Utilizador de Ethereum perde $440.358 em USDC após exploração maliciosa de permissões

Fonte: CryptoNewsNet
Título original: Utilizador de Ethereum perde $440.358 em USDC após exploração maliciosa de “permit”
Ligação original:

Um utilizador de criptomoedas perdeu $440.358 em USD Coin [image]USDC( na Ethereum após, sem saber, aprovar uma assinatura “permit” fraudulenta que permitiu a um atacante esvaziar a sua carteira, conforme confirmado pela plataforma de segurança Web3 Scam Sniffer.

A vítima, que utilizava o endereço de carteira 0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605, aprovou uma transação maliciosa que concedeu ao atacante plenos direitos de gasto. A Scam Sniffer detetou que os fundos foram enviados para dois endereços distintos rotulados como 0xbb4…666f682aF e 0x6a3aF6…d8F9a00B.

Atacante de phishing autoriza transferência de )USDC( da vítima

De acordo com dados da blockchain do Etherscan, o atacante recorreu a uma transação “permit”, um tipo de assinatura que transfere tokens sem exigir confirmação manual do proprietário. Mesmo que nenhum dinheiro pareça ser movimentado no momento da assinatura, o atacante pode posteriormente preencher o valor e levantá-lo sem consentimento adicional, como aconteceu neste caso, em que $440.358 foram preenchidos.

Após a aprovação, o atacante invocou várias chamadas “transferFrom” usando o contrato FiatTokenProxy, que gere transações de USDC. Por volta das 10h UTC de segunda-feira, foram enviados 22.000 USDC para uma conta “Fake Phishing”, $66.06K para o endereço 0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF, e $352,3K para 0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B em simultâneo.

A Scam Sniffer também reportou outro incidente de phishing a 7 de novembro, quando outro utilizador perdeu $1,22 milhões em USDC e um token PlaUSDT0 apenas 30 minutos após assinar mensagens “permit” fraudulentas.

O relatório de phishing de novembro da empresa de segurança Web3 mostra que as perdas totais atingiram $7,77 milhões, um aumento de 1137% face aos $3,28 milhões de outubro. Apesar do aumento das perdas, o número de vítimas diminuiu 42%, tendo novembro registado 6.344 utilizadores afetados, menos 42% comparativamente aos 10.935 do mês anterior.

Há quase uma semana, alguns hackers usaram “address poisoning” para roubar 1,1 milhão de USDT na Ethereum. Segundo Kyle Soska, CIO da Ramiel Capital, o grupo monitorizou pequenas transferências de saída de carteiras de baleias e utilizou sistemas com GPU para gerar endereços quase idênticos.

“O atacante, neste caso, envia uma pequena transação de tether à vítima em cadeia para que o endereço semelhante apareça na lista de atividade recente da carteira Web3 da vítima. A vítima, depois, escolhe acidentalmente esse endereço para enviar uma quantia avultada,” explicou Soska.

Época de compras inundada de burlas de personificação

A escalada de phishing relacionado com criptomoedas ocorre na sequência de um aumento de burlas digitais durante a época de compras festivas. A Darktrace, empresa de cibersegurança que acompanha tendências globais de phishing, reportou um aumento de 201% em burlas de “personificação” de grandes retalhistas norte-americanos na semana anterior ao Dia de Ação de Graças, em comparação com a mesma semana de outubro.

Os emails que se faziam passar por Macy’s, Walmart e Target aumentaram 54% numa única semana, mas a Amazon foi a empresa mais alvo de personificação, representando 80% das tentativas de phishing, mais do que as marcas Apple, Alibaba e Netflix.

Só no início de novembro, a Kaspersky detetou 146.535 emails de spam a referenciar descontos sazonais, incluindo 2.572 relacionados com campanhas do Dia dos Solteiros. Muitas destas mensagens reutilizavam modelos comprovados de anos anteriores, com burlões a imitar Amazon, Walmart e Alibaba para anunciar vendas de acesso antecipado que redirecionavam os utilizadores para páginas de checkout falsas a fim de roubar credenciais e executar aprovações maliciosas.

Dados da Kaspersky Security Network )KSN$440K mostram que, entre janeiro e outubro, a empresa bloqueou 6.394.854 tentativas de phishing direcionadas a lojas online, bancos e sistemas de pagamento. Quase metade destas tentativas, 48,2%, teve como alvo específico os compradores online.

No mesmo período, a Kaspersky identificou mais de 20 milhões de ataques a plataformas de jogos, incluindo 18,56 milhões a abusar do Discord, que a empresa refere ser um ponto de distribuição de ficheiros maliciosos disfarçados de software de jogos.

As plataformas de entretenimento também foram fortemente visadas, com 801.148 tentativas de phishing com tema Netflix e 576.873 relacionadas com Spotify registadas em 2025. A empresa documentou ainda 2.054.336 tentativas de phishing a personificar plataformas de jogos Steam, PlayStation e Xbox.

Além disso, a Kaspersky registou 20.188.897 tentativas de infeção por malware disfarçado de “software comum”, sendo o Discord responsável pela maioria com 18.556.566 deteções, mais de 14 vezes superior aos incidentes reportados no ano anterior.