Quando os Contratos Inteligentes se Tornam Armas: $10 Milhões Desviados por Violação de Phishing

O mundo das criptomoedas enfrentou mais um aviso em março, quando o auditor de segurança CertiK rastreou $10 milhões em ETH movendo-se para Tornado Cash — um serviço de mistura de criptomoedas notório por lavar ativos roubados. Isto não foi um simples hack de carteira. O atacante conseguiu usar de forma eficaz uma função aparentemente inocente de um contrato inteligente para esvaziar fundos de um investidor desavisado.

Como Aprovações de Tokens se Transformam em Armadilhas

Aqui é onde fica perigoso: a vítima autorizou inadvertidamente uma transação de “Aumentar Permissão”. Esta função, incorporada nos padrões de tokens ERC-20, foi criada para conveniência — permitindo que contratos inteligentes gastem seus tokens com sua permissão. Mas neste caso, o atacante a explorou brilhantemente. Em vez de roubar fundos diretamente, eles ganharam a capacidade de aprovar e transferir ativos à vontade. É como entregar um cheque em branco a alguém e esperar que ele não o descontar.

A Scam Sniffer, uma plataforma de detecção de fraudes em blockchain, identificou exatamente esse mecanismo em ação. O atacante converteu ativos roubados em 13.785 ETH (, avaliados em aproximadamente $40,6 milhões ao preço atual de cerca de $2.950 por token), e 1,64 milhão de DAI, roteando cuidadosamente partes através de exchanges para esconder suas pistas.

Os Números Contam uma História Séria

Este incidente está ligado a uma campanha de phishing maior de setembro de 2023, que visou uma baleia de criptomoedas. A vítima perdeu $24 milhões em ETH apostados através do serviço de staking de liquidez Rocket Pool durante aquele ataque inicial. A exploração ocorreu em duas ondas: primeiro removendo 9.579 stETH, depois roubando 4.851 rETH da mesma conta.

Mas o incidente de setembro foi apenas um entre muitos. Dados recentes mostram que, só em fevereiro, quase $47 milhões evaporaram através de golpes relacionados a phishing — com 78% desses roubos ocorrendo na Ethereum, e tokens ERC-20 representando 86% dos fundos roubados. O padrão é claro: aprovações de tokens tornaram-se a porta dos fundos preferida dos atacantes.

Quando Contratos Antigos se Tornam Vetores de Ataque

Março trouxe mais problemas. Um contrato inteligente legado, anteriormente usado pela exchange Dolomite, foi comprometido, esvaziando $1,8 milhão de usuários que haviam concedido direitos de aprovação anteriormente. A equipe da Dolomite correu para emitir um aviso de revogação de emergência, pedindo aos usuários que retirassem o consentimento do endereço vulnerável do contrato.

O incidente do Layerswap revelou outra camada de vulnerabilidade. Quando seu site foi comprometido por phishing, aproximadamente 50 usuários perderam ativos no valor de $100.000 antes que a equipe e o provedor de domínio conseguissem conter a brecha. Embora o Layerswap tenha se comprometido a reembolsar integralmente e oferecer compensação, o dano já estava feito.

O Panorama Geral: Educação Encontra Tecnologia

Estes não são incidentes isolados — são sintomas de um problema sistêmico. As aprovações de tokens democratizaram o acesso à funcionalidade do blockchain, mas também criaram um ponto cego perigoso. Os usuários frequentemente aprovam contratos sem entender exatamente quais permissões estão concedendo. A lacuna de sofisticação técnica entre usuários comuns e atacantes continua a se ampliar.

Empresas de segurança como CertiK e PeckShield estão na linha de defesa, analisando transações em blockchain e sinalizando movimentos suspeitos. Mas a detecção após o fato não evita perdas. O que é necessário é uma mudança na forma como os usuários interagem com contratos inteligentes: verificando cada aprovação, entendendo o que cada permissão implica e mantendo vigilância nas interações com carteiras.

A comunidade de criptomoedas deve investir em melhores ferramentas, interfaces de usuário/experiência mais claras para processos de aprovação e campanhas de educação consistentes. Até que a lacuna entre a realidade técnica e a compreensão do usuário seja reduzida, ataques de phishing que exploram aprovações de tokens continuarão sendo uma das ameaças mais persistentes do setor.