Fraude de engenharia social atinge duramente os usuários de encriptação: revelando os bastidores de um esquema de 600 milhões de dólares e estratégias de resposta
Esquema de engenharia social mira usuários de Ativos de criptografia: desvendando as técnicas de crime e estratégias de prevenção
Nos últimos anos, os ataques de engenharia social direcionados a usuários de ativos de criptografia tornaram-se cada vez mais comuns, representando um grande risco para a segurança dos fundos. Desde 2025, uma série de incidentes de fraudes de engenharia social dirigidos a usuários de uma plataforma de negociação conhecida têm vindo à tona, gerando ampla atenção. A partir das discussões na comunidade, pode-se observar que esses eventos não são casos isolados, mas sim um tipo de esquema que possui características de continuidade e organização.
No dia 15 de maio, a plataforma publicou um anúncio confirmando as especulações anteriores sobre a existência de "traidores" internamente. O Departamento de Justiça dos EUA já iniciou uma investigação sobre este incidente de violação de dados.
Este artigo irá revelar os principais métodos de operação dos golpistas, organizando as informações fornecidas por vários investigadores de segurança e vítimas, e discutir estratégias de resposta a partir das perspectivas da plataforma e do usuário.
Revisão histórica
O detetive on-chain Zach mencionou na atualização da plataforma social em 7 de maio: "Somente na última semana, mais de 45 milhões de dólares foram roubados de usuários de uma plataforma de negociação devido a fraudes de engenharia social."
No último ano, Zach revelou várias vezes incidentes de roubo de usuários nessa plataforma, com algumas vítimas perdendo até dezenas de milhões de dólares. Uma investigação detalhada publicada por ele em fevereiro de 2025 mostrou que, apenas entre dezembro de 2024 e janeiro de 2025, o total de fundos roubados devido a esquemas semelhantes já ultrapassava 65 milhões de dólares. A plataforma enfrenta uma grave crise de "lavar os olhos", com esse tipo de ataque continuando a comprometer a segurança dos ativos dos usuários a uma escala anual de 300 milhões de dólares.
Zach ainda apontou:
Os grupos que lideram este tipo de lavagem dos olhos dividem-se principalmente em duas categorias: uma é composta por atacantes de baixo nível que vêm de círculos específicos, enquanto a outra é uma organização criminosa cibernética localizada na Índia;
Os alvos dos ataques dos grupos de fraude são principalmente usuários americanos, com métodos de operação padronizados e processos de script maduros;
O montante real de perdas pode ser muito superior às estatísticas visíveis na cadeia, pois não inclui informações não divulgadas, como ordens de serviço de atendimento ao cliente e registos de denúncias à polícia que não podem ser obtidos.
lavar os olhos
Neste incidente, o sistema técnico da plataforma não foi comprometido; os golpistas utilizaram os privilégios de funcionários internos para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, contacto, dados da conta, fotos do cartão de identificação, entre outros. O objetivo final dos golpistas era utilizar técnicas de engenharia social para levar os usuários a realizar transferências.
Este tipo de ataque altera os métodos tradicionais de phishing "em larga escala" e passa a adotar um "ataque direcionado", sendo considerado uma fraude de engenharia social "sob medida". O percurso típico de crime é o seguinte:
1. Contactar o utilizador na qualidade de "serviço de apoio ao cliente oficial"
Os golpistas usam sistemas telefônicos falsificados para se passar pelo atendimento ao cliente da plataforma, ligando para os usuários e afirmando que sua "conta sofreu um login ilegal" ou "detetamos anomalias no levantamento", criando um ambiente de urgência. Eles então enviam e-mails ou mensagens de texto de phishing realistas, que contêm números de ordem falsos ou links para um "processo de recuperação", e orientam os usuários a agir. Esses links podem direcionar para interfaces clonadas da plataforma, podendo até mesmo enviar e-mails que parecem vir de um domínio oficial, com algumas mensagens utilizando técnicas de redirecionamento para contornar a proteção de segurança.
2. Orientar os usuários a baixar a nova carteira
Os golpistas irão, sob o pretexto de "proteger ativos", orientar os usuários a transferirem fundos para uma "carteira segura", além de ajudar os usuários a instalarem uma nova carteira e a indicarem como transferir os ativos que originalmente estavam sob custódia na plataforma para uma nova carteira criada.
3. Induzir os usuários a usar frases mnemônicas fornecidas pelos golpistas
Diferente do "esquema de roubo de palavras-passe" tradicional, os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles próprios, induzindo os usuários a usá-las como um "novo portfólio oficial".
4. Ladrões de fundos
As vítimas, em estado de nervosismo, ansiedade e confiança no "atendimento ao cliente", são facilmente enganadas. Para elas, a nova carteira "oferecida oficialmente" é naturalmente mais segura do que a antiga carteira "suspeita de ter sido invadida". O resultado é que, assim que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente desviá-los. O conceito de que "chaves que não estão sob seu controle não são ativos que você possui" é mais uma vez brutalmente validado.
Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma migrará completamente para carteiras auto-hospedadas" e exigem que os usuários concluam a migração de ativos antes de uma data específica. Sob a pressão do tempo e a sugestão psicológica de "instruções oficiais", os usuários são mais propensos a cooperar com a operação.
Segundo os investigadores de segurança, esses ataques costumam ser organizados e planejados de forma sistemática:
Ferramentas de fraude aprimoradas: os golpistas usam sistemas PBX para falsificar números de chamada e simular chamadas de atendimento ao cliente oficiais. Ao enviar e-mails de phishing, os golpistas utilizam ferramentas específicas para imitar e-mails oficiais, anexando um "guia de recuperação de contas" que orienta a transferência.
Objetivo preciso: os golpistas dependem de dados de usuários roubados adquiridos em canais específicos e na dark web, visando usuários de áreas específicas como principais alvos, e até mesmo utilizam ferramentas de IA para processar os dados roubados, dividindo e reorganizando números de telefone, gerando arquivos em massa, e depois enviando fraudes por SMS através de software de quebra.
Processo de engano coerente: desde chamadas telefónicas, mensagens de texto até e-mails, o caminho da fraude é geralmente contínuo, com expressões de phishing comuns como "a conta recebeu um pedido de levantamento", "a palavra-passe foi redefinida", "a conta apresentou um login anormal" e assim por diante, induzindo continuamente a vítima a realizar uma "verificação de segurança" até que a transferência da carteira seja concluída.
Análise em cadeia
Analisando alguns endereços de golpistas já divulgados, descobrimos que esses golpistas possuem uma forte capacidade de operação em cadeia, abaixo estão algumas informações chave:
Os alvos de ataque dos golpistas cobrem uma variedade de ativos que os usuários possuem, com os horários de atividade desses endereços concentrados entre dezembro de 2024 e maio de 2025, sendo os ativos alvo principalmente BTC e ETH. O BTC é o principal alvo de fraudes no momento, com vários endereços obtendo lucros de até centenas de BTC de uma só vez, com um valor individual na casa de milhões de dólares.
Após a obtenção de fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para trocar e transferir os ativos, com o seguinte modelo principal:
Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT em algum DEX, e depois transferidos de forma dispersa para vários novos endereços, com alguns ativos entrando em plataformas de negociação centralizadas;
O BTC é principalmente transferido através de pontes entre cadeias para o Ethereum, e depois trocado por DAI ou USDT, evitando riscos de rastreamento.
Vários endereços de lavagem os olhos continuam em estado de "estático" após receber DAI ou USDT e ainda não foram transferidos.
Para evitar a interação do seu endereço com endereços suspeitos, e assim enfrentar o risco de congelamento de ativos, recomenda-se que os utilizadores utilizem o sistema de deteção de riscos de lavagem de dinheiro e rastreamento em cadeia para verificar o endereço alvo antes de realizar a transação, a fim de evitar eficazmente ameaças potenciais.
Medidas de resposta
nível da plataforma
Atualmente, os principais métodos de segurança são mais uma proteção a nível "tecnológico", enquanto as fraudes de engenharia social frequentemente contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Portanto, recomenda-se que as plataformas integrem a educação dos usuários, o treinamento em segurança e o design de usabilidade, estabelecendo uma linha de defesa de segurança "orientada para o ser humano".
Envio regular de conteúdos de educação contra fraudes: através de janelas pop-up no App, interfaces de confirmação de transações, e-mails, entre outros, para aumentar a capacidade dos usuários de se protegerem contra phishing;
Otimização do modelo de gestão de risco, introduzindo "identificação interativa de comportamentos anómalos": a maioria das fraudes sociais induz os utilizadores a realizar uma série de operações em curto espaço de tempo (como transferências, alterações de lista branca, vinculação de dispositivos, etc.). A plataforma deve identificar combinações interativas suspeitas com base no modelo de cadeia de comportamento (como "interações frequentes + novo endereço + levantamento de grande quantia"), acionando um período de reflexão ou um mecanismo de revisão manual.
Normalizar os canais de atendimento ao cliente e os mecanismos de verificação: os golpistas frequentemente se passam por atendentes para enganar os usuários. A plataforma deve unificar os modelos de telefone, SMS e e-mail, e fornecer uma "entrada de verificação de atendente", esclarecendo o único canal de comunicação oficial, a fim de evitar confusões.
nível do usuário
Implementar uma estratégia de isolamento de identidade: evitar o uso do mesmo e-mail e número de telefone em várias plataformas, reduzindo o risco de associação. Pode-se usar ferramentas de verificação de vazamentos para consultar regularmente se o e-mail foi exposto.
Ativar a lista branca de transferências e o mecanismo de refrigeração de retiradas: pré-definir endereços confiáveis para reduzir o risco de perda de fundos em situações de emergência.
Continuar a acompanhar as informações de segurança: através de empresas de segurança, meios de comunicação, plataformas de negociação, entre outros, conhecer as últimas dinâmicas das técnicas de ataque e manter-se alerta.
Atenção aos riscos offline e à proteção da privacidade: a divulgação de informações pessoais também pode levar a problemas de segurança pessoal.
Isto não é apenas uma preocupação exagerada; desde o início deste ano, os profissionais/usuários de ativos de criptografia enfrentaram vários incidentes que ameaçaram a segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contacto, dados da conta, fotos do cartão de identificação, os usuários relevantes também devem permanecer alertas offline e prestar atenção à sua segurança.
Em suma, mantenha o ceticismo e continue a verificar. Sempre que houver operações urgentes, exija que a outra parte prove sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.
Resumo
Este incidente expôs novamente que, face ao amadurecimento das técnicas de ataque social, a indústria ainda apresenta lacunas significativas na proteção de dados dos clientes e ativos. É alarmante que, mesmo que os cargos relevantes da plataforma não tenham autorização para fundos, a falta de consciência e capacidade de segurança suficientes pode resultar em consequências graves devido a vazamentos involuntários ou coação. À medida que a plataforma continua a crescer, a complexidade do controle de segurança do pessoal aumenta, tornando-se um dos riscos mais difíceis de superar na indústria. Portanto, enquanto a plataforma reforça os mecanismos de segurança na cadeia, também deve sistematicamente construir um "sistema de defesa contra ataques sociais" que abranja tanto o pessoal interno quanto os serviços terceirizados, integrando o risco humano na estratégia de segurança global.
Além disso, assim que um ataque for identificado como não sendo um evento isolado, mas sim uma ameaça contínua organizada e em grande escala, a plataforma deve responder imediatamente, ativamente investigar vulnerabilidades potenciais, alertar os usuários sobre prevenções e controlar a extensão dos danos. Somente com uma resposta dupla em nível técnico e organizacional é que se pode, em um ambiente de segurança cada vez mais complexo, realmente manter a confiança e os limites.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
23 Curtidas
Recompensa
23
8
Compartilhar
Comentário
0/400
SchroedingerGas
· 10h atrás
Ai, já houve puxar o tapete?
Ver originalResponder0
Deconstructionist
· 08-04 08:56
Há traidores novamente, a cex confiável está morta.
Ver originalResponder0
JustHodlIt
· 08-04 06:23
Estou realmente assustado, não pergunte e vá embora.
Ver originalResponder0
OnChainSleuth
· 08-02 22:59
A questão do traidor ainda não acabou!
Ver originalResponder0
WalletWhisperer
· 08-02 22:58
Os traidores já deveriam ter sido apanhados!
Ver originalResponder0
GasFeeSobber
· 08-02 22:52
Tantos traidores, é realmente assustador.
Ver originalResponder0
airdrop_whisperer
· 08-02 22:46
Todos gritam para pegar o traidor
Ver originalResponder0
MoonRocketman
· 08-02 22:36
Especialista em dinâmica orbital com uma precisão de previsão de 99,9%, professor de cálculo de ângulos para parar a perda online.
Fraude de engenharia social atinge duramente os usuários de encriptação: revelando os bastidores de um esquema de 600 milhões de dólares e estratégias de resposta
Esquema de engenharia social mira usuários de Ativos de criptografia: desvendando as técnicas de crime e estratégias de prevenção
Nos últimos anos, os ataques de engenharia social direcionados a usuários de ativos de criptografia tornaram-se cada vez mais comuns, representando um grande risco para a segurança dos fundos. Desde 2025, uma série de incidentes de fraudes de engenharia social dirigidos a usuários de uma plataforma de negociação conhecida têm vindo à tona, gerando ampla atenção. A partir das discussões na comunidade, pode-se observar que esses eventos não são casos isolados, mas sim um tipo de esquema que possui características de continuidade e organização.
No dia 15 de maio, a plataforma publicou um anúncio confirmando as especulações anteriores sobre a existência de "traidores" internamente. O Departamento de Justiça dos EUA já iniciou uma investigação sobre este incidente de violação de dados.
Este artigo irá revelar os principais métodos de operação dos golpistas, organizando as informações fornecidas por vários investigadores de segurança e vítimas, e discutir estratégias de resposta a partir das perspectivas da plataforma e do usuário.
Revisão histórica
O detetive on-chain Zach mencionou na atualização da plataforma social em 7 de maio: "Somente na última semana, mais de 45 milhões de dólares foram roubados de usuários de uma plataforma de negociação devido a fraudes de engenharia social."
No último ano, Zach revelou várias vezes incidentes de roubo de usuários nessa plataforma, com algumas vítimas perdendo até dezenas de milhões de dólares. Uma investigação detalhada publicada por ele em fevereiro de 2025 mostrou que, apenas entre dezembro de 2024 e janeiro de 2025, o total de fundos roubados devido a esquemas semelhantes já ultrapassava 65 milhões de dólares. A plataforma enfrenta uma grave crise de "lavar os olhos", com esse tipo de ataque continuando a comprometer a segurança dos ativos dos usuários a uma escala anual de 300 milhões de dólares.
Zach ainda apontou:
lavar os olhos
Neste incidente, o sistema técnico da plataforma não foi comprometido; os golpistas utilizaram os privilégios de funcionários internos para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, contacto, dados da conta, fotos do cartão de identificação, entre outros. O objetivo final dos golpistas era utilizar técnicas de engenharia social para levar os usuários a realizar transferências.
Este tipo de ataque altera os métodos tradicionais de phishing "em larga escala" e passa a adotar um "ataque direcionado", sendo considerado uma fraude de engenharia social "sob medida". O percurso típico de crime é o seguinte:
1. Contactar o utilizador na qualidade de "serviço de apoio ao cliente oficial"
Os golpistas usam sistemas telefônicos falsificados para se passar pelo atendimento ao cliente da plataforma, ligando para os usuários e afirmando que sua "conta sofreu um login ilegal" ou "detetamos anomalias no levantamento", criando um ambiente de urgência. Eles então enviam e-mails ou mensagens de texto de phishing realistas, que contêm números de ordem falsos ou links para um "processo de recuperação", e orientam os usuários a agir. Esses links podem direcionar para interfaces clonadas da plataforma, podendo até mesmo enviar e-mails que parecem vir de um domínio oficial, com algumas mensagens utilizando técnicas de redirecionamento para contornar a proteção de segurança.
2. Orientar os usuários a baixar a nova carteira
Os golpistas irão, sob o pretexto de "proteger ativos", orientar os usuários a transferirem fundos para uma "carteira segura", além de ajudar os usuários a instalarem uma nova carteira e a indicarem como transferir os ativos que originalmente estavam sob custódia na plataforma para uma nova carteira criada.
3. Induzir os usuários a usar frases mnemônicas fornecidas pelos golpistas
Diferente do "esquema de roubo de palavras-passe" tradicional, os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles próprios, induzindo os usuários a usá-las como um "novo portfólio oficial".
4. Ladrões de fundos
As vítimas, em estado de nervosismo, ansiedade e confiança no "atendimento ao cliente", são facilmente enganadas. Para elas, a nova carteira "oferecida oficialmente" é naturalmente mais segura do que a antiga carteira "suspeita de ter sido invadida". O resultado é que, assim que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente desviá-los. O conceito de que "chaves que não estão sob seu controle não são ativos que você possui" é mais uma vez brutalmente validado.
Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma migrará completamente para carteiras auto-hospedadas" e exigem que os usuários concluam a migração de ativos antes de uma data específica. Sob a pressão do tempo e a sugestão psicológica de "instruções oficiais", os usuários são mais propensos a cooperar com a operação.
Segundo os investigadores de segurança, esses ataques costumam ser organizados e planejados de forma sistemática:
Análise em cadeia
Analisando alguns endereços de golpistas já divulgados, descobrimos que esses golpistas possuem uma forte capacidade de operação em cadeia, abaixo estão algumas informações chave:
Os alvos de ataque dos golpistas cobrem uma variedade de ativos que os usuários possuem, com os horários de atividade desses endereços concentrados entre dezembro de 2024 e maio de 2025, sendo os ativos alvo principalmente BTC e ETH. O BTC é o principal alvo de fraudes no momento, com vários endereços obtendo lucros de até centenas de BTC de uma só vez, com um valor individual na casa de milhões de dólares.
Após a obtenção de fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para trocar e transferir os ativos, com o seguinte modelo principal:
Vários endereços de lavagem os olhos continuam em estado de "estático" após receber DAI ou USDT e ainda não foram transferidos.
Para evitar a interação do seu endereço com endereços suspeitos, e assim enfrentar o risco de congelamento de ativos, recomenda-se que os utilizadores utilizem o sistema de deteção de riscos de lavagem de dinheiro e rastreamento em cadeia para verificar o endereço alvo antes de realizar a transação, a fim de evitar eficazmente ameaças potenciais.
Medidas de resposta
nível da plataforma
Atualmente, os principais métodos de segurança são mais uma proteção a nível "tecnológico", enquanto as fraudes de engenharia social frequentemente contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Portanto, recomenda-se que as plataformas integrem a educação dos usuários, o treinamento em segurança e o design de usabilidade, estabelecendo uma linha de defesa de segurança "orientada para o ser humano".
nível do usuário
Isto não é apenas uma preocupação exagerada; desde o início deste ano, os profissionais/usuários de ativos de criptografia enfrentaram vários incidentes que ameaçaram a segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contacto, dados da conta, fotos do cartão de identificação, os usuários relevantes também devem permanecer alertas offline e prestar atenção à sua segurança.
Em suma, mantenha o ceticismo e continue a verificar. Sempre que houver operações urgentes, exija que a outra parte prove sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.
Resumo
Este incidente expôs novamente que, face ao amadurecimento das técnicas de ataque social, a indústria ainda apresenta lacunas significativas na proteção de dados dos clientes e ativos. É alarmante que, mesmo que os cargos relevantes da plataforma não tenham autorização para fundos, a falta de consciência e capacidade de segurança suficientes pode resultar em consequências graves devido a vazamentos involuntários ou coação. À medida que a plataforma continua a crescer, a complexidade do controle de segurança do pessoal aumenta, tornando-se um dos riscos mais difíceis de superar na indústria. Portanto, enquanto a plataforma reforça os mecanismos de segurança na cadeia, também deve sistematicamente construir um "sistema de defesa contra ataques sociais" que abranja tanto o pessoal interno quanto os serviços terceirizados, integrando o risco humano na estratégia de segurança global.
Além disso, assim que um ataque for identificado como não sendo um evento isolado, mas sim uma ameaça contínua organizada e em grande escala, a plataforma deve responder imediatamente, ativamente investigar vulnerabilidades potenciais, alertar os usuários sobre prevenções e controlar a extensão dos danos. Somente com uma resposta dupla em nível técnico e organizacional é que se pode, em um ambiente de segurança cada vez mais complexo, realmente manter a confiança e os limites.