Golpe do envenenamento de endereço: como funciona e como evitá-lo
Imagine enviar criptomoedas como de costume. Você abre sua carteira, dá uma olhada no histórico de transações, copia o endereço que já usou inúmeras vezes, cola e clica em enviar. A transferência é confirmada em segundos. O problema é que o dinheiro acabou nas mãos de um desconhecido que usou poder computacional real para criar um endereço quase idêntico ao seu, e o blockchain fez exatamente o que você mandou. Em resumo, isso é envenenamento de endereço: sem chaves roubadas, sem malware, apenas uma versão falsa sua inserida em seus próprios registros. Este guia explica como o golpe funciona, as três formas que ele assume, quanto as pessoas realmente perdem e os poucos hábitos que você pode adotar para evitar golpes de envenenamento de endereço antes de enviar fundos para o lugar errado.
O que é, de fato, o envenenamento de endereço?
O envenenamento de endereço é um ataque de phishing direcionado à sua memória e à sua tela, não à criptografia subjacente. Suas chaves privadas nunca são acessadas. Nada é extraído, descriptografado ou hackeado. Em vez disso, o golpe se aproveita de um hábito humano comum: um endereço de blockchain é uma longa e ilegível sequência de letras e números (algo como 0x4a3f...c91d), e quase ninguém lê tudo. Conferimos os quatro primeiros caracteres, os quatro últimos, damos de ombros e seguimos em frente.
Esse gesto de encolher de ombros representa toda a vulnerabilidade. Crie um endereço que compartilhe esses caracteres visíveis, mostre-o a alguém que já confia nele e você terá uma boa chance de receber um pagamento por engano. A parte cruel é o que vem depois. As transferências on-chain são definitivas, então não há banco para contatar nem taxa para reverter; no momento em que você confirma, o dinheiro pertence a outra pessoa. Seguros e estornos, as redes de segurança que socorrem as pessoas no sistema financeiro tradicional, simplesmente não existem aqui. O envenenamento de endereços não quebra o blockchain. Ele quebra sua atenção e, em seguida, permite que a blockchain faça exatamente o que sua atenção não conseguiu fazer.
Como funciona o envenenamento de endereços em criptomoedas.
Embora o resultado pareça mágico, o mecanismo é prosaico. Um ataque bem-sucedido de envenenamento de endereço ocorre em três etapas que qualquer pessoa que estude a cadeia pode reproduzir.
Passo 1: gerar um endereço semelhante
Primeiro, o atacante escolhe um alvo, geralmente um endereço que movimenta dinheiro com frequência, e então executa um gerador de endereços personalizados. O software examina minuciosamente os pares de chaves candidatos até encontrar um cujo endereço comece e termine com os mesmos caracteres de um endereço para o qual a vítima envia dinheiro regularmente. Encontrar uma correspondência com alguns caracteres é barato, e essa é a parte preocupante: após a atualização Fusaka do Ethereum reduzir as taxas, uma análise constatou que atacantes implantaram três milhões de transferências de "dust" (transferências de "poeira") por aproximadamente US$ 5.175 no total. A esses preços, o envenenamento de endereços é executado como uma fábrica, não como um assalto.
Passo 2: envenenando seu histórico de transações
Em seguida, o atacante insere esse endereço falso em seus registros, de forma que ele apareça como algo com o qual você já interagiu. Ele pode enviar uma pequena quantidade de um token verdadeiro, acionar uma transferência de valor zero ou enviar um token falso. Seja qual for o método utilizado, o objetivo é o mesmo: fazer com que o endereço falso fique registrado em seu histórico ao lado do endereço verdadeiro, com os mesmos caracteres (primeiro e último).
Passo 3: a armadilha do copiar e colar
Então eles esperam. Na próxima vez que você for pagar o destinatário de costume, você opta pela praticidade e copia o endereço diretamente do seu histórico de transações recentes. Os caracteres visíveis correspondem, nada parece suspeito e você envia. Se fizer isso no piloto automático, você pode acidentalmente enviar tokens para o endereço falso em vez do endereço correto. O blockchain executa a transferência corretamente, mas para a pessoa errada. É por isso que o envenenamento de endereço às vezes é chamado de armadilha de copiar e colar, e por que funciona tanto com usuários experientes e cuidadosos quanto com iniciantes. O que o torna tão eficaz é o momento — a entrada de envenenamento geralmente é inserida minutos após uma transação real, de modo que o endereço falso fica exatamente onde seus olhos esperam encontrar o endereço genuíno. Você não está sendo descuidado, mas sim eficiente, e a eficiência é exatamente o que o atacante espera.
Os três tipos de envenenamento de endereço
Um estudo acadêmico de 2025 da Carnegie Mellon classificou ataques do mundo real em três formas. Elas diferem na maneira como o endereço falso é implantado, o que altera o que você deve desconfiar em seu histórico.
| Tipo | Como o endereço falso é plantado | O sinal |
|---|---|---|
| Transferência minúscula (de poeira) | Uma quantia simbólica real, porém minúscula, enviada do endereço falso. | Uma quantia insignificante e inesperada recebida |
| Transferência de valor zero | Uma transferência de "0" tokens que ainda registra um evento de Transferência no seu histórico. | Exibe seu próprio endereço como remetente, valor 0. |
| Ficha falsificada | Um contrato falso que imita um token real (um USDT ou USDC falsificado) | O nome do token parece correto, mas o endereço do contrato não. |
Das três variantes, a transferência de valor zero é a que mais confunde as pessoas, pois pode parecer vir do seu próprio endereço. Isso é possível porque alguns contratos de tokens permitem que qualquer pessoa emita um evento de "Transferência" para zero tokens sem a permissão do proprietário, então o atacante cria um script para uma entrada que sua carteira exibe fielmente. Historicamente, a BNB Smart Chain teve muito mais tentativas do que o Ethereum devido às taxas mais baixas, mas o corte de taxas Fusaka reverteu essa situação, transferindo a maior parte da atividade para o Ethereum.
Quanto dinheiro é roubado por envenenamento de endereço?
O envenenamento de endereços pode parecer um erro de arredondamento até que você faça as contas. Os números abaixo estão desatualizados propositalmente, porque neste nicho de criptomoedas os números mudam rapidamente e os totais do ano passado subestimam bastante o problema.
| Caso ou medida | Quantia | Quando | Resultado |
|---|---|---|---|
| Estudo Carnegie Mellon / USENIX (ETH + BSC) | 270 milhões de tentativas, US$ 83,8 milhões perdidos, 17 milhões de vítimas. | Julho de 2022 a junho de 2024 | O maior estudo já realizado. |
| Baleia de Bitcoin embrulhada | Aproximadamente US$ 68 milhões foram enviados para uma empresa semelhante. | Maio de 2024 | Fundos devolvidos; agressor embolsou aproximadamente US$ 1,49 milhão. |
| Vítima única de USDT | US$ 49,9 milhões | Dezembro de 2025 | Lavado através do Tornado Cash |
| Perdas com Ethereum (ScamSniffer) | US$ 62 milhões | Dezembro de 2025 a janeiro de 2026 | Total de dois meses |
Vale a pena analisar alguns desses casos. A vítima do golpe com bitcoins falsificados, que quase perdeu cerca de US$ 68 milhões em maio de 2024 , conseguiu recuperar os fundos porque o atacante (após lavagem de dinheiro e negociação) devolveu a maior parte e ficou com aproximadamente US$ 1,49 milhão; investigadores posteriormente ligaram essa única campanha a 82.031 endereços falsificados. Quase ninguém tem essa sorte. A vítima do golpe com USDT, que perdeu US$ 49,9 milhões em dezembro de 2025, viu o dinheiro desaparecer diretamente para a Tornado Cash, sem qualquer possibilidade de recuperação ou recurso.
A tendência é a parte realmente preocupante. Após a atualização Fusaka, que reduziu as taxas do Ethereum, as tentativas mensais de envenenamento da rede aumentaram mais de cinco vezes e, em janeiro de 2026, o Citi alertou que o recorde de 2,8 milhões de transações diárias do Ethereum era impulsionado principalmente por spam de envenenamento, e não por uso econômico real. No início de 2020, as estimativas do setor sobre as perdas acumuladas chegaram a cerca de meio bilhão de dólares. O que me incomoda não é a engenhosidade do golpe, mas o preço: alguns milhares de dólares em taxas financiam milhões de tentativas, e o atacante precisa apenas de uma delas para ter sucesso.
Envenenamento vs. falsificação vs. envenenamento de IP
O termo "envenenamento" é usado para se referir a ataques muito diferentes, por isso é útil diferenciá-los. Envenenamento de endereço, o assunto aqui, é o golpe com criptomoedas que insere um endereço falso no seu histórico. Falsificação de endereço é um termo mais abrangente e geralmente significa falsificar a identidade do remetente de uma mensagem ou transação para se passar por outra pessoa. E "envenenamento de IP", que as pessoas às vezes pesquisam por engano, refere-se a ataques de rede como envenenamento de ARP ou cache DNS, que não têm nada a ver com carteiras de criptomoedas . Mesmo verbo, três mundos distintos.
Como se proteger do envenenamento por endereço
Quase todas as defesas contra envenenamento de endereço se resumem a uma regra: nunca confie no seu próprio histórico de transações e nunca copie endereços diretamente dele. O endereço falso está lá justamente porque é onde você o procura. Adote alguns hábitos em torno dessa ideia e o ataque praticamente deixará de funcionar.
Verifique o endereço completo, nunca apenas o nome e o sobrenome.
Verifique a sequência inteira, ou pelo menos um trecho generoso do meio, bem como das extremidades. O atacante pode facilmente encontrar correspondências nos primeiros e últimos caracteres, mas encontrar correspondências em uma sequência longa no meio é muito mais difícil. A maioria das carteiras modernas segue o padrão de checksum EIP-55, e as convenções de exibição mais recentes destacam mais partes do endereço, facilitando a identificação de incompatibilidades.
Use uma agenda de contatos, nunca copie do histórico.
Salve o endereço de cada destinatário uma única vez, após verificá-lo com uma fonte confiável, e a partir daí envie as transferências usando esse contato salvo, em vez de copiar endereços de transações recentes. Carteiras como a MetaMask chamam isso de Contatos; o princípio é o mesmo em todas elas. O contato salvo não pode ser corrompido por uma transferência recebida, que é exatamente o objetivo.
Transações de teste, telas de hardware e listas de permissão de pagamento.
Para valores altos, envie primeiro um pequeno valor de teste e confirme se o endereço do destinatário está correto antes de enviar o restante; os poucos centavos em taxas são um seguro barato contra um erro milionário. Carteiras de hardware também ajudam nesse sentido, pois mostram o destino real em uma tela separada que um malware no seu computador não consegue alterar silenciosamente. Empresas que realizam pagamentos frequentes em criptomoedas estão especialmente vulneráveis, já que copiam e colam endereços o dia todo e muitas vezes delegam a tarefa a funcionários que podem nunca ter ouvido falar em envenenamento de endereços. Portanto, restringir os pagamentos a uma lista de permissões pré-aprovada (um conjunto fixo de destinos verificados dos quais o sistema não se desviará) elimina completamente a possibilidade de erro humano. Se você aceita pagamentos em criptomoedas por meio de um gateway, verifique se ele já fixa os endereços de saque exatamente por esse motivo.
O que as carteiras e corretoras estão fazendo
As ferramentas estão evoluindo, embora nenhuma delas substitua os hábitos mencionados acima. Exploradores de blocos como o Etherscan agora ocultam ou sinalizam transferências de valor zero para que não poluam seu histórico. O Ledger Live e o Trezor Suite filtram entradas suspeitas e, em março de 2026, a Trust Wallet implementou proteção automática contra envenenamento de endereços em 32 blockchains . As exchanges centralizadas também apresentam seu próprio risco, pois os usuários reutilizam o mesmo endereço de depósito repetidamente, portanto, uma entrada envenenada ali pode ser igualmente custosa. Nada disso é infalível — um atacante determinado ainda pode passar um novo endereço semelhante por um filtro que ainda não o tenha detectado — então as ferramentas oferecem margem de segurança, e não imunidade. Considere cada um desses recursos como uma rede de segurança adicional à sua própria cautela, nunca como um substituto para ela.
Quem é o alvo e qual a conclusão?
É tentador presumir que apenas os novatos desatentos caem nesse golpe, mas os dados mostram o contrário. As maiores perdas atingem remetentes e empresas experientes e ativos, exatamente as pessoas que movimentam fundos com frequência e que se acostumaram a colar dinheiro rapidamente, sem verificar duas vezes. O envenenamento de endereços é barato de executar, eficaz quando funciona e se baseia inteiramente em um hábito que quase todos nós compartilhamos, o que o torna um golpe tão duradouro. A conscientização é realmente a principal solução, porque, uma vez que você sabe que a armadilha existe, o simples ato de verificar um endereço completo a desativa. A verdadeira questão não é se você entende o golpe. É se você ainda o detectaria às duas da manhã, no seu celular, pagando a alguém para quem já pagou centenas de vezes.
