O esquema de engenharia social direcionado a usuários de uma plataforma de negociação, gerou ampla seguir

Nos últimos anos, os ataques de engenharia social no campo dos activos criptográficos tornaram-se uma ameaça significativa à segurança dos fundos dos usuários. Desde 2025, os incidentes de fraude de engenharia social direcionados a usuários de uma plataforma de negociação conhecida têm vindo à tona, suscitando amplas discussões na comunidade. Esses incidentes não são casos isolados, mas apresentam características de continuidade e organização.

No dia 15 de maio, a plataforma de negociação emitiu um comunicado, confirmando as especulações anteriores sobre a existência de um "traidor" dentro da plataforma. O Departamento de Justiça dos EUA já iniciou uma investigação sobre o incidente de vazamento de dados.

Este artigo irá revelar os principais métodos de atuação dos golpistas, organizando as informações fornecidas por vários investigadores de segurança e vítimas, e discutir estratégias de resposta a partir das perspetivas da plataforma e dos utilizadores.

Análise histórica

O detetive on-chain Zach mencionou na atualização de 7 de maio: "Apenas na última semana, mais de 45 milhões de dólares foram roubados de usuários dessa plataforma devido a fraudes de engenharia social."

No último ano, Zach revelou várias vezes incidentes de roubo de usuários na plataforma, com algumas vítimas perdendo até dezenas de milhões de dólares. Sua investigação detalhada publicada em fevereiro de 2025 mostra que, apenas entre dezembro de 2024 e janeiro de 2025, as perdas financeiras causadas por tais lavagens de olhos ultrapassaram os 65 milhões de dólares. A plataforma enfrenta uma grave crise de "fraude social", com ataques que continuam a comprometer a segurança dos ativos dos usuários em uma escala anual de 300 milhões de dólares.

Zach ainda apontou:

• Os grupos que lideram este tipo de lavagem os olhos dividem-se principalmente em duas categorias: uma é composta por atacantes de baixo nível de círculos específicos, e a outra é formada por organizações de cibercrime localizadas na Índia;
• Grupos de fraude têm como principais alvos os usuários americanos, com métodos de operação padronizados e um fluxo de conversa maduro;
• O valor real da perda pode ser muito superior às estatísticas visíveis, pois não inclui informações não divulgadas, como pedidos de suporte ao cliente que não podem ser obtidos e registros de queixas policiais.

lavar os olhos

Neste evento, o sistema técnico da plataforma não foi comprometido; os golpistas aproveitaram os privilégios de um funcionário interno para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, informações de contacto, dados da conta, fotos do cartão de identificação, etc. O objetivo final dos golpistas é utilizar técnicas de engenharia social para induzir os usuários a transferirem dinheiro.

Este tipo de ataque altera as tradicionais técnicas de phishing "de rede", passando para um "ataque preciso", sendo considerado uma fraude de engenharia social "sob medida". O caminho típico de crime é o seguinte:

1. Fingir ser o serviço de atendimento ao cliente oficial e contatar os usuários

Os golpistas usam sistemas telefónicos falsificados para se passar pelo suporte ao cliente da plataforma, alegando que a "conta do usuário sofreu um login ilegal" ou que "foram detetadas anomalias no levantamento", criando uma atmosfera de urgência. Em seguida, enviam e-mails ou mensagens de texto de phishing com aparência realista, contendo números de ordem falsos ou links para um "processo de recuperação", conduzindo os usuários a agir. Estes links podem apontar para interfaces clonadas da plataforma, podendo até enviar e-mails que parecem vir de domínios oficiais, com alguns e-mails a utilizar técnicas de redirecionamento para contornar a proteção de segurança.

2. induzir os usuários a baixar carteiras auto-hospedadas

Os golpistas, sob o pretexto de "proteger ativos", orientam os usuários a transferir fundos para uma "carteira segura", auxiliando-os na instalação de uma carteira de auto-hospedagem e indicando como transferir os ativos que estavam originalmente sob custódia na plataforma para a nova carteira criada.

3. Fornecer palavras-passe falsas

Ao contrário do "lavar os olhos" tradicional de "enganar as palavras-chave", os golpistas fornecem diretamente um conjunto de palavras-chave geradas por eles, induzindo os usuários a usá-las como "nova carteira oficial".

4. Roubo de fundos

As vítimas, sob tensão, ansiedade e confiando no "suporte ao cliente", tornam-se facilmente suscetíveis a cair na armadilha. Elas acreditam que a nova carteira "fornecida oficialmente" é mais segura do que a antiga que "suspeita-se ter sido invadida". Assim que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente retirá-los.

Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma irá migrar completamente para carteiras auto-geridas", e pedem aos usuários que concluam a migração de ativos em um curto espaço de tempo. Sob a pressão do tempo e a sugestão psicológica de "ordens oficiais", os usuários são mais propensos a cooperar com a operação.

Segundo os investigadores de segurança, esses ataques costumam ser organizados e planejados de forma estruturada.

• Ferramentas de fraude aprimoradas: os golpistas usam sistemas PBX para falsificar números de telefone, simulando chamadas de atendimento ao cliente oficiais. Ao enviar e-mails de phishing, eles usam ferramentas específicas para imitar e-mails oficiais, anexando um "guia de recuperação de conta" que orienta a transferência.
• Objetivo preciso: os golpistas dependem de dados de usuários roubados adquiridos em canais ilegais, focando em usuários de áreas específicas como principais alvos, e até mesmo utilizando ferramentas de IA para processar os dados roubados, segmentando e reorganizando números de telefone, gerando arquivos em massa, e depois enviando mensagens fraudulentas através de software de força bruta.
• Processo de engano coerente: desde chamadas telefónicas, mensagens de texto até e-mails, o caminho da fraude geralmente é perfeitamente contínuo. As frases de phishing comuns incluem "a conta recebeu um pedido de levantamento", "a palavra-passe foi redefinida" e "a conta apresentou um login anormal", induzindo continuamente a vítima a realizar uma "verificação de segurança" até que a transferência da carteira seja concluída.

Análise na cadeia

Através do sistema de rastreamento e combate à lavagem de dinheiro em cadeia, foram analisados alguns endereços de golpistas conhecidos, descobrindo-se que esses golpistas possuem uma forte capacidade de operação em cadeia, cujas principais características são as seguintes:

• Os alvos de ataque cobrem vários ativos, com um período ativo concentrado entre dezembro de 2024 e maio de 2025, sendo os principais ativos alvo o BTC e o ETH. O BTC é atualmente o principal alvo de fraudes, com vários endereços obtendo lucros em uma única vez de até centenas de BTC, com um único valor de milhões de dólares.

• Após a obtenção de fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para trocar e transferir os ativos, com o seguinte modo principal:

  • Os ativos da classe ETH são frequentemente trocados rapidamente por stablecoins em algum DEX, e depois transferidos de forma descentralizada para vários novos endereços, com parte dos ativos entrando na plataforma de negociação centralizada;

  • O BTC é principalmente transferido para o Ethereum através de pontes de cadeia, e depois trocado por stablecoins, evitando riscos de rastreamento.

• Vários endereços de fraude permanecem em estado de "parado" após receberem a stablecoin, ainda não foram transferidos.

Para evitar interações com endereços suspeitos e o risco de congelamento de ativos, recomenda-se que os usuários utilizem ferramentas de análise em cadeia para detectar riscos em endereços-alvo antes de realizar transações, a fim de evitar efetivamente ameaças potenciais.

Medidas de resposta

plataforma

Os principais meios de segurança atuais são mais proteções a nível "técnico", enquanto as fraudes de engenharia social muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Assim, recomenda-se que a plataforma integre educação do usuário, treinamento de segurança e design de usabilidade, estabelecendo uma linha de defesa de segurança "voltada para as pessoas".

• Envio regular de conteúdos de educação contra fraudes: através de pop-ups do App, interface de confirmação de transações, e-mails, entre outros, para aumentar a capacidade dos usuários de se protegerem contra phishing;

• Otimizar o modelo de gestão de riscos, introduzindo "identificação interativa de comportamentos anómalos": a maioria das fraudes de engenharia social induz os utilizadores a realizar uma série de operações num curto espaço de tempo. A plataforma deve identificar combinações interativas suspeitas com base no modelo de cadeia comportamental, acionando um período de reflexão ou um mecanismo de revisão manual.

• Normatizar os canais de atendimento ao cliente e os mecanismos de verificação: os golpistas frequentemente se passam por atendentes para confundir os usuários, a plataforma deve padronizar templates de chamadas, mensagens de texto e e-mails, e fornecer um "portal de verificação de atendimento ao cliente", esclarecendo o único canal oficial de comunicação, evitando confusões.

usuário

• Implementar uma estratégia de isolamento de identidade: evitar que várias plataformas partilhem o mesmo email ou número de telefone, reduzindo o risco conjunto, e pode utilizar ferramentas de verificação de vazamentos para verificar regularmente se o email foi vazado.

• Ativar a lista branca de transferências e o mecanismo de arrefecimento de retiradas: definir endereços confiáveis, reduzindo o risco de perda de fundos em situações de emergência.

• Continuar a seguir informações de segurança: através de empresas de segurança, mídia, plataformas de negociação, entre outros canais, fique a par das últimas dinâmicas das técnicas de ataque e mantenha-se alerta. Atualmente, várias instituições de segurança estão a desenvolver plataformas de simulação de phishing em Web3, que simularão vários métodos típicos de phishing, permitindo que os usuários melhorem sua capacidade de identificação e resposta em um ambiente sem riscos.

• Atenção aos riscos offline e à proteção da privacidade: a divulgação de informações pessoais também pode provocar problemas de segurança pessoal.

Desde o início deste ano, profissionais/usuários de criptomoedas enfrentaram várias ameaças à sua segurança pessoal. Dado que os dados vazados contêm informações pessoais detalhadas, os usuários relevantes também devem aumentar a vigilância e prestar atenção à segurança offline.

Em suma, mantenha a desconfiança e continue a verificar. Para qualquer operação urgente, certifique-se de exigir que a outra parte comprove sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.

Resumo

Este incidente expôs novamente que, face às técnicas de engenharia social cada vez mais sofisticadas, a indústria ainda apresenta lacunas evidentes na proteção de dados e ativos dos clientes. É alarmante que, mesmo que os cargos relevantes na plataforma não tenham autorização para manusear fundos, a falta de consciência e capacidade de segurança suficientes pode resultar em consequências graves devido a divulgações acidentais ou coações. À medida que a plataforma continua a crescer, a complexidade do controle de segurança das pessoas também aumenta, tornando-se um dos riscos mais difíceis de enfrentar na indústria. Portanto, enquanto a plataforma fortalece os mecanismos de segurança na cadeia, deve também construir sistematicamente um "sistema de defesa contra engenharia social" que abranja tanto os funcionários internos como os serviços externos, integrando os riscos humanos na estratégia de segurança global.

Além disso, assim que um ataque for identificado como não sendo um evento isolado, mas sim uma ameaça contínua organizada e em escala, a plataforma deve responder imediatamente, investigando proativamente as vulnerabilidades potenciais, alertando os usuários para se prevenirem e controlando a extensão dos danos. Somente com uma resposta dupla em níveis técnico e organizacional é que se pode realmente preservar a confiança e a linha de base em um ambiente de segurança cada vez mais complexo.