$24M Desapareceu em Minutos: Veja Como a Baleia de Phishing Foi Esvaziada

Um tubarão de criptomoedas aprendeu da maneira difícil por que nunca se deve clicar em links aleatórios. Em setembro de 2023, alguém perdeu $24 milhão através de um ataque de phishing na plataforma de staking Rocket Pool — e agora, o hacker moveu $10 milhão em ETH para Tornado Cash, provavelmente preparando-se para sacar.

O que realmente aconteceu

O atacante usou um truque clássico de engenharia social: conseguiu que a vítima autorizasse uma transação de “Aumentar Permissão”. Parece inocente, certo? Mas aqui está o truque — essa permissão basicamente deu ao hacker um cheque em branco para esvaziar qualquer token ERC-20 daquela carteira.

Em duas ondas, o atacante siphonou:

• 9.579 stETH (Ethereum apostado)
• 4.851 rETH (tokens de recibo do Rocket Pool)

Dano total: (milhão.

O rastro do dinheiro

Detetives de blockchain da PeckShield rastrearam os fundos trocados por 13.785 ETH e 1,64 milhões de DAI. Os )milhão em ETH acabaram de chegar ao Tornado Cash, um serviço de mistura, em 21 de março — uma movimentação clássica de lavagem de dinheiro para esconder o rastro da transação.

Isso não é um caso isolado. Só em fevereiro, golpes de phishing drenaram quase (milhão de usuários de criptomoedas, sendo 78% em Ethereum e 86% em tokens ERC-20.

O verdadeiro problema: Aprovações de tokens são perigosas

Aqui está o que a maioria das pessoas não percebe: quando você interage com um protocolo DeFi ou cria um NFT, muitas vezes está assinando um contrato inteligente que diz “este endereço pode mover meus tokens”. Se esse contrato ou site for comprometido, você está ferrado.

Poucos dias após esse hack, outra vítima foi atingida através de um contrato antigo da exchange Dolomite — $1,8 milhão drenados de usuários que haviam aprovado esse endereço anteriormente. A Dolomite teve que agir rapidamente, pedindo aos usuários que revogassem essas permissões o quanto antes.

O lado positivo

Nem todos os ataques têm sucesso em grande escala. Quando o site da Layerswap foi comprometido em 20 de março, seu provedor de DNS detectou rapidamente, e apenas $100.000 foram siphonados, afetando cerca de 50 usuários. Eles estão reembolsando todos e oferecendo compensação adicional.

O que você realmente precisa fazer

1. Nunca aprove tokens ilimitados — a maioria dos protocolos permite definir um limite personalizado
2. Revogue permissões antigas — que você não usa mais )verifique no Etherscan ou revoking.cash$24
3. Verifique URLs antes de conectar — sites de phishing parecem idênticos aos reais
4. Pense duas vezes antes de assinar contratos — especialmente por mensagens no Discord ou links aleatórios

As empresas de segurança de criptomoedas e a comunidade precisam de sistemas de alerta precoce melhores, mas, honestamente? A medida mais segura é a paranoia. Considere todo link como falso até que seja provado o contrário.