Golpes de envenenamento de endereços: como evitar o envio de criptografia para a carteira errada
Golpes de envenenamento de endereço induzem você a copiar um endereço de carteira semelhante do histórico de transações. Aprenda os hábitos de transferência segura que evitam esse erro caro.
O envenenamento de endereço é um dos golpes de criptografia mais fáceis de subestimar porque nada parece obviamente hackeado.
O saldo da sua carteira ainda pode estar lá. Sua frase-semente ainda pode estar segura. O golpe funciona porque o invasor planta um endereço semelhante em seu histórico de transações e espera que você copie o endereço errado mais tarde.
Para qualquer pessoa que transfira fundos de uma exchange para autocustódia, envie stablecoins entre carteiras ou gerencie uma carteira de hardware, esse é um risco prático que vale a pena entender.
Resposta curta
Não copie endereços de carteira do histórico de transações.
Use um novo endereço de recebimento, uma entrada salva no catálogo de endereços, uma lista de permissões de retirada de câmbio ou um registro de contato verificado. Em seguida, verifique o endereço de destino completo na tela confiável antes de enviar.
| Se você está prestes a... | Hábito mais seguro |
|---|---|
| Envie criptografia para sua própria carteira de hardware | Abra o fluxo de recebimento da carteira e verifique o endereço no dispositivo |
| Sacar de uma exchange | Use a lista de permissões de retirada para endereços em que você confia |
| Repetir uma transferência anterior | Use um endereço salvo e rotulado em vez do histórico de transações |
| Envie uma grande quantia | Envie primeiro um pequeno teste e, em seguida, verifique o destinatário salvo antes da transferência completa |
| Veja um pequeno depósito estranho ou NFT | Ignore isso; não copie endereços dele |
Como funciona o envenenamento de endereço
Ledger descreve o envenenamento de endereço como uma fraude em que um fraudador envia uma pequena quantidade de criptografia ou NFT para sua conta para que uma transação “envenenada” apareça no histórico de sua carteira. O endereço do golpista é semelhante ao que você usou antes, geralmente correspondendo ao primeiro ou ao último caractere.
Trezor descreve o mesmo padrão da falsificação de endereço: o invasor depende da pressa, do histórico público do blockchain e de endereços de aparência semelhante. A Chainalysis também documentou grandes campanhas automatizadas em que os invasores geraram milhares de endereços falsos e semelhantes e esperaram que as vítimas cometessem um erro de copiar e colar.
O detalhe importante: o golpista geralmente não precisa da sua frase-semente. Eles não estão quebrando sua carteira de hardware. Eles estão explorando como as pessoas reutilizam o histórico de transações como um atalho.
Como é na vida real
Os sinais comuns incluem:
- um pequeno depósito simbólico inesperado
- uma transação NFT desconhecida ou de valor zero
- uma transação em seu histórico que você não se lembra de ter feito
- um endereço que corresponde ao início e ao fim de um endereço real, mas difere no meio
- uma transferência de token falsa que se assemelha visualmente a um movimento real de USDC, USDT ou stablecoin
Isso é mais comum em redes de taxas baixas porque os invasores podem envenenar muitas carteiras de forma barata. Ledger menciona especificamente redes como Polygon, Tron, Tezos, Solana e BNB Smart Chain, mas o problema do hábito pode se aplicar a qualquer lugar: se você copiar o endereço errado, a cadeia não o salvará.
O erro que faz perder dinheiro
A maioria das vítimas não perde fundos quando chega a transação envenenada.
Eles perdem fundos mais tarde, quando fazem algo assim:
- Abra o histórico da carteira.
- Encontre uma transação anterior.
- Copie um endereço que lhe pareça familiar.
- Verifique apenas o primeiro e o último caractere.
- Envie fundos para o endereço semelhante do golpista.
Essa última etapa é a mais cara. As transferências criptográficas são normalmente irreversíveis, portanto a prevenção é mais importante do que a limpeza.
Fluxo de trabalho de transferência mais seguro
Use este processo para qualquer transferência significativa:
1. Comece pelo receptor, não pela história
Se você estiver enviando para sua própria carteira, abra a carteira de recebimento e gere ou exiba o endereço nela.
Se você usa uma carteira de hardware, verifique o endereço de recebimento na tela do dispositivo. Não confie apenas na exibição do desktop ou do aplicativo móvel.
2. Verifique mais do que o primeiro e o último caracteres
Endereços semelhantes são projetados para passar em verificações preguiçosas. Não confie em “os mesmos quatro primeiros, os mesmos quatro últimos”.
Para transferências maiores, compare o endereço completo ou use um fluxo QR confiável da carteira receptora. Se a carteira suportar etiquetas de endereço ou contatos, salve o endereço verificado com um nome claro.
3. Use a lista de permissões de retirada de exchange
A Coinbase recomenda a lista de permissões de retirada como um hábito de segurança para transferências em rede. Kraken, Coinbase e outras bolsas importantes oferecem suporte a alguma forma de catálogo de endereços ou comportamento de lista de permissões, dependendo da região e das configurações da conta.
A lista de permissões não é perfeita, mas ajuda porque um endereço fraudulento não deve se tornar um alvo de saque válido só porque apareceu no histórico da sua carteira.
4. Envie uma transação de teste para grandes movimentos
Para quantidades significativas, envie primeiro um pequeno teste.
Em seguida, verifique se chegou à carteira pretendida. Depois disso, envie o valor total para o mesmo destinatário salvo e verificado – não para um novo endereço copiado do histórico de transações.
5. Trate os depósitos surpresa como ruído
Um pequeno depósito aleatório ou NFT não significa que você ganhou algo. Também não significa automaticamente que sua carteira esteja comprometida.
Ignore isso. Não interaja com links anexados, sites de tokens falsos ou NFTs suspeitos. E não use essa transação como fonte para endereços futuros.
Carteiras de hardware ajudam, mas apenas se você desacelerar
Uma carteira de hardware protege as chaves privadas do seu computador ou telefone. Ele não sabe magicamente se o endereço que você colou é o endereço que você pretendia usar.
É por isso que a tela confiável é importante.
Se você está escolhendo uma carteira principalmente para reduzir erros de transferência, compare a experiência real de confirmação, a clareza da tela, o fluxo móvel e o modelo de recuperação – não apenas o nome da marca. Comece com nosso guia da melhor carteira de hardware para iniciantes e, em seguida, leia a revisão do Ledger, revisão do Trezor ou revisão do Tangem dependendo da configuração que você está considerando.
Envenenamento de endereço versus outros golpes de carteira
O envenenamento de endereço é diferente de golpes de aprovação e roubo de frases-semente.
| Tipo de golpe | O que o invasor deseja | Melhor defesa |
|---|---|---|
| Abordar o envenenamento | Enganar você para enviar para o endereço errado | Verifique o endereço de destino de uma fonte confiável |
| Golpe de aprovação | Obtenha permissão para mover tokens mais tarde | Entenda cada aprovação antes de assinar |
| Aplicativo de carteira falsa | Roube sua frase-semente ou chaves privadas | Instale apenas de fontes oficiais |
| Representação de suporte | Pressioná-lo a movimentar fundos ou compartilhar segredos | Nunca siga as instruções de transferência de um suposto agente de suporte |
Para um modelo de ameaça mais amplo, leia golpes criptográficos comuns e como evitá-los. Para assinar riscos, leia golpes de aprovação de carteira e permissões perigosas.
Resultado final
O envenenamento de endereço não é sofisticado porque quebra a criptografia. É sofisticado porque abusa da comodidade.
A correção é enfadonha, mas eficaz: nunca copie do histórico de transações, verifique o endereço completo do destinatário em uma tela confiável, use listas de permissões sempre que possível e teste antes de movimentar muito dinheiro.
Se isso parecer lento, lembre-se do ponto da autocustódia: você é a camada final de aprovação.
Receba o resumo do Coin Buyer Guide
Um email semanal prático com novos guias de wallets, exchanges, cartões, impostos e segurança crypto, além de notas úteis do setor. Sem hype.