialmente se seus fundos ainda não passaram por um mixer.
Como é este golpe
O envenenamento de endereços é um dos golpes tecnicamente mais sofisticados do mundo cripto porque não exige nenhum malware, nenhuma engenharia social e nenhum phishing de senha. O atacante estuda seu histórico on-chain, identifica um endereço com o qual você transaciona regularmente e, em seguida, gera um endereço parecido que compartilha os mesmos quatro a seis primeiros e quatro a seis últimos caracteres do endereço real. Depois, envia uma transferência de valor mínimo ou zero desse endereço falso para sua carteira, deliberadamente poluindo seu histórico de transações com um engodo convincente.
Na próxima vez que você quiser enviar fundos para esse mesmo contato, abre o histórico, localiza o que parece ser o endereço correto, copia e cola no campo do destinatário. Quando percebe o erro, os fundos já estão na carteira do atacante. Pesquisadores da Carnegie Mellon University, apresentando na USENIX Security 2025, documentaram mais de 270 milhões de tentativas de ataque on-chain em uma janela de estudo de dois anos, encontrando pelo menos 17 milhões de carteiras visadas e 6.633 incidentes confirmados de perda, totalizando ao menos US$ 83,8 milhões em prejuízos verificados.
Os atacantes utilizam três tipos principais de transferências de envenenamento. Uma transferência de valor mínimo envia uma fração do token nativo. Uma transferência de valor zero explora certos contratos de tokens que permitem transferências de zero tokens, custando ao atacante quase nada em gas. Uma transferência de token falsificado implanta um token ERC-20 falso que imita um legítimo (USDC, WBTC), mas é sem valor, servindo apenas para inserir o endereço-engodo no seu histórico.
Perdas reais em grande escala
Em maio de 2024, um trader whale perdeu aproximadamente US$ 68-72 milhões em WBTC em uma única transação de envenenamento de endereço. Cerca de 90% desses fundos foram recuperados por meio de evidências forenses e negociação com o atacante. Em dezembro de 2025, outro trader perdeu US$ 50 milhões em um ataque semelhante. Em janeiro de 2026, analistas do Citi sinalizaram um aumento em transações de menos de US$ 1 em Ethereum como uma campanha massiva de envenenamento de endereços. A blockchain TRON foi especialmente afetada por causa do seu modelo de largura de banda gratuita, que torna as transferências de envenenamento em massa quase sem custo para os atacantes.
Por que as pessoas caem
O ataque explora uma fraqueza específica de UX comum a quase todas as carteiras cripto: a truncagem de endereços. As interfaces de carteira exibem endereços longos em formato abreviado, mostrando normalmente apenas os seis primeiros e os quatro últimos caracteres. Um endereço real e o endereço-engodo do atacante podem aparecer de forma idêntica no menu suspenso. Somente lendo todos os 40+ caracteres hexadecimais seria possível perceber a diferença, e quase ninguém faz isso a cada transação.
Gerar um endereço vanitoso correspondente costumava exigir recursos computacionais significativos, o que limitava esses ataques a alvos de alto valor. Hoje, ferramentas de geração de endereços vanitosos com aceleração por GPU podem produzir milhares de endereços com correspondência parcial por segundo a baixo custo, viabilizando campanhas em massa. O custo por tentativa de ataque é agora tão baixo que envenenar milhões de carteiras em busca de alguns acertos bem-sucedidos é economicamente racional para o atacante.
Há também fortes fatores psicológicos em jogo. Pessoas que movimentam cripto com frequência desenvolvem um hábito de fluxo de trabalho: acessar o histórico, copiar um endereço recente, colar e enviar. Esse fluxo é rápido e de baixo atrito, o que é exatamente o que os atacantes contam. O golpe não exige nenhuma interação, nenhuma mensagem de urgência, nenhum site falso. Ele aguarda passivamente no seu histórico de transações pelo momento em que você recorrer ao hábito em vez de à verificação. Traders experientes, não só iniciantes, já foram vítimas, porque o ataque visa um padrão de comportamento universal, não a falta de conhecimento.
Primeiras 24 horas: o que fazer imediatamente
O primeiro dia após descobrir que enviou fundos para um endereço envenenado é a janela de maior potencial para a recuperação. As ações abaixo estão ordenadas por prioridade. Não pule etapas nem as execute fora de ordem.
- Pare todas as transações imediatamente. Não envie mais nenhum fundo da carteira afetada. Se houver outros ativos na mesma carteira, considere movê-los para um endereço novo - mas verifique cada caractere do endereço de destino antes de fazer isso.
- Capture screenshots e gravações de tela em alta resolução. Documente seu histórico de transações mostrando a transferência de envenenamento ao lado das transações reais. Faça capturas de tela da interface da sua carteira e do registro do explorador de blocos para a transação maliciosa. Registre a data e hora de tudo.
- Registre o endereço completo do atacante e o hash da transação. Abra a transação em um explorador de blocos e copie o endereço completo do atacante na íntegra. Salve o hash da transação. Anote o número do bloco, o timestamp e o valor exato enviado.
- Rastreie os fundos no explorador de blocos. Siga o endereço do atacante adiante para ver para onde seus fundos foram. Anote os endereços receptores e se os fundos foram divididos em valores menores.
- Contate a equipe de fraude da exchange receptora. Se conseguir identificar uma exchange centralizada (Binance, Coinbase, Kraken, OKX, etc.) no fluxo de fundos, entre em contato imediatamente com o departamento de fraude ou conformidade. Cada hora de espera reduz a probabilidade de bloqueio.
- Registre uma queixa no IC3 do FBI. Acesse ic3.gov e registre uma reclamação de crime na internet. Também registre junto à autoridade nacional de crimes financeiros e à polícia local se os valores forem significativos.
- Consulte um especialista em forense de blockchain. Investigadores profissionais têm acesso a ferramentas comerciais de rastreamento (Chainalysis, TRM Labs, Elliptic). Contate uma empresa em até 24 horas se sua perda ultrapassar alguns milhares de dólares.
Mantenha um registro de cada ação tomada, de cada pessoa contatada e de cada resposta recebida. Essa documentação forma uma cadeia legal de custódia que pode ser exigida por tribunais ou administradores judiciais caso procedimentos formais de recuperação sejam iniciados.
O que NÃO fazer
O pânico e a urgência empurram as vítimas a tomar decisões que ativamente destroem suas chances de recuperação. A seguir estão os erros mais comuns, e cada um pode fechar permanentemente portas que de outra forma ficariam abertas.
Não tente contatar o atacante por conta própria
Algumas vítimas enviam mensagens para o endereço do atacante. Em casos raros - como a recuperação do whale de WBTC em 2024 - a negociação funcionou, mas foi conduzida por profissionais com respaldo jurídico. O contato sem preparo típicamente alerta o atacante a mover os fundos mais rapidamente.
Não contrate um "serviço de recuperação" encontrado online
A internet está saturada de agentes de recuperação falsos que visam vítimas de envenenamento de endereços. Eles monitoram fóruns e redes sociais em busca de vítimas e as abordam com falsas promessas de recuperação garantida. Pagá-los acrescenta um segundo roubo às suas perdas.
Não mova fundos sem verificar completamente os endereços
No pânico da descoberta, algumas vítimas copiam um destino "seguro" do seu histórico - e caem em um segundo endereço envenenado. Antes de mover qualquer coisa, verifique cada caractere do destino manualmente ou use a tela de verificação de uma carteira de hardware.
Não adie o registro da queixa
As exchanges só podem bloquear contas que ainda detenham fundos. Se o atacante sacar antes de você reportar, essa janela fecha permanentemente. Os dados de recuperação mostram consistentemente que denunciar mais cedo leva a resultados melhores.
Não presuma que o blockchain destruiu suas evidências
Tudo o que acontece em um blockchain público é permanente e publicamente auditavel. Suas evidências não foram perdidas. Ferramentas forenses profissionais conseguem rastrear fundos através de múltiplos saltos, identificar endereços de depósito em exchanges e construir um pacote de evidências jurídicas.
Como a recuperação realmente funciona
A recuperação após um ataque de envenenamento de endereço é um processo que se desenvolve em várias trilhas paralelas, e o resultado depende de quão rapidamente cada trilha é iniciada e até que ponto os fundos avançaram pela cadeia de lavagem.
Rastreamento forense on-chain
O primeiro passo em qualquer recuperação profissional é o rastreamento: seguir os fundos roubados adiante pelo blockchain para mapear cada carteira e endereço de depósito de exchange que o atacante utilizou. Ferramentas comerciais da Chainalysis e da TRM Labs conseguem vincular clusters de carteiras aparentemente desconectados, sinalizar associações conhecidas com mixers e identificar endereços de depósito em exchanges onde os fundos podem ser bloqueados pela aplicação da lei.
Cooperação das exchanges e bloqueio de ativos
Se o rastreamento identificar uma exchange centralizada no fluxo de fundos, a equipe de recuperação envia uma solicitação formal de cooperação amparada pelo pacote de evidências forenses. As exchanges estão cada vez mais dispostas a bloquear contas suspeitas quando apresentadas com evidências credíveis. As variáveis críticas são velocidade, jurisdição e qualidade das evidências.
Devolução negociada
Em um pequeno subconjunto de casos de alto valor, a recuperação acontece por meio de negociação direta com o atacante. O caso de WBTC de 2024 é o exemplo mais proeminente: a vítima, amparada por uma trilha de evidências forenses e assessoria jurídica, ofereceu uma recompensa pela devolução voluntária. O atacante devolveu aproximadamente US$ 66,8 milhões. Esse resultado exigiu enquadramento jurídico profissional e ameaças credíveis de aplicação da lei.
O problema dos mixers
As chances de recuperação caem drasticamente uma vez que os fundos entram em um mixer como o Tornado Cash. O rastreamento ainda é possível até o ponto de entrada no mixer, mas a probabilidade de extrair fundos específicos do outro lado é muito baixa. Órgãos de aplicação da lei em várias jurisdições processaram com sucesso operadores de mixers.
Prazos realistas
Bloqueios em exchanges podem acontecer em dias com bom suporte forense. Procedimentos jurídicos formais levam meses a anos. Devoluções negociadas normalmente se resolvem em duas a quatro semanas. Definir expectativas realistas é fundamental para gerenciar o processo e evitar decisões desesperadas.
Quando envolver um investigador profissional
Nem todo caso de envenenamento de endereço requer intervenção profissional. Se o valor perdido for pequeno e o endereço do atacante não mostrar mais atividade, o custo de uma investigação profissional pode superar a recuperação esperada. Mas para a maioria dos casos acima de alguns milhares de dólares, o cálculo muda significativamente.
Sinais de que ajuda profissional é necessária
- A perda supera US$ 5.000 equivalentes. Nesse nível, ferramentas profissionais e coordenação jurídica costumam se tornar economicamente viáveis.
- Fundos foram movidos para um endereço de depósito de exchange. Um profissional pode enviar uma solicitação de cooperação adequadamente formatada com evidências forenses.
- Fundos cruzaram blockchains ou passaram por uma bridge. O rastreamento cross-chain requer ferramentas comerciais não disponíveis ao público.
- Você suspeita que o atacante te visou especificamente, e não como parte de uma campanha em massa.
- A aplicação da lei abriu um caso. Investigadores profissionais podem produzir pacotes de evidências prontos para tribunal.
- Você já recebeu contato de alguém oferecendo ajuda para recuperar - isso é quase sempre um golpe secundário.
O que inclui uma investigação profissional
Uma empresa reputada de forense de blockchain realizará um rastreamento on-chain completo, produzirá um relatório de investigação profissional com gráficos de transações e atribuição de carteiras, identificará pontos de exposição em exchanges e serviços, enviará solicitações formais de preservação jurídica e coordenará com as autoridades. Pergunte especificamente sobre as ferramentas utilizadas (Chainalysis Reactor, TRM Forensics ou equivalentes) e os relacionamentos com as principais equipes de conformidade de exchanges.
Sinais de alerta de golpes de recuperação
A mesma vulnerabilidade que fez de você alvo de envenenamento de endereço também faz de você alvo de fraude de recuperação. Criminosos monitoram fóruns de vítimas especificamente em busca de pessoas que perderam fundos recentemente. O FBI alerta explicitamente sobre essa ameaça secundária. Confira os sinais de aviso mais confiáveis:
- Contato não solicitado. Qualquer "agente de recuperação" que entre em contato com você primeiro é quase certamente um golpista. Investigadores legítimos não abordam vítimas a frio.
- Promessas de recuperação garantida. Nenhuma empresa honesta garante a devolução de cripto roubada. Uma garantia é uma mentira criada para extrair uma taxa antecipada.
- Taxas antecipadas descritas como "taxas governamentais". Não há taxas governamentais necessárias para rastrear transações em blockchain.
- Pedidos da sua frase-semente ou chave privada. Nenhum investigador legítimo jamais pedirá sua chave privada ou frase-semente.
- Pressão e urgência. "Seus fundos serão bloqueados permanentemente em 48 horas" é uma tática de pressão fabricada.
- Credenciais não verificáveis. Agências falsas apresentam sites com fotos de banco de imagens e avaliações fabricadas. Busque registro verificável e membros reais da equipe.
- Pagamento exigido antes de qualquer prova. Uma empresa profissional deve fornecer uma avaliação inicial antes de você se comprometer com um contrato completo.
Se não tiver certeza se um serviço de recuperação é legítimo, reporte os dados de contato à sua autoridade nacional de proteção ao consumidor e ao IC3 do FBI.
Perguntas frequentes
É possível recuperar cripto roubada após envenenamento de endereços?
Como os atacantes geram endereços que se parecem com o meu?
Quais informações preciso antes de contatar uma exchange ou as autoridades?
O envenenamento de endereços é igual a um exploit de contrato inteligente ou a um hack de carteira?
Como posso me proteger do envenenamento de endereços no futuro?
Perdeu fundos em um golpe de envenenamento de endereços?
A Recoveris realiza investigações profissionais on-chain e rastreamento de fundos. Obtenha uma avaliação inicial gratuita do seu caso.
Inicie sua avaliação de recuperaçãoTeste sua prontidão para recuperação
Responda 5 perguntas rápidas para ver quanto do seu caso é recuperável e quais evidências você precisa reunir primeiro.
Referências
- Chainalysis. "Anatomy of an Address Poisoning Scam." chainalysis.com/blog/address-poisoning-scam/
- TRM Labs. "Understanding Address Poisoning on TRON." trmlabs.com/resources/blog/understanding-address-poisoning-on-the-tron-blockchain
- Federal Bureau of Investigation. "FBI Warns of Cryptocurrency Token Impersonation Scam." fbi.gov
- Federal Bureau of Investigation / Internet Crime Complaint Center. "2025 Internet Crime Report." ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
- Lou, Pengcheng et al. (Carnegie Mellon University). "Blockchain Address Poisoning." USENIX Security '25. arxiv.org/html/2501.16681v1
- PYMNTS / Citi Analysts. "Citi Analysts Say Ethereum Transaction Trends Suggest Address Poisoning Scams." January 2026. pymnts.com
- The Block. "Crypto Trader Loses $50 Million in Address Poisoning Attack." December 2025. theblock.co
- The Block. "Victim of $71 Million Address Poisoning Attack Recovers Funds Following Negotiations." theblock.co
- MetaMask Support. "Address Poisoning Scams." support.metamask.io
- Ledger Academy. "What are address poisoning attacks in crypto and how to avoid them." ledger.com/academy