$50M USDT Perdidos em um Piscar de Olhos : Como o Envenenamento de Endereço Explorado um Erro Simples em Carteiras

Com um movimento errado provando-se extremamente custoso, um único deslize no espaço cripto levou a uma das maiores perdas on-chain de 2025. Um usuário enviou acidentalmente quase $50 milhões em USDT para um endereço fraudulento, destacando como um erro simples pode ter consequências enormes. A perda resultou de um ataque de envenenamento de endereço, uma tática onde golpistas enganam usuários para enviar fundos para carteiras maliciosas. Neste caso, o incidente mostra como a dependência da conveniência ao lidar com endereços de carteira pode ser extremamente cara.

Pequena Transferência de Teste Resulta em Perda de $50M USDT

Investigador on-chain Web3 Antivirus compartilhou no X que a vítima perdeu 49.999.950 USDT após copiar inadvertidamente um endereço de carteira fraudulento do histórico de transações. O usuário realizou primeiro uma pequena transferência de teste para o que acreditava ser o endereço correto antes de enviar os $50 milhões completos minutos depois. Embora a transferência inicial parecesse inofensiva, ela preparou o cenário para uma perda significativa.

EyeOnChain, um analista on-chain, explicou que o golpe aproveitou a transação inicial de teste de $50 USDT. O atacante então criou uma carteira quase idêntica à original, mantendo os primeiros e últimos caracteres iguais aproveitando as interfaces das carteiras que ocultam a parte do meio com “…”. Quando a vítima tentou enviar os 49.999.950 USDT restantes, copiou o endereço do histórico de transações em vez de verificá-lo manualmente. Confiando nos caracteres iniciais e finais familiares, o usuário enviou sem saber o valor total para a carteira do golpista. Essa sequência de eventos fez desse um dos maiores prejuízos de golpe on-chain registrados neste ano.

em 30 minutos, eles trocaram 50 milhões de USDT por DAI usando MetaMask Swap, converteram todo o DAI em 16.690 ETH, e depositaram 16.680 ETH no Tornado Cash, escondendo efetivamente os ativos.

Resposta da Vítima e a Mecânica do Envenenamento de Endereço

Após a perda, a vítima postou um alerta on-chain pedindo que 98% dos fundos roubados fossem devolvidos em 48 horas, incluindo avisos legais e oferecendo uma recompensa de $1 milhão para white-hat se o atacante devolvesse o valor total. A análise da carteira mostrou que ela estava ativa há cerca de dois anos e lidava principalmente com transferências USDT, com os fundos tendo sido retirados da Binance pouco antes do incidente.

Tipicamente, o envenenamento de endereço não explora falhas em contratos inteligentes ou criptografia. Em vez disso, ele se aproveita de comportamentos comuns dos usuários. Como, então, ele ocorre?

• O golpista inicia uma pequena transferência ou de pó usando uma carteira que se assemelha muito ao destinatário pretendido, fazendo parecer legítima à primeira vista.
• Esse endereço fraudulento então aparece no histórico de transações da vítima, misturando-se com outras transações passadas e criando uma falsa sensação de segurança.
• Quando o usuário copia esse endereço do histórico para enviar fundos, transfere inadvertidamente os ativos para o atacante em vez do destinatário correto.

Os riscos ilustrados por casos como este refletem um aumento mais amplo nos ataques no espaço cripto. O ano de 2025 tem sido particularmente ativo para atores maliciosos que visam plataformas cripto. Cointribune reportou que ataques em todo o setor resultaram em $3,4 bilhões em perdas, marcando o maior total anual desde 2022. A maior parte dos danos veio de um pequeno número de ataques principais, com somente três invasões compondo 69% do valor total roubado.