← Voltar aos artigos

Wallet Drainers: O Que São e Como Evitar o Drenagem das Suas Criptomoedas

A ameaça mais destrutiva no ecossistema Web3 atual não exige que você compartilhe sua frase semente ou senhas. Os wallet drainers (esvaziadores de carteiras) são sequências de código malicioso integradas em sites que, com uma única assinatura sua, automatizam a transferência de todos os ativos da sua carteira para endereços controlados por invasores.

Segundo relatórios recentes de inteligência da TRM Labs, os ataques de phishing na Web3 roubaram centenas de milhões de dólares anualmente. Os especialistas em análise forense blockchain da Recoveris alertam que essa tendência se acelerou drasticamente devido à integração de golpes impulsionados por IA (AI-enabled scams), que geram sites clonados e campanhas de engenharia social quase impossíveis de distinguir à primeira vista.

1. O mecanismo técnico por trás de um Wallet Drainer

Um ataque de drenagem de carteira não se baseia em violar a criptografia subjacente da rede, mas em enganar o usuário para que autorize transações prejudiciais explorando funções legítimas dos contratos inteligentes. Esses ataques são divididos em fases muito específicas:

• Atração inicial por IA: As vítimas são direcionadas a um site fraudulento por meio de campanhas de phishing em redes sociais, anúncios pagos em mecanismos de busca ou airdrops de tokens falsos. Hoje em dia, os invasores usam inteligência artificial para automatizar a criação de perfis falsos e clonar interfaces de projetos legítimos em tempo real.
• Conexão da carteira: O site malicioso simula ser uma plataforma legítima (uma exchange descentralizada, um mercado de NFTs ou um portal de reivindicação de airdrops). Solicita à vítima que conecte sua carteira Web3, como MetaMask, Trust Wallet ou Phantom.
• Avaliação de ativos e ofuscação: Imediatamente após conectar a carteira, um script oculto escaneia os saldos da vítima. O drainer prioriza os tokens de maior valor e os NFTs mais líquidos, calculando as taxas de gas necessárias para o roubo.
• Assinatura maliciosa avançada: O usuário recebe uma solicitação para interagir com a plataforma sob falsas premissas, como "Verificar carteira". Ao clicar em aprovar, na verdade está assinando uma transação crítica. Os invasores modernos usam métodos como setApprovalForAll, assinaturas eth_sign cegas ou abusos do padrão Permit2 para contornar os alertas de segurança tradicionais.
• Execução e esvaziamento (Bypass de CREATE2): Uma vez concedida a permissão, os contratos automatizados transferem todos os ativos. Recentemente, os analistas da Recoveris detectaram o uso do opcode CREATE2, que permite aos golpistas gerar endereços temporários que evitam as listas negras de segurança antes de esvaziar os fundos.

2. Evolução da ameaça: Drainer-as-a-Service (DaaS)

O problema da recuperação de criptomoedas tornou-se mais complexo devido à consolidação do modelo de Drainer-as-a-Service (DaaS). Grupos de desenvolvedores maliciosos alugam sua infraestrutura de drenagem para outros golpistas em troca de uma porcentagem dos fundos roubados, geralmente entre 20% e 30%.

Isso permite que pessoas sem conhecimentos técnicos avançados possam lançar campanhas massivas. Esses serviços na dark web incluem painéis de controle em tempo real, ofuscação de código dinâmica e módulos de evasão de extensões de segurança. Quando os fundos são roubados, os invasores costumam usar misturadores (mixers) ou pontes cruzadas (cross-chain bridges) para lavar os ativos, o que torna indispensável a intervenção de especialistas em rastreamento de fundos.

3. Como detectar, neutralizar e rastrear a ameaça

A defesa contra os wallet drainers exige ceticismo ativo. No entanto, se o ataque já ocorreu, a metodologia BIMS (Blockchain Intelligence & Monitoring System) usada pelos investigadores da Recoveris permite mapear as transações ilícitas e coordenar com as exchanges para congelar os ativos. Para evitar chegar a esse ponto, siga estas regras fundamentais:

1. Leia as assinaturas, não apenas clique: Antes de confirmar qualquer transação, leia atentamente as permissões. Se um site pedir para assinar uma transação ilegível ou solicitar acesso ilimitado aos seus tokens (Permissões ilimitadas), pare imediatamente.
2. Desconfie do FOMO e da urgência: Os invasores dependem de que você aja rápido por medo de perder uma oportunidade. Reivindicar um airdrop gratuito que expira em minutos é uma das armadilhas de engenharia social mais comuns.
3. Verifique a URL com rigor forense: Um único caractere modificado é suficiente para direcioná-lo a um drainer. Use favoritos para acessar suas plataformas de finanças descentralizadas (DeFi) e nunca confie cegamente nos resultados patrocinados do Google ou redes sociais.
4. Use extensões de segurança Web3: Ferramentas como Pocket Universe ou Revoke.cash atuam como simuladores de transações. Essas extensões interceptam a assinatura e mostram em linguagem clara quais ativos sairão da sua conta.
5. Isole os riscos com carteiras de queima (burner wallets): Nunca conecte a carteira onde você guarda suas economias principais (cold wallet) a sites novos. Use uma carteira secundária (burner wallet) com fundos mínimos para interagir com aplicativos descentralizados ou testar novos protocolos.

Proteger seus ativos digitais implica compreender que sua assinatura criptográfica tem consequências irreversíveis. A educação preventiva, combinada com o apoio de especialistas em análise forense blockchain, constitui a melhor defesa contra o ecossistema criminoso da Web3.