O relatório de segurança de janeiro de 2026 da Scam Sniffer, empresa de cibersegurança, revela uma tendência preocupante no universo das criptomoedas: os ataques de phishing estão a tornar-se cada vez mais direcionados e devastadores. Segundo os dados apresentados, apenas o phishing por assinatura resultou em perdas de aproximadamente 6,27 milhões $ em janeiro, afetando 4 741 vítimas.
Escalada de Ataques
O início de 2026 marcou uma acentuada deterioração da segurança no setor cripto. Ao contrário das táticas generalizadas anteriormente utilizadas, os cibercriminosos estão agora a concentrar os seus esforços em "caça às baleias". O relatório da Scam Sniffer demonstra que apenas dois indivíduos com elevado património líquido foram responsáveis por quase 65% das perdas totais resultantes de phishing por assinatura em janeiro.
A maior perda individual registada ascendeu a 3,02 milhões $, resultante da assinatura, por parte de um utilizador, de uma função maliciosa "permit" ou "increaseAllowance". Uma vez concedida, este tipo de autorização permite que os atacantes transfiram um número ilimitado de tokens da carteira da vítima, sem necessidade de aprovação para cada transação.
Dupla Ameaça
Atualmente, as carteiras cripto enfrentam duas ameaças altamente especializadas: o phishing por assinatura e o address poisoning. O phishing por assinatura induz os utilizadores a autorizar permissões maliciosas em contratos inteligentes. Já o address poisoning é mais subtil e tira partido dos hábitos transacionais dos utilizadores para ataques de precisão.
Os atacantes geram endereços "vanity" ou semelhantes, que se assemelham ao endereço real do utilizador, apresentando os mesmos caracteres iniciais e finais. De seguida, enviam transações de valor residual ou nulo à vítima, fazendo com que estes endereços maliciosos surjam no histórico de transações do utilizador. Quando, posteriormente, o utilizador necessita de transferir fundos e copia habitualmente endereços do histórico, pode selecionar inadvertidamente o endereço envenenado, enviando assim os fundos diretamente para o atacante.
O Custo Real
Os incidentes de segurança registados em janeiro evidenciam a dura realidade destes métodos de ataque. No phishing por assinatura, registaram-se perdas superiores a 3 milhões $ num único incidente. O address poisoning originou perdas ainda mais avultadas, com um investidor a perder 12,25 milhões $ numa única transação, após copiar o endereço errado do seu histórico.
Este não é um caso isolado. Em dezembro de 2025, outra vítima perdeu 50 milhões $ recorrendo ao mesmo método. Após testar uma transferência de 50 USDT, o atacante criou rapidamente um endereço envenenado com os mesmos quatro caracteres iniciais e finais. Quando a vítima efetuou posteriormente uma transferência de valor elevado, copiou o endereço errado do histórico, resultando em perdas catastróficas.
Recomendações de Defesa
À medida que as técnicas de ataque se tornam mais sofisticadas, os utilizadores comuns devem adotar defesas em múltiplas camadas, reforçando tanto os seus hábitos como as ferramentas técnicas utilizadas.
Em primeiro lugar, nunca copiar endereços a partir do histórico de transações. O address poisoning explora precisamente este hábito. Introduzir manualmente os endereços ou utilizar uma lista de contactos é uma alternativa mais segura.
Em segundo lugar, verificar sempre toda a cadeia alfanumérica do endereço do destinatário antes de realizar qualquer transferência—não validar apenas os primeiros ou últimos caracteres. Para transações de valor elevado, realizar sempre uma transferência de teste de pequeno valor. Só após confirmar que o endereço está correto, avançar com a transferência principal.
Adicionalmente, tratar todos os pedidos de assinatura com cautela. Antes de autorizar qualquer contrato inteligente, rever cuidadosamente o âmbito das permissões solicitadas. Evitar conceder acessos ilimitados ou excessivamente amplos aos seus fundos.
Proteção Inteligente
A tecnologia é parte fundamental de qualquer estratégia de defesa. Armazenar ativos de elevado valor numa carteira hardware é considerado uma das melhores práticas do setor, uma vez que mantém as chaves privadas offline.
Ativar a autenticação multifator é igualmente essencial, devendo dar-se prioridade a aplicações autenticadoras em detrimento de métodos baseados em SMS, que são menos seguros. Para endereços utilizados frequentemente, guardar na lista de contactos ou whitelist da carteira, minimizando o risco de erro por introdução manual ou cópia do endereço errado.
Por fim, manter o software da carteira e as ferramentas de segurança sempre atualizadas. Os programadores lançam atualizações para corrigir vulnerabilidades conhecidas, pelo que as atualizações regulares são fundamentais para garantir a segurança.
Até o ouro digital precisa de um cofre físico. Com o aumento dos incidentes de segurança, o mercado de criptomoedas permanece altamente volátil. De acordo com os dados de mercado da Gate, a 9 de fevereiro, o preço do Bitcoin situa-se em 70 638,20 $, com uma capitalização de mercado de 1,41 biliões $ e um volume de negociação em 24 horas de 801,57 milhões $. Por sua vez, o Ethereum está cotado a 2 084,02 $ e a Solana mantém-se estável nos 87,22 $. O Bitcoin domina o mercado com uma quota de 56,14%. A Safe Labs identificou cerca de 5 000 endereços maliciosos a operar em conjunto, e a equipa da Shiba Inu transmitiu este alerta de segurança à comunidade.
