Ataques de engenharia social tornam-se uma ameaça significativa à segurança do ativo encriptação
Nos últimos anos, os ataques de engenharia social direcionados a usuários de ativos encriptados tornaram-se cada vez mais comuns, tornando-se uma das principais ameaças à segurança dos fundos dos usuários. Desde 2025, ocorreram frequentemente casos de fraudes de engenharia social direcionadas aos usuários de uma plataforma de negociação conhecida, o que gerou ampla atenção na indústria. De acordo com as discussões da comunidade, esses eventos não são casos isolados, mas sim um novo tipo de golpe com características de continuidade e organização.
No dia 15 de maio, a plataforma de negociação divulgou um anúncio, confirmando as especulações anteriores sobre a existência de um "espião" interno na plataforma. Sabe-se que o Departamento de Justiça dos EUA já iniciou uma investigação sobre o incidente de vazamento de dados.
Este artigo irá revelar os principais métodos de operação dos golpistas através da organização das informações fornecidas por vários investigadores de segurança e vítimas, e discutir as estratégias de resposta a partir das perspetivas da plataforma e dos utilizadores.
Análise Histórica
"Apenas na última semana, mais de 45 milhões de dólares foram roubados de usuários de uma plataforma devido a fraudes de engenharia social", escreveu o detetive on-line Zach em uma atualização nas redes sociais no dia 7 de maio.
No último ano, Zach revelou várias vezes que os usuários da plataforma enfrentaram incidentes de roubo, com algumas vítimas perdendo até dezenas de milhões de dólares. A investigação detalhada que ele publicou em fevereiro de 2025 mostrou que, apenas entre dezembro de 2024 e janeiro de 2025, as perdas financeiras causadas por esses golpes já superaram 65 milhões de dólares. A plataforma está enfrentando uma grave crise de "fraude social", com este tipo de ataque continuando a afetar a segurança do ativo dos usuários a uma escala de 300 milhões de dólares anuais. Zach também apontou:
Os grupos que lideram esse tipo de fraude dividem-se em duas categorias: uma é composta por atacantes de baixo nível de círculos específicos, enquanto a outra é organizada por grupos de cibercrime localizados na Índia;
Grupos de fraude têm como principais alvos os usuários americanos, com métodos de operação padronizados e processos de discurso maduros;
O valor real das perdas pode ser muito superior às estatísticas visíveis na cadeia, uma vez que não inclui informações não divulgadas, como tickets de suporte ao cliente e registos de queixas policiais que não podem ser obtidos.
Métodos de golpe
No decorrer deste incidente, o sistema técnico da plataforma não foi comprometido; os golpistas utilizaram permissões de funcionários internos para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, informações de contato, dados da conta, fotos do cartão de identidade, entre outros. O objetivo final dos golpistas é utilizar técnicas de engenharia social para induzir os usuários a transferirem dinheiro.
Este tipo de ataque alterou os métodos tradicionais de "phishing em massa", passando para "ataques direcionados", podendo ser considerado uma fraude de engenharia social "sob medida". O percurso típico do crime é o seguinte:
1. Contactar os utilizadores na qualidade de "serviço de apoio oficial"
Os golpistas usam sistemas telefônicos falsificados (PBX) para se passar por atendentes de plataformas, ligando para os usuários e alegando que sua "conta sofreu um acesso ilegal" ou que "foi detectada uma anomalia no saque", criando uma atmosfera de urgência. Em seguida, enviam e-mails ou mensagens de texto de phishing realistas, contendo números de ordem de serviço falsos ou links de "processo de recuperação", guiando os usuários a agir. Esses links podem direcionar para interfaces clonadas da plataforma, e até mesmo enviar e-mails que parecem vir de domínios oficiais, com alguns e-mails utilizando técnicas de redirecionamento para contornar a proteção de segurança.
2. Orientar os usuários a baixar a carteira auto-hospedada
Os golpistas usam o pretexto de "proteger os ativos" para levar os usuários a transferir fundos para uma "carteira segura", ajudando-os a instalar carteiras de auto-hospedagem e orientando-os a transferir os ativos que estavam originalmente hospedados na plataforma para a nova carteira criada.
3. Induzir os usuários a usar a frase mnemônica fornecida pelos golpistas
Ao contrário do tradicional "roubo de palavras-passe", os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles, induzindo os usuários a usá-las como "nova carteira oficial".
4. Os golpistas realizam roubo de fundos
As vítimas, em estado de tensão, ansiedade e confiança no "serviço de apoio ao cliente", caem facilmente na armadilha. Para elas, uma nova carteira "fornecida oficialmente" é naturalmente mais segura do que uma antiga que "aparentemente foi invadida". O resultado é que, assim que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente retirá-los. Isso mais uma vez valida de forma cruel o conceito de "Not your keys, not your coins".
Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma irá migrar completamente para carteiras auto-hospedadas" e pedem aos usuários que completem a migração de ativos em um curto espaço de tempo. Sob a pressão do tempo e a sugestão psicológica de "ordens oficiais", os usuários são mais propensos a cooperar com a operação.
Segundo investigadores de segurança, esses ataques costumam ser planejados e realizados de forma organizada:
Cadeia de ferramentas de fraude aprimorada: os golpistas usam sistemas PBX para falsificar números de chamada e simular chamadas de atendimento ao cliente oficiais. Ao enviar e-mails de phishing, eles usam robôs nas redes sociais para imitar e-mails oficiais, anexando um "guia de recuperação de conta" para orientar transferências.
Objetivo preciso: os golpistas baseiam-se em dados de usuários roubados adquiridos através de canais de redes sociais e da dark web, visando usuários de regiões específicas como principais alvos, e até utilizam IA para processar os dados roubados, fragmentando e reorganizando números de telefone, gerando em massa arquivos TXT, e depois enviando mensagens de texto fraudulentas através de software de força bruta.
Processo de engano coerente: desde telefonemas, mensagens de texto até e-mails, o caminho da fraude geralmente é contínuo, com frases de phishing comuns incluindo "o conta recebeu um pedido de retirada", "a senha foi redefinida", "o conta teve um login anômalo", etc., induzindo continuamente a vítima a realizar uma "verificação de segurança" até que a transferência da carteira seja concluída.
Análise do fluxo de fundos na cadeia
Através do sistema de rastreamento e combate à lavagem de dinheiro na blockchain, foi feita uma análise de alguns endereços de golpistas, e descobriu-se que esses golpistas possuem uma forte capacidade de operação na blockchain. Abaixo estão algumas informações chave:
Os alvos dos ataques dos golpistas cobrem uma variedade de ativos detidos pelos usuários da plataforma, com o tempo de atividade desses endereços concentrado entre dezembro de 2024 e maio de 2025. Os ativos-alvo são principalmente BTC e ETH. O BTC é atualmente o principal alvo de fraudes, com vários endereços obtendo lucros de até várias centenas de BTC de uma só vez, com um valor único de vários milhões de dólares.
Após a obtenção de fundos, os golpistas utilizam rapidamente um conjunto de processos de lavagem para trocar e transferir ativos, sendo o modelo principal o seguinte:
Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT em algum DEX, depois dispersos e transferidos para vários novos endereços, com parte dos ativos entrando em plataformas de troca centralizadas;
O BTC é principalmente transferido para o Ethereum através de pontes de cross-chain, e depois trocado por DAI ou USDT, evitando riscos de rastreamento.
Vários endereços de fraude permanecem em estado de "inatividade" após receber DAI ou USDT, sem terem sido transferidos.
Para evitar a interação do seu endereço com endereços suspeitos, e assim enfrentar o risco de congelamento dos ativos, recomenda-se aos usuários que utilizem um sistema de monitoramento e rastreamento de lavagem de dinheiro na blockchain para realizar uma detecção de risco do endereço alvo antes de efetuar transações, a fim de evitar ameaças potenciais.
Medidas de resposta
plataforma
Atualmente, os principais meios de segurança são mais "técnicos", enquanto as fraudes sociais muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Portanto, recomenda-se que as plataformas integrem educação do usuário, treinamento de segurança e design de usabilidade, estabelecendo uma linha de defesa de segurança "voltada para as pessoas".
Envio regular de conteúdos de educação contra fraudes: Aumentar a capacidade de defesa contra phishing dos usuários através de janelas pop-up do App, interface de confirmação de transações, e-mails, entre outros.
Otimização do modelo de gestão de riscos, introduzindo "identificação interativa de comportamentos anômalos": a maioria das fraudes sociais induz os usuários a completar uma série de operações (como transferências, alterações na lista branca, vinculação de dispositivos, etc.) em um curto espaço de tempo. A plataforma deve identificar combinações interativas suspeitas com base no modelo de cadeia de comportamento (como "interações frequentes + novo endereço + grandes retiradas"), acionando um período de reflexão ou um mecanismo de revisão manual.
Normalizar os canais de atendimento ao cliente e os mecanismos de verificação: os golpistas frequentemente se fazem passar por atendimento ao cliente para confundir os usuários, a plataforma deve padronizar telefonemas, mensagens de texto e modelos de e-mail, e fornecer um "portal de verificação de atendimento ao cliente", definindo um único canal de comunicação oficial, evitando confusões.
usuário
Implementar uma política de isolamento de identidade: evitar o uso do mesmo e-mail ou número de telefone em várias plataformas, reduzindo o risco de responsabilidade conjunta, e utilizar ferramentas de verificação de vazamentos para verificar regularmente se o e-mail foi comprometido.
Ativar a lista branca de transferências e o mecanismo de refrigeração de retiradas: definir endereços confiáveis para reduzir o risco de perda de fundos em situações de emergência.
Acompanhe continuamente as informações de segurança: através de empresas de segurança, mídia, plataformas de negociação, entre outros canais, mantenha-se atualizado sobre as últimas dinâmicas dos métodos de ataque e permaneça alerta. Atualmente, várias empresas de segurança estão desenvolvendo uma plataforma de simulação de phishing para Web3, que irá simular vários métodos típicos de phishing, incluindo envenenamento social, phishing por assinatura, interações com contratos maliciosos, entre outros, e, combinando casos reais, atualizará continuamente o conteúdo dos cenários. Isso permitirá que os usuários melhorem suas habilidades de reconhecimento e resposta em um ambiente sem riscos.
Atenção aos riscos offline e à proteção da privacidade: o vazamento de informações pessoais também pode causar problemas de segurança pessoal.
Isso não é um exagero, desde o início deste ano, profissionais/usuários de encriptação têm enfrentado várias ameaças à sua segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contato, dados de contas, fotos de identidade, os usuários relevantes também devem ficar alertas offline e cuidar da segurança.
Em suma, mantenha a desconfiança e continue a verificar. Para qualquer operação urgente, exija que a outra parte comprove a sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.
Resumo
Este evento expôs novamente que, face a métodos de ataque de engenharia social cada vez mais sofisticados, a indústria ainda apresenta lacunas significativas na proteção de dados dos clientes e na segurança do ativo. É alarmante que, mesmo que os cargos relevantes da plataforma não tenham autoridade sobre os fundos, a falta de consciência e capacidade de segurança suficiente pode resultar em consequências graves devido à divulgação involuntária ou à cooptação. À medida que a plataforma continua a crescer, a complexidade do controle de segurança do pessoal aumenta, tornando-se um dos riscos mais difíceis de superar na indústria. Portanto, enquanto a plataforma reforça os mecanismos de segurança na cadeia, também deve construir sistematicamente um "sistema de defesa contra engenharia social" que cubra o pessoal interno e os serviços de terceirização, integrando os riscos humanos na estratégia de segurança global.
Além disso, uma vez que um ataque é identificado como um evento não isolado, mas sim uma ameaça contínua organizada e em larga escala, a plataforma deve responder imediatamente, realizando uma investigação proativa sobre possíveis vulnerabilidades, alertando os usuários para precauções e controlando a extensão dos danos. Somente com uma resposta dupla a nível técnico e organizacional é que se pode realmente manter a confiança e os limites em um ambiente de segurança cada vez mais complexo.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Ataques de engenharia social visam plataformas de negociação, com perdas anuais de 300 milhões de dólares. Análise completa das medidas de resposta.
Ataques de engenharia social tornam-se uma ameaça significativa à segurança do ativo encriptação
Nos últimos anos, os ataques de engenharia social direcionados a usuários de ativos encriptados tornaram-se cada vez mais comuns, tornando-se uma das principais ameaças à segurança dos fundos dos usuários. Desde 2025, ocorreram frequentemente casos de fraudes de engenharia social direcionadas aos usuários de uma plataforma de negociação conhecida, o que gerou ampla atenção na indústria. De acordo com as discussões da comunidade, esses eventos não são casos isolados, mas sim um novo tipo de golpe com características de continuidade e organização.
No dia 15 de maio, a plataforma de negociação divulgou um anúncio, confirmando as especulações anteriores sobre a existência de um "espião" interno na plataforma. Sabe-se que o Departamento de Justiça dos EUA já iniciou uma investigação sobre o incidente de vazamento de dados.
Este artigo irá revelar os principais métodos de operação dos golpistas através da organização das informações fornecidas por vários investigadores de segurança e vítimas, e discutir as estratégias de resposta a partir das perspetivas da plataforma e dos utilizadores.
Análise Histórica
"Apenas na última semana, mais de 45 milhões de dólares foram roubados de usuários de uma plataforma devido a fraudes de engenharia social", escreveu o detetive on-line Zach em uma atualização nas redes sociais no dia 7 de maio.
No último ano, Zach revelou várias vezes que os usuários da plataforma enfrentaram incidentes de roubo, com algumas vítimas perdendo até dezenas de milhões de dólares. A investigação detalhada que ele publicou em fevereiro de 2025 mostrou que, apenas entre dezembro de 2024 e janeiro de 2025, as perdas financeiras causadas por esses golpes já superaram 65 milhões de dólares. A plataforma está enfrentando uma grave crise de "fraude social", com este tipo de ataque continuando a afetar a segurança do ativo dos usuários a uma escala de 300 milhões de dólares anuais. Zach também apontou:
Métodos de golpe
No decorrer deste incidente, o sistema técnico da plataforma não foi comprometido; os golpistas utilizaram permissões de funcionários internos para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, informações de contato, dados da conta, fotos do cartão de identidade, entre outros. O objetivo final dos golpistas é utilizar técnicas de engenharia social para induzir os usuários a transferirem dinheiro.
Este tipo de ataque alterou os métodos tradicionais de "phishing em massa", passando para "ataques direcionados", podendo ser considerado uma fraude de engenharia social "sob medida". O percurso típico do crime é o seguinte:
1. Contactar os utilizadores na qualidade de "serviço de apoio oficial"
Os golpistas usam sistemas telefônicos falsificados (PBX) para se passar por atendentes de plataformas, ligando para os usuários e alegando que sua "conta sofreu um acesso ilegal" ou que "foi detectada uma anomalia no saque", criando uma atmosfera de urgência. Em seguida, enviam e-mails ou mensagens de texto de phishing realistas, contendo números de ordem de serviço falsos ou links de "processo de recuperação", guiando os usuários a agir. Esses links podem direcionar para interfaces clonadas da plataforma, e até mesmo enviar e-mails que parecem vir de domínios oficiais, com alguns e-mails utilizando técnicas de redirecionamento para contornar a proteção de segurança.
2. Orientar os usuários a baixar a carteira auto-hospedada
Os golpistas usam o pretexto de "proteger os ativos" para levar os usuários a transferir fundos para uma "carteira segura", ajudando-os a instalar carteiras de auto-hospedagem e orientando-os a transferir os ativos que estavam originalmente hospedados na plataforma para a nova carteira criada.
3. Induzir os usuários a usar a frase mnemônica fornecida pelos golpistas
Ao contrário do tradicional "roubo de palavras-passe", os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles, induzindo os usuários a usá-las como "nova carteira oficial".
4. Os golpistas realizam roubo de fundos
As vítimas, em estado de tensão, ansiedade e confiança no "serviço de apoio ao cliente", caem facilmente na armadilha. Para elas, uma nova carteira "fornecida oficialmente" é naturalmente mais segura do que uma antiga que "aparentemente foi invadida". O resultado é que, assim que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente retirá-los. Isso mais uma vez valida de forma cruel o conceito de "Not your keys, not your coins".
Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma irá migrar completamente para carteiras auto-hospedadas" e pedem aos usuários que completem a migração de ativos em um curto espaço de tempo. Sob a pressão do tempo e a sugestão psicológica de "ordens oficiais", os usuários são mais propensos a cooperar com a operação.
Segundo investigadores de segurança, esses ataques costumam ser planejados e realizados de forma organizada:
Análise do fluxo de fundos na cadeia
Através do sistema de rastreamento e combate à lavagem de dinheiro na blockchain, foi feita uma análise de alguns endereços de golpistas, e descobriu-se que esses golpistas possuem uma forte capacidade de operação na blockchain. Abaixo estão algumas informações chave:
Os alvos dos ataques dos golpistas cobrem uma variedade de ativos detidos pelos usuários da plataforma, com o tempo de atividade desses endereços concentrado entre dezembro de 2024 e maio de 2025. Os ativos-alvo são principalmente BTC e ETH. O BTC é atualmente o principal alvo de fraudes, com vários endereços obtendo lucros de até várias centenas de BTC de uma só vez, com um valor único de vários milhões de dólares.
Após a obtenção de fundos, os golpistas utilizam rapidamente um conjunto de processos de lavagem para trocar e transferir ativos, sendo o modelo principal o seguinte:
Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT em algum DEX, depois dispersos e transferidos para vários novos endereços, com parte dos ativos entrando em plataformas de troca centralizadas;
O BTC é principalmente transferido para o Ethereum através de pontes de cross-chain, e depois trocado por DAI ou USDT, evitando riscos de rastreamento.
Vários endereços de fraude permanecem em estado de "inatividade" após receber DAI ou USDT, sem terem sido transferidos.
Para evitar a interação do seu endereço com endereços suspeitos, e assim enfrentar o risco de congelamento dos ativos, recomenda-se aos usuários que utilizem um sistema de monitoramento e rastreamento de lavagem de dinheiro na blockchain para realizar uma detecção de risco do endereço alvo antes de efetuar transações, a fim de evitar ameaças potenciais.
Medidas de resposta
plataforma
Atualmente, os principais meios de segurança são mais "técnicos", enquanto as fraudes sociais muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Portanto, recomenda-se que as plataformas integrem educação do usuário, treinamento de segurança e design de usabilidade, estabelecendo uma linha de defesa de segurança "voltada para as pessoas".
usuário
Implementar uma política de isolamento de identidade: evitar o uso do mesmo e-mail ou número de telefone em várias plataformas, reduzindo o risco de responsabilidade conjunta, e utilizar ferramentas de verificação de vazamentos para verificar regularmente se o e-mail foi comprometido.
Ativar a lista branca de transferências e o mecanismo de refrigeração de retiradas: definir endereços confiáveis para reduzir o risco de perda de fundos em situações de emergência.
Acompanhe continuamente as informações de segurança: através de empresas de segurança, mídia, plataformas de negociação, entre outros canais, mantenha-se atualizado sobre as últimas dinâmicas dos métodos de ataque e permaneça alerta. Atualmente, várias empresas de segurança estão desenvolvendo uma plataforma de simulação de phishing para Web3, que irá simular vários métodos típicos de phishing, incluindo envenenamento social, phishing por assinatura, interações com contratos maliciosos, entre outros, e, combinando casos reais, atualizará continuamente o conteúdo dos cenários. Isso permitirá que os usuários melhorem suas habilidades de reconhecimento e resposta em um ambiente sem riscos.
Atenção aos riscos offline e à proteção da privacidade: o vazamento de informações pessoais também pode causar problemas de segurança pessoal.
Isso não é um exagero, desde o início deste ano, profissionais/usuários de encriptação têm enfrentado várias ameaças à sua segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contato, dados de contas, fotos de identidade, os usuários relevantes também devem ficar alertas offline e cuidar da segurança.
Em suma, mantenha a desconfiança e continue a verificar. Para qualquer operação urgente, exija que a outra parte comprove a sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.
Resumo
Este evento expôs novamente que, face a métodos de ataque de engenharia social cada vez mais sofisticados, a indústria ainda apresenta lacunas significativas na proteção de dados dos clientes e na segurança do ativo. É alarmante que, mesmo que os cargos relevantes da plataforma não tenham autoridade sobre os fundos, a falta de consciência e capacidade de segurança suficiente pode resultar em consequências graves devido à divulgação involuntária ou à cooptação. À medida que a plataforma continua a crescer, a complexidade do controle de segurança do pessoal aumenta, tornando-se um dos riscos mais difíceis de superar na indústria. Portanto, enquanto a plataforma reforça os mecanismos de segurança na cadeia, também deve construir sistematicamente um "sistema de defesa contra engenharia social" que cubra o pessoal interno e os serviços de terceirização, integrando os riscos humanos na estratégia de segurança global.
Além disso, uma vez que um ataque é identificado como um evento não isolado, mas sim uma ameaça contínua organizada e em larga escala, a plataforma deve responder imediatamente, realizando uma investigação proativa sobre possíveis vulnerabilidades, alertando os usuários para precauções e controlando a extensão dos danos. Somente com uma resposta dupla a nível técnico e organizacional é que se pode realmente manter a confiança e os limites em um ambiente de segurança cada vez mais complexo.