Uma única vítima caiu em dois golpes em um intervalo de três horas, perdendo um total de US$ 2,6 milhões em stablecoins.
De acordo com dados divulgados em 26 de maio pela empresa de conformidade cripto Cyvers, a vítima enviou o equivalente a US$ 843 mil em USDt (USDT), seguido de outros US$ 1,75 milhão cerca de três horas depois. A Cyvers informou que o golpe utilizou um método conhecido como transferência de valor zero, uma forma sofisticada de phishing on-chain.
Transferências de valor zero são uma técnica de phishing on-chain que explora as funções de transferência de tokens para enganar usuários e levá-los a enviar fundos reais para os invasores. Os golpistas exploram a função From de transferência de tokens para transferir zero tokens da carteira da vítima para um endereço falso.
Como o valor transferido é zero, não é necessária nenhuma assinatura com a chave privada da vítima para que a transação seja incluída on-chain. Consequentemente, a vítima verá a transação de saída em seu histórico.
A vítima pode confiar nesse endereço por vê-lo em seu histórico de transações, interpretando-o erroneamente como um destinatário conhecido ou seguro. Em uma transação futura, ela pode acabar enviando fundos reais para o endereço do invasor.
Em um caso de grande repercussão, um golpista que utilizou um ataque de phishing com transferência de valor zero conseguiu roubar US$ 20 milhões em USDT antes de ser bloqueado pela emissora da stablecoin no verão de 2023.
Forma avançada de envenenamento de endereço
A transferência de valor zero é considerada uma evolução do envenenamento de endereço, uma tática na qual os invasores enviam pequenas quantias de criptomoedas a partir de um endereço semelhante ao da vítima, muitas vezes com os mesmos caracteres iniciais e finais. O objetivo é fazer com que o usuário copie e reutilize acidentalmente o endereço do invasor em transações futuras, resultando em perda de fundos.
A técnica explora o fato de que muitos usuários confiam em comparações parciais de endereços ou no histórico da área de transferência ao enviar criptomoedas. Endereços personalizados com caracteres semelhantes no início e no fim também podem ser combinados com transferências de valor zero.
Ameaça crescente em várias blockchains
Um estudo de janeiro de 2025 constatou que mais de 270 milhões de tentativas de envenenamento ocorreram na BNB Chain e na Ethereum entre 1º de julho de 2022 e 30 de junho de 2024. Dessas, 6.000 foram bem-sucedidas, gerando perdas superiores a US$ 83 milhões.
O relatório foi divulgado após as empresas de segurança cibernética cripto Trugard e o protocolo de confiança on-chain Webacy anunciarem um sistema baseado em inteligência artificial para detectar envenenamento de endereços de carteiras. A nova ferramenta teria uma taxa de acerto de 97%, testada em casos reais de ataques.