Um utilizador de criptomoedas perdeu 50 milhões de dólares em USDT após cair num golpe de envenenamento de endereço numa exploração massiva onchain.
O roubo, detetado pela empresa de segurança Web3 Web3 Antivirus, ocorreu depois de o utilizador ter enviado uma transação de teste de 50 dólares para confirmar o endereço de destino antes de transferir o resto dos fundos.
A carregar…
Em poucos minutos, um burlão criou um endereço de carteira que se assemelhava muito ao destino, correspondendo aos primeiros e últimos caracteres, sabendo que a maioria das carteiras abrevia endereços e mostra apenas prefixos e sufixos.
O burlão então enviou à vítima uma pequena quantidade "dust" para envenenar o seu histórico de transações. Aparentemente acreditando que o endereço de destino era legítimo e devidamente introduzido, a vítima copiou o endereço do seu histórico de transações e acabou por enviar 49.999.950 dólares em USDT para o endereço do burlão.
Estas pequenas transações dust são frequentemente enviadas para endereços com grandes participações, envenenando históricos de transações numa tentativa de apanhar utilizadores em erros de copiar-colar, como este. Bots que conduzem estas transações lançam uma rede ampla, esperando por sucesso, que conseguiram neste caso.
Os dados da blockchain mostram que os fundos roubados foram então trocados por ether ETH$2.978,33 e movidos através de múltiplas carteiras. Vários endereços envolvidos interagiram desde então com o Tornado Cash, um misturador de criptomoedas sancionado, numa tentativa de ofuscar o rasto da transação.
Em resposta, a vítima publicou uma mensagem onchain exigindo a devolução de 98% dos fundos roubados no prazo de 48 horas. A mensagem, apoiada por ameaças legais, ofereceu ao atacante 1 milhão de dólares como recompensa white-hat se os ativos forem devolvidos na totalidade.
O não cumprimento, adverte a mensagem, desencadeará uma escalada legal e acusações criminais.
"Esta é a sua última oportunidade para resolver este assunto pacificamente", escreveu a vítima na mensagem. "Se não cumprir: vamos escalar o assunto através de canais legais internacionais de aplicação da lei."
O envenenamento de endereço não explora vulnerabilidades em código ou criptografia, mas em vez disso aproveita-se dos hábitos dos utilizadores, nomeadamente, a dependência na correspondência parcial de endereços e copiar-colar do histórico de transações.
Fonte: https://www.coindesk.com/web3/2025/12/20/crypto-user-loses-usd50-million-in-address-poisoning-scam
