O que é um "dreno de carteira"? Como funcionam os "drenos de criptomoedas"?
Você não precisa entregar sua frase mnemônica para perder tudo. Com um aplicativo que drena carteiras, você perde tudo clicando em "aprovar". Imagine um site sofisticado oferecendo um airdrop gratuito. Você conecta sua carteira, uma caixa de assinatura aparece, você toca em confirmar porque é isso que todo aplicativo descentralizado pede, e segundos depois suas criptomoedas e NFTs desaparecem. Nenhuma senha foi roubada. Nenhum dispositivo foi hackeado. Você mesmo autorizou o roubo, geralmente com uma assinatura que não custava nada e parecia completamente inofensiva. Esse é o truque, e funcionou tão bem que foram roubados US$ 494 milhões só em 2024.
Este guia explica o que é um "golpista de carteira", o momento exato em que o roubo acontece, como os criminosos transformaram isso em um serviço pago, quanto eles levam e os dois hábitos que impedem quase todos eles.
O que é um "dreno de carteira" e por que funciona
Um "drenador de carteira" não é um malware que fica silenciosamente instalado no seu computador. Trata-se de um contrato inteligente ou script malicioso, um dos aplicativos descentralizados (dApps) maliciosos que agora assolam a Web3, disfarçado de amigável, que engana você para que conceda acesso e, em seguida, rouba seus ativos instantaneamente. Os drenadores de carteira atuam quase que exclusivamente em finanças descentralizadas, ou DeFi — onde o dinheiro é movimentado por meio de uma assinatura em vez de um login, e suas criptomoedas e outros criptoativos são exatamente o alvo deles. O drenador nunca tenta adivinhar sua chave privada nem quebra nenhuma criptografia. Ele simplesmente faz você assinar uma transação ou uma aprovação que concede a um contrato inteligente desconhecido permissão para acessar seus fundos.
Uma vez concedida essa permissão, o resto é automático. O invasor lê sua carteira para encontrar seus tokens mais valiosos, NFTs e outros ativos digitais, cria a transferência e move tudo para um endereço controlado pelo atacante, frequentemente em um único bloco. Como a solicitação se disfarça de uma ação normal da Web3, a maioria das vítimas não percebe o que aconteceu até que a carteira já esteja vazia. O perigo não é um vírus. É uma permissão que você concede sem ler.
Como um dispositivo que esvazia carteiras esvazia sua carteira
Cada ralo segue o mesmo padrão: isca, assinatura, varredura. O passo do meio é onde o dinheiro é perdido, e é o passo que quase ninguém observa com atenção.
A isca
Primeiro, você precisa cair na armadilha. Golpistas espalham airdrops falsos, emissões de NFTs e reivindicações de tokens, e depois os promovem intensamente. Eles sequestram contas verificadas em plataformas como X e publicam links de contas roubadas de redes sociais, enviam mensagens no Telegram e Discord e compram anúncios patrocinados em mecanismos de busca para que o site falso apareça acima do verdadeiro. O argumento é sempre a urgência, uma quantidade limitada ou uma reivindicação que expira, porque a engenharia social funciona melhor quando você não tem tempo para pensar. Ao contrário do phishing tradicional, que busca senhas ou credenciais de login, um golpista não precisa de seus segredos. Ele só precisa enganar os usuários para que realizem uma única ação: conectar suas carteiras ao site falso e aprovar uma única solicitação. Essa facilidade é exatamente o motivo pelo qual os golpistas se espalham tão rapidamente e por que até mesmo pessoas cautelosas caem na armadilha em um momento de pressa. Ao clicar, você chega a um clone que se parece exatamente com um projeto confiável, pedindo que você conecte sua carteira.
A armadilha é a marca registrada.
Esta é a parte que importa. Ao aprovar, você não está "fazendo login" — você está assinando uma permissão específica, e algumas delas são devastadoras. Uma chamada `approve()` para um token ERC-20 pode conceder uma permissão ilimitada, permitindo que um contrato gaste esse token para sempre. `setApprovalForAll` libera todos os NFTs de uma coleção de uma só vez. A mais perigosa é a assinatura offline Permit ou Permit2. Ela não custa gás. Aparece como uma mensagem simples, não como uma transação. E ainda assim autoriza uma transferência. Essa é a armadilha em que a maioria das pessoas cai direto: de acordo com uma análise da SlowMist , as assinaturas do tipo Permit representaram 56,7% das aprovações de phishing em 2024, justamente por não parecerem nada. Os atacantes também acompanham as atualizações, abusando de chamadas obscuras como `setOwner` e, logo após o lançamento do Pectra no Ethereum, da novíssima delegação EIP-7702.
O ralo
Assim que você assina, o programa que drena sua carteira tem tudo o que precisa, e não há uma segunda confirmação para te salvar. O objetivo é simples e brutal: roubar fundos antes que você reaja. Ele já mapeou seus ativos, então dispara a transferência e seus tokens saem em um único bloco. Transações na blockchain são definitivas. Sem banco para ligar, sem cobrança para reverter. Quando o airdrop "falha ao carregar", a transferência não autorizada já foi concluída na blockchain.
| O que lhe pedem para assinar | Como isso se parece para você | O que isso realmente concede |
|---|---|---|
| ERC-20 `approve()` | Aprovação de token de rotina | Gastos ilimitados desse token |
| `setApprovalForAll` | "Aprovar cobrança" | Controle de todos os NFTs nele contidos. |
| Licença / Licença 2 | Uma mensagem de assinatura sem gás | Direitos de transferência sem deixar rastros na blockchain até serem utilizados. |
| `setOwner` / EIP-7702 | Um estímulo desconhecido | Titularidade ou delegação da sua conta |
Serviço de Desentupimento (DaaS): Crime com um Painel de Controle
Os programas de drenagem de carteiras não se popularizaram porque os atacantes ficaram mais espertos. Eles se popularizaram porque alguém transformou a ferramenta em um produto e, com ela, transformou o roubo de carteiras em crime cibernético organizado com uma tabela de preços pública.
Como funciona o DaaS
No modelo de Drenagem como Serviço (Drainer-as-a-Service), um desenvolvedor cria e mantém o kit de drenagem de carteiras e o aluga para qualquer pessoa que queira executar uma campanha contra carteiras de criptomoedas. O afiliado, geralmente um agente de ameaças com pouca experiência, cuida do phishing. O kit cuida do roubo. Eles dividem o lucro, e essa divisão copia quase exatamente o roteiro de um ataque de ransomware: os desenvolvedores ficam com cerca de 20% de tudo o que é roubado, e os afiliados ficam com os outros 80%. Por essa porcentagem, o comprador recebe páginas de phishing prontas, um painel de controle, ferramentas de anonimato e, sim, suporte ao cliente de verdade. Um adolescente que não sabe escrever uma linha de código pode estar executando uma operação profissional na hora do almoço.
Inferno, Rosa e a porta giratória
Os kits de golpes mais populares mostram a escala do problema. O Inferno Drainer operou do final de 2022 ao final de 2023 e roubou aproximadamente US$ 87 milhões de mais de 137.000 vítimas, distribuídas em mais de 16.000 domínios de phishing que falsificavam pelo menos 100 marcas de criptomoedas. O Pink Drainer arrecadou cerca de US$ 85 milhões antes de seus operadores anunciarem a desistência. Observe o padrão. Uma equipe se aposenta, os cibercriminosos migram para o próximo kit, e o próprio Inferno retorna em uma versão "recarregada". Eliminar um operador não elimina o mercado — o mercado é o serviço, não o golpista.
Quanto os golpistas roubam das carteiras
Os totais são enormes, voláteis e fáceis de interpretar mal. Uma única campanha de esvaziamento de carteiras de criptomoedas pode levar mais dinheiro em uma única transação do que um ataque hacker completo a uma exchange, e os números anuais oscilam bastante.
A fonte mais confiável, o Scam Sniffer , contabiliza os valores ano a ano. As perdas atingiram cerca de US$ 295 milhões em 2023, afetando 324.000 vítimas, saltaram 67% para US$ 494 milhões em 2024 e, em seguida, caíram drasticamente para aproximadamente US$ 84 milhões em 2025. Essa queda pode parecer uma vitória, mas não é. Ela reflete principalmente uma menor atividade on-chain e rotatividade de kits, e os primeiros dados do 2026 já mostravam um aumento mensal acentuado. O maior prejuízo individual já registrado foi de US$ 55,47 milhões em DAI, perdidos de uma única vítima em 2024. Independentemente dos valores totais, as criptomoedas roubadas saem da mesma forma: são diluídas por mixers e exchanges descentralizadas em questão de minutos, e é por isso que quase nada é recuperado.
| Ano | Roubado por drenadores | Vítimas |
|---|---|---|
| 2023 | US$ 295,5 milhões | Mais de 324.000 |
| 2024 | US$ 494 milhões | 332.000 |
| 2025 | US$ 83,85 milhões | 106.106 |
E as vítimas não são todas iniciantes. Mark Cuban perdeu cerca de US$ 900.000 para um golpista. Até mesmo o cofundador do Ethereum, Vitalik Buterin, teve sua conta X invadida para promover uma falsa criação de moeda virtual que drenou aproximadamente US$ 700.000 de seus seguidores. Se isso acontecer com eles, a linha que separa o "eu jamais cairia nesse golpe" é mais tênue do que parece.
Sinais de alerta de um gasto que está drenando sua carteira
Os sinais de alerta de um golpista quase sempre giram em torno de uma exigência: assine isto, agora mesmo. Quando você os vir, pare e pense.
Fique atento a mensagens que solicitam uma quantidade ilimitada de tokens quando tudo o que você queria era uma única compra. Desconfie ainda mais de solicitações de assinatura que não cobram taxa de gás e exibem uma mensagem que você não consegue ler completamente. Essa é a clássica tática de "drenar seus recursos sem cobrar taxa de gás". Considere frases como "resgatar agora", "quantidade limitada" e contagens regressivas como táticas de pressão, não como sorte. Desconfie de qualquer link que apareça em uma mensagem direta ou em um grupo do Telegram. Nunca acesse um aplicativo descentralizado (dApp) por meio de um anúncio de busca patrocinado, onde golpistas costumam dar lances maiores que o projeto legítimo para conseguir a primeira posição. E sempre verifique o domínio exato, porque um domínio semelhante com uma letra trocada é a tática mais antiga e eficaz para sites fraudulentos.
Como proteger sua carteira de golpes
Você não precisa monitorar cada nova vulnerabilidade. Dois hábitos tediosos, por si só, bloqueiam quase todos os problemas.
Use uma carteira de hardware e um dispositivo descartável.
Mantenha a maior parte das suas criptomoedas em uma carteira de hardware. A chave permanece offline e cada transação exige um toque físico no dispositivo, impedindo que um site malicioso movimente qualquer coisa sem que você tenha o hardware em mãos. Em seguida, crie uma segunda carteira "descartável", quase vazia, para mineração, airdrops e qualquer aplicativo descentralizado (dApp) desconhecido. Se a carteira descartável for esvaziada, você perderá apenas o dinheiro do almoço, não suas economias. Conectar sua carteira principal a um site Web3 aleatório é o único hábito que mantém esse crime lucrativo.
Leia todas as assinaturas e revogue as antigas.
O segundo hábito é simplesmente ler o que você assina. Carteiras modernas e ferramentas de simulação explicam o que uma assinatura concede antes de você confirmar. Use-as e nunca assine sem ler uma mensagem que você não consegue entender. Depois, limpe tudo e revogue as aprovações que você não precisa mais. Uma ferramenta de revogação mostra todos os contratos que ainda podem gastar seus tokens e permite que você cancele aqueles que esqueceu, fechando portas que um invasor poderia explorar meses depois. Se um site parecer desconhecido, dê uma olhada no contrato dele em um explorador de blocos primeiro, porque um contrato totalmente novo, sem histórico, é uma configuração clássica. Aquela aprovação ilimitada que você clicou em 2021? Ainda está ativa até você cancelá-la.
O que fazer se você for surpreendido por um gasto inesperado?
Se isso acontecer, a velocidade é crucial. Trabalhe em ordem. Transfira imediatamente tudo o que o atacante ainda não tiver roubado para uma carteira nova e segura, pois eles costumam voltar para pegar o restante. Em seguida, revogue todas as permissões do endereço comprometido para que nenhuma permissão restante possa ser reutilizada. Considere essa carteira como perdida e pare de usá-la definitivamente. Documente os hashes das transações e denuncie os endereços a um serviço como Chainabuse ou Scam Sniffer, que mapeiam essa infraestrutura. E seja honesto consigo mesmo sobre a recuperação. As transferências on-chain são definitivas e os fundos roubados raramente são recuperados, então o verdadeiro objetivo é estancar o prejuízo rapidamente.
Um ladrão de carteiras precisa da sua assinatura, não das suas chaves.
Remova os painéis de controle e os nomes dos kits, e um ladrão de carteiras terá apenas uma arma: uma assinatura que você aprova. Ele não pode roubar sua chave privada, não pode quebrar a cadeia de segurança e não pode movimentar um centavo sequer até que você clique em confirmar. Essa também é a boa notícia: a contramedida é igualmente simples. Mantenha a maior parte dos seus dados em armazenamento offline, trate cada solicitação de "conectar carteira" como um estranho pedindo suas chaves e leia a permissão antes de assiná-la. Se fizer isso, uma indústria bilionária vai se deparar com um obstáculo intransponível. Portanto, da próxima vez que um serviço de mineração gratuito pedir que você assine algo, faça a si mesmo a única pergunta que importa: o que exatamente estou autorizando?
