A empresa de segurança cibernética Malwarebytes Labs emitiu um alerta de emergência na terça-feira, avisando que um site falso com o domínio “pudgypengu-gamegifts[.]live” está a imitar o jogo de navegador Pudgy World, lançado recentemente em 10 de março, na tentativa de roubar senhas de carteiras de criptomoedas.
Técnicas sofisticadas de phishing: reprodução de 11 interfaces de carteiras
O engenheiro sênior de malware da Malwarebytes, Stefan Dasic, detalhou na sua análise a lógica por trás do ataque. Algumas funcionalidades do Pudgy World (como verificar a propriedade de NFTs ou desbloquear conteúdos do jogo) requerem que os jogadores conectem suas carteiras de criptomoedas, e os atacantes estão a explorar essa etapa legítima para enganar:
“Os sites de phishing aproveitam-se desse fluxo de operação. Quando um visitante escolhe sua carteira no site falso, a página exibe uma tela que parece ser a interface de desbloqueio da própria carteira. Para o usuário, parece completamente uma cópia confiável do software de carteira real com o qual já está familiarizado e confia.”
Dasic também destacou que o ataque é tecnicamente impressionante — os atacantes criaram interfaces falsas para 11 diferentes carteiras, quase sem deixar pontos cegos. Independentemente de o usuário possuir Ethereum, Solana ou ativos multi-chain, ele pode receber uma interface de desbloqueio de carteira altamente realista e falsa. Ele acredita que criar 11 interfaces de carteira falsas “não é uma tarefa fácil”, indicando que por trás pode haver um “atacante com recursos consideráveis” ou o uso de ferramentas comerciais de phishing específicas para esse tipo de ataque.
Contexto da marca Pudgy World e riscos de segurança cruzados
Pudgy World é um jogo de navegador gratuito baseado na marca Pudgy Penguins NFT, onde os jogadores podem explorar um mundo virtual, personalizar seus pinguins e completar missões. Desde a aquisição pelo CEO Luca Netz em 2022, a marca Pudgy Penguins expandiu-se de uma coleção de NFTs para uma marca de consumo que inclui produtos de varejo, jogos mobile e jogos web.
No entanto, os Pudgy Penguins já haviam sido alvo de ataques semelhantes anteriormente. Em dezembro de 2024, a empresa de segurança blockchain Scam Sniffer alertou que atacantes usaram anúncios maliciosos no Google para se passar pela plataforma Pudgy Penguins, enganando usuários a conectar suas carteiras. Pesquisadores apontaram que esse tipo de ataque costuma ocorrer em momentos de grande destaque de projetos NFT populares, aproveitando o fluxo de novos usuários para maximizar o impacto.
Recomendações de proteção: como evitar ser vítima
A Malwarebytes recomenda as seguintes medidas de proteção específicas para usuários do Pudgy World:
- Acesse o site oficial apenas por meio de favoritos: evite usar links de motores de busca ou redes sociais para entrar no jogo.
- Fique atento ao local de exibição de solicitações de senha da carteira: solicitações legítimas de senha nunca aparecem no conteúdo da página; se a página pedir que insira a senha no navegador, pare imediatamente.
- Não clique em links de mensagens privadas ou redes sociais: os links oficiais de projetos de criptomoedas devem ser obtidos diretamente do Twitter/X oficial ou do Discord, em mensagens fixadas.
- Resposta rápida se inserir credenciais em sites suspeitos: se você inseriu sua senha de carteira em um site suspeito, altere-a imediatamente. Se suspeitar que sua carteira foi comprometida, considere transferir seus ativos para um endereço novo e seguro.
Perguntas frequentes
Como posso confirmar que estou acessando o Pudgy World legítimo e não um site falso?
Verifique se o domínio corresponde exatamente ao do site oficial do Pudgy Penguins (atenção a caracteres extras ou hífens); obtenha o link diretamente do Twitter/X oficial ou do Discord; e utilize favoritos para acessar o endereço oficial, evitando procurar pelo site em motores de busca toda vez.
Por que os atacantes agem logo após o lançamento de um novo jogo?
Segundo Stefan Dasic, o momento do ataque é deliberado — durante o lançamento, há um grande fluxo de novos usuários que estão começando a usar carteiras de criptomoedas, muitas vezes sem familiaridade com os procedimentos de conexão, o que facilita o sucesso do golpe. Além disso, o aumento de buscas pelo novo jogo faz com que sites falsos apareçam mais facilmente nos resultados de pesquisa.
Dados do FBI mostram que em 2024 o prejuízo com fraudes de phishing ultrapassou 70 milhões de dólares. Quais riscos os usuários de criptomoedas enfrentam?
De acordo com o Centro de Denúncias de Crimes na Internet do FBI (IC3), em 2024 foram registradas 193.407 denúncias de phishing e fraudes, com perdas superiores a 70 milhões de dólares, sem contar muitos casos não reportados. Usuários de criptomoedas enfrentam riscos ainda maiores devido ao anonimato e à irreversibilidade das transações — uma vez que os ativos são transferidos para endereços controlados pelos atacantes, é quase impossível recuperá-los.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O assalto mais disparatado do sector cripto? Um hacker cunha 1 000 milhões de USD em DOT, mas só rouba 230 000 USD
Os hackers exploraram uma vulnerabilidade da ponte cross-chain Hyperbridge para cunhar 1 000 000 000 de tokens Polkadot (DOT), com um valor nominal superior a 1190 milhões de dólares, mas devido à falta de liquidez, acabaram por só realizar cerca de 237 000 dólares. O ataque aconteceu porque o contrato inteligente não verificou corretamente as mensagens, permitindo que os hackers obtivessem com sucesso controlo administrativo e cunhassem tokens. O incidente destaca o papel crucial da liquidez do mercado no sucesso das operações de arbitragem.
CryptoCity7h atrás
Falsa aplicação Ledger Live rouba 9,5 milhões de dólares a partir de mais de 50 utilizadores em várias blockchains
Uma aplicação fraudulenta do Ledger Live na App Store da Apple roubou 9,5 milhões de dólares de mais de 50 utilizadores ao comprometer as informações das carteiras. O incidente, que envolve perdas significativas para investidores importantes, levanta preocupações sobre a segurança da App Store, suscitando discussões sobre um possível processo judicial contra a Apple.
GateNews8h atrás
Criticado por congelar demasiado devagar o USDC! O CEO da Circle: é preciso esperar sempre pela ordem do tribunal para congelar; recusa congelar por conta própria
O CEO da Circle, Jeremy Allaire, afirmou que, salvo se receber uma ordem judicial ou uma exigência por parte das autoridades de aplicação da lei, a empresa não irá congelar proactivamente endereços de carteiras. Mesmo perante controvérsias de branqueamento por parte de hackers e críticas da comunidade, a Circle continua a insistir em operar segundo os princípios do Estado de direito.
Jeremy Allaire define o limite da execução coerciva da Circle
-----------------------------
Com o mercado global de criptomoedas a viver uma fase de grande agitação, o CEO do emissor de stablecoins Circle, Jeremy Allaire, numa conferência de imprensa em Seul, na Coreia do Sul, apresentou uma posição clara sobre a mais sensível questão do mercado: o “congelamento de ativos”. Referiu que, embora a Circle tenha meios técnicos para congelar endereços de carteiras específicos, a menos que receba uma ordem judicial ou instruções formais das autoridades de aplicação da lei, a empresa não
CryptoCity10h atrás
Atacante Explora Vulnerabilidade de Polkadot Emparelhado e Transfere $269K para o Tornado Cash
A 15 de abril, a Arkham informou que o atacante que explorou uma vulnerabilidade do Bridged Polkadot transferiu cerca de 269.000 dólares em fundos roubados para o Tornado Cash, complicando o rastreio de ativos.
GateNews11h atrás
Os programadores do Bitcoin propõem o BIP 361 para se protegerem contra as ameaças da computação quântica
Os programadores do Bitcoin propuseram o BIP 361 para salvaguardar a rede contra os riscos dos computadores quânticos, congelando endereços vulneráveis. A proposta inclui um plano faseado para transferir os utilizadores para carteiras seguras contra o quântico, mas tem gerado debate sobre o controlo do utilizador e a segurança.
GateNews11h atrás
Hackers exploram o plugin Obsidian para distribuir o troiano PHANTOMPULSE com C2 baseado em blockchain
O Elastic Security Labs revelou que os agentes de ameaça se fizeram passar por empresas de capital de risco no LinkedIn e no Telegram para implementar um RAT do Windows chamado PHANTOMPULSE, usando cofres de notas do Obsidian para os ataques, algo que o Elastic Defend bloqueou com sucesso.
GateNews12h atrás
