Wallet Drainers em 2026: Anatomia do Phishing Cripto Moderno

1. O cenário macroeconômico do phishing em 2026

O volume de atividade maliciosa na web escalou de forma alarmante. No último ano, pesquisadores de segurança rastrearam aproximadamente 11,9 milhões de domínios maliciosos, com uma média diária de 378.411 domínios ativos a qualquer momento. Essa saturação do espaço digital é projetada para sobrecarregar os mecanismos reativos de defesa de instituições financeiras e plataformas de tecnologia, que agora são os principais alvos dessas campanhas.

As estatísticas revelam que o setor de tecnologia concentra 36,13% dos ataques, seguido pelo setor governamental e financeiro com 26,84%, e o e-commerce com 14,72%. Essas indústrias oferecem alta alavancagem para os atacantes, já que comprometer uma única identidade pode desbloquear o acesso a múltiplos sistemas críticos.

A sofisticação dos ataques elevou o pagamento médio de golpes de $782 em 2024 para $2.764 em 2025 — um aumento de 253% em relação ao ano anterior. Esse fenômeno é explicado pelo abandono de campanhas massivas e indiscriminadas pelos golpistas em favor de ataques altamente direcionados e personalizados. Eles agora utilizam ferramentas de inteligência artificial para identificar e explorar indivíduos de alto patrimônio, conhecidos como "whales" no jargão cripto.

O papel das stablecoins foi fundamental nessa expansão. Em 2026, as stablecoins representam 84% de todo o volume de transações ilícitas. Sua estabilidade de preço as torna o veículo ideal para lavagem de dinheiro e evasão de sanções, especialmente em redes ligadas à Rússia como Garantex e o cluster de carteiras A7, que processaram mais de $39 bilhões em 2025 sob um esquema coordenado de evasão de sanções estatais.

Para uma visão mais ampla do cenário de segurança, incluindo os $3,41 bilhões em perdas totais ao longo de 2025, veja nosso Relatório de Segurança Cripto 2025–2026.

2. A economia do Drainer-as-a-Service (DaaS)

O modelo de negócio por trás do roubo de carteiras foi estruturado de forma semelhante ao Ransomware-as-a-Service (RaaS). Desenvolvedores de malware criam infraestruturas completas que alugam para "afiliados" com menos conhecimento técnico. Esses provedores de Drainer-as-a-Service (DaaS) oferecem painéis de controle, geradores de landing pages, bots no Telegram e suporte técnico para mais de 90 tipos de carteiras.

O modelo DaaS industrializou efetivamente o roubo cripto. Um afiliado com habilidades mínimas de programação pode lançar uma campanha de phishing em poucas horas, aproveitando páginas de phishing projetadas profissionalmente que imitam dApps populares, lançamentos de NFTs e sites de reivindicação de airdrops. A barreira de entrada nunca foi tão baixa — e os retornos nunca foram tão altos.

O Rublevka Team: anatomia de um "Traffer Team"

O grupo conhecido como "Rublevka Team" é um exemplo proeminente dessa profissionalização. Operando desde 2023, esta equipe de origem russa gerou mais de $10 milhões através de campanhas movidas por afiliados. Seu sucesso reside em uma estrutura hierárquica e competitiva:

Recrutamento e estrutura. O grupo recruta especialistas em engenharia social através de fóruns especializados como LolzTeam, Exploit e XSS. Os afiliados recebem entre 75% e 80% do saque, enquanto os desenvolvedores principais retêm o percentual restante como taxa de serviço. Essa divisão generosa atrai um fluxo constante de novos operadores ansiosos para participar.

Infraestrutura de evasão. O Rublevka Team emprega técnicas avançadas de "cloaking" para restringir o acesso às suas páginas de phishing com base no endereço IP, ISP ou país de origem do visitante. Isso impede que pesquisadores de segurança ou bots do Google detectem o conteúdo malicioso. Se um pesquisador de uma empresa de segurança conhecida visitar a URL, ele verá uma página inócua. O conteúdo real de phishing é exibido apenas para as vítimas alvo.

Bypass da "Red Table". Eles implementaram funções para desbloquear domínios sinalizados como perigosos pelo Google, exibindo temporariamente conteúdo inofensivo ("white pages") para evadir verificações de segurança. Uma vez que o domínio é removido dos avisos do Google Safe Browsing, o conteúdo de phishing é reativado.

A implantação dessas ferramentas permite que atacantes com mínima experiência técnica lancem campanhas de alto impacto, explorando eventos midiáticos como lançamentos de tokens (airdrops) ou pré-vendas de NFTs para atrair vítimas. Uma página falsa de "reivindique seu airdrop", combinada com promoção em redes sociais através de contas comprometidas, pode gerar retornos de seis dígitos em um único dia.

3. Anatomia técnica do drainer moderno

Os drainers de 2026 evoluíram para explorar a complexidade dos smart contracts e novos padrões de rede. Diferente dos métodos antigos que exigiam que o usuário enviasse manualmente seus ativos, os drainers modernos induzem a vítima a assinar transações que concedem permissões ilimitadas sobre seus fundos.

Compreender os mecanismos técnicos é fundamental porque revela por que o conselho de segurança tradicional — "nunca compartilhe sua seed phrase" — já não é suficiente. A nova geração de ataques não precisa da sua seed phrase. Precisa de uma única assinatura em uma transação cuidadosamente elaborada. Para mais informações sobre como as aprovações de tokens criam riscos ocultos, veja nosso artigo dedicado.

EIP-7702: o novo campo de batalha

A atualização Pectra do Ethereum introduziu o padrão EIP-7702, originalmente projetado para trazer capacidades de abstração de contas para Contas de Propriedade Externa (EOAs) como MetaMask. No entanto, este padrão abriu uma superfície de ataque qualitativamente nova.

O EIP-7702 permite que uma EOA delegue temporariamente sua lógica de execução a um smart contract externo, assinando uma tupla de autorização. Grupos de phishing desenvolveram uma taxonomia de ataques sob este padrão:

Engano do ponteiro de delegação. Os usuários são induzidos a autorizar um endereço que hospeda lógica maliciosa. Como a implementação delegada é opaca no momento da assinatura, o usuário efetivamente instala um "cérebro malicioso" em sua própria carteira. A pré-visualização da transação na maioria das interfaces de carteira não comunica claramente as implicações de uma delegação EIP-7702.

Persistência de controle. Uma vez que a delegação é gravada no slot de código da conta, todas as chamadas subsequentes são automaticamente direcionadas pelo código do atacante. Isso cria uma separação temporal entre o momento do phishing e o momento do roubo, permitindo que o atacante espere até que a carteira tenha um saldo maior antes de executar a drenagem.

Ativação cross-context. O código malicioso pode ser ativado não apenas por transações iniciadas pelo usuário, mas também por chamadas externas de outros contratos ou protocolos. Isso permite a drenagem automática de ativos sem qualquer intervenção direta da vítima — a carteira pode ser esvaziada enquanto o usuário dorme.

Do ponto de vista técnico, a implementação utiliza um novo tipo de transação, SET_CODE_TX_TYPE (0x04), que inclui uma lista de autorizações assinadas. Se um usuário assinar uma dessas autorizações apontando para um contrato drainer, o atacante pode invocar funções de transferência em massa para tokens ERC-20, NFTs e ETH de forma atômica e silenciosa.

Permit2 vs. EIP-7702: uma comparação técnica

O perigo do EIP-7702 reside no fato de que ele quebra suposições fundamentais de segurança. Muitos desenvolvedores confiavam na verificação tx.origin == msg.sender para prevenir reentrância ou ataques de flash loan, assumindo que EOAs não podiam executar código de contrato. O EIP-7702 invalida essa premissa, permitindo que uma conta pessoal se comporte como um contrato malicioso em contextos de governança ou protocolos DeFi. Para uma compreensão mais profunda dos tipos de carteira e suas propriedades de segurança, veja O que é uma carteira cripto?

4. Adaptação por rede: Solana, TON e Layer 2s

Desenvolvedores de drainers diversificaram seus alvos para incluir redes com taxas mais baixas e grandes volumes de usuários de varejo. A expansão para além do Ethereum representa uma maturação da ameaça — kits de drainer agora vêm com suporte multi-chain integrado.

Solana e o malware CLINKSINK

A Solana se tornou um alvo prioritário devido à sua velocidade de transações e ao boom das memecoins. O drainer conhecido como CLINKSINK, identificado por pesquisadores de segurança em 2026, usa páginas de phishing que se passam por Phantom, DappRadar e BONK. Uma vez que a vítima conecta sua carteira para reivindicar um suposto airdrop, é solicitada a assinar uma transação fraudulenta que transfere instantaneamente seus SOL e tokens SPL para os endereços dos atacantes.

Campanhas usando CLINKSINK roubaram um estimado de $900.000, distribuindo o saque em uma divisão 80/20 entre afiliado e operador do serviço. A agilidade desses grupos é evidente na rotação constante de domínios e APIs de RPC (Remote Procedure Call) para evadir listas negras de carteiras. Um domínio pode ficar ativo por apenas 4–6 horas antes de ser rotacionado, tornando as defesas tradicionais baseadas em listas negras amplamente ineficazes.

The Open Network (TON) e o engano baseado em comentários

A integração do TON com o Telegram facilitou uma nova modalidade de phishing baseada na função de comentário de transações. Atacantes enviam ofertas falsas de, por exemplo, 5.000 USDT, usando o campo de comentário para exibir mensagens como "Receba 5.000 USDT" acompanhadas de um botão "Confirmar". Quando o usuário assina o que parece ser um recebimento de fundos, na verdade autoriza um contrato que drena seus Toncoins e Jettons (tokens TON).

Embora alguns operadores de drainers tenham abandonado o TON devido à falta de "whales" (investidores de alto capital), o volume de vítimas de varejo permanece significativo. A proximidade social do Telegram — onde usuários podem receber mensagens maliciosas de contatos cujas contas foram comprometidas — adiciona uma camada de confiança que os canais tradicionais de phishing não possuem.

A dominância da Layer 2: Base e Arbitrum

Em 2026, redes Layer 2 (L2) como Base e Arbitrum concentram mais de 77% do valor total bloqueado no ecossistema L2. A Base, em particular, tornou-se líder em transações diárias, frequentemente ultrapassando 50 milhões de transações mensais. Essa concentração de usuários, impulsionada pela facilidade de onboarding da Coinbase, atraiu desenvolvedores de kits drainer como Inferno e Angel, que agora incluem suporte nativo para essas redes.

As baixas taxas de gas nessas redes permitem que golpistas conduzam ataques de envenenamento de endereço em escala massiva. Eles enviam microtransações de endereços visualmente semelhantes aos endereços do próprio usuário, esperando que a vítima copie um endereço malicioso do seu histórico de transações ao fazer transferências futuras. Na mainnet do Ethereum, o custo de gas de cada transação de envenenamento seria proibitivo. Na Base ou Arbitrum, um atacante pode enviar milhares de transações de envenenamento por poucos dólares.

Para mais informações sobre como diferentes tipos de carteira interagem com essas redes, veja nosso guia sobre hardware wallets.

5. A revolução da IA no phishing

O uso de inteligência artificial generativa transformou o phishing de uma atividade de "baixo esforço" em uma operação de alta fidelidade. E-mails de phishing gerados por IA alcançam taxas de clique quatro vezes maiores que os métodos tradicionais. A gramática é impecável, a personalização é precisa e o senso de urgência é calibrado para o perfil de cada vítima.

Deepfake vishing e clonagem de voz

A clonagem de voz tornou-se uma ferramenta crítica para Comprometimento de E-mail Corporativo (BEC) e fraude ao consumidor. Com apenas três segundos de áudio de uma pessoa, os atacantes podem gerar clones de voz com 85% de precisão, atingindo um limiar de "indistinguibilidade" para o ouvido humano.

Em março de 2026, foram relatados casos em que golpistas usaram clones de voz de netos para enganar avós, solicitando pagamentos urgentes em Bitcoin para supostas fianças. Na esfera corporativa, o incidente da empresa Arup permanece como caso de referência: um funcionário transferiu $25,6 milhões após participar de uma videochamada com deepfake onde o CFO e outros colegas apareciam — todos gerados sinteticamente.

A combinação de clonagem de voz e deepfake de vídeo em tempo real criou uma ameaça qualitativamente diferente do phishing tradicional. Quando uma vítima vê e ouve uma pessoa em quem confia pedindo que tome uma ação, as defesas psicológicas que protegem contra golpes por e-mail simplesmente não são ativadas. Para orientações completas sobre como se proteger, veja Mantendo-se seguro em cripto.

Agentes autônomos de golpe

A fronteira mais recente é a implantação de agentes autônomos baseados em grandes modelos de linguagem (LLMs). Esses bots podem manter conversas de "romance" ou investimento (Pig Butchering) simultaneamente com milhares de vítimas, adaptando inteligentemente seu tom e personalidade ao longo de semanas ou meses.

A operação "Truman Show" descoberta pela Check Point revelou o uso de 90 "especialistas" gerados por IA em grupos de mensagens, que direcionavam as vítimas para aplicações de trading com dados de mercado controlados pelo atacante. As vítimas acreditavam estar recebendo conselhos de uma comunidade de traders bem-sucedidos. Na realidade, cada "especialista", cada gráfico e cada história de sucesso era fabricado pela IA.

6. Estudos de caso: 2025–2026

Analisar incidentes recentes revela a execução prática dessas ameaças — e as lições que cada um carrega para qualquer pessoa que gerencia ativos digitais.

O roubo de $282 milhões por engenharia social

Em janeiro de 2026, um usuário de hardware wallet sofreu uma perda recorde de $282 milhões em Bitcoin e Litecoin. Apesar de usar uma Trezor, considerada uma das carteiras mais seguras disponíveis, a segurança foi subvertida por um esquema de engenharia social onde os atacantes se passaram pelo suporte técnico para manipular o usuário.

A investigação revelou que os atacantes usaram uma chave de API vazada para facilitar o engano, tornando sua personificação do suporte legítimo mais convincente. Os fundos foram rapidamente lavados através de exchanges instantâneas e rotas ligadas ao THORChain, sendo finalmente convertidos em Monero (XMR) para apagar o rastro. A conversão para Monero — uma moeda de privacidade com transações não rastreáveis — significa que a recuperação é virtualmente impossível.

Este caso é a ilustração mais cara de uma verdade fundamental: hardware wallets protegem contra malware e extração remota de chaves, mas oferecem zero proteção contra um usuário que entrega voluntariamente sua frase de recuperação. O dispositivo não consegue distinguir entre uma recuperação legítima e um ataque de engenharia social.

A exploração do Protocolo TrueBit

No início de 2026, o protocolo TrueBit no Ethereum foi explorado através de uma vulnerabilidade na lógica de preço de cunhagem do seu token TRU. Um atacante abusou de um erro matemático que permitia cunhar grandes quantidades de TRU com ETH quase zero, drenando aproximadamente $26,6 milhões em Ether das reservas do protocolo.

Este caso demonstra que, embora o phishing seja a ameaça dominante, vulnerabilidades técnicas em smart contracts "estagnados" ou de baixa visibilidade permanecem um risco latente. O contrato do TrueBit havia sido implantado anos antes e não recebeu a atenção contínua de segurança da qual protocolos mais ativos se beneficiam. Contratos legados que mantêm valor significativo sem manutenção ativa representam uma bomba-relógio. Para orientações sobre avaliação da segurança de smart contracts, veja Como verificar smart contracts.

Campanhas de personificação governamental: E-ZPass

Uma das campanhas de phishing mais massivas de 2025 foi a operação "E-ZPass", que afetou milhões de motoristas nos Estados Unidos. O grupo conhecido como "Smishing Triad", usando a infraestrutura "Lighthouse", enviou mensagens SMS fraudulentas sobre dívidas de pedágio que direcionavam os usuários para websites indistinguíveis dos oficiais.

Esta operação atingiu 330.000 mensagens enviadas em um único dia e conseguiu arrecadar aproximadamente $1 bilhão ao longo de três anos, demonstrando o poder do Phishing-as-a-Service (PhaaS). A escala desta campanha mostra que a infraestrutura de phishing amadureceu a um ponto onde pode sustentar operações de vários anos gerando retornos de nove dígitos — rivalizando com a receita de empresas de tecnologia legítimas.

Embora a E-ZPass tenha visado métodos de pagamento tradicionais, a mesma infraestrutura e técnicas estão sendo ativamente adaptadas para roubo de criptomoedas. O manual é idêntico: criar urgência, personificar autoridade e direcionar a vítima para um site que captura suas credenciais ou assinaturas de autorização.

7. Estratégias de proteção e resiliência em 2026

A defesa contra phishing moderno requer uma transição da "confiança implícita" para uma arquitetura Zero Trust. Cada interação, cada solicitação de transação e cada comunicação deve ser verificada independentemente. Os dias de confiar em uma URL porque "parece correta" ou em um chamador porque "parece legítimo" acabaram.

Para um guia completo sobre como manter-se seguro em cripto e melhores práticas de privacidade e segurança, veja nossos artigos dedicados na seção Learn.

Sinergia hardware-software: o modelo SignGuard

Em 2026, possuir uma hardware wallet já não é garantia suficiente de segurança. A tendência atual é o uso de sistemas integrados de proteção de assinatura (SignGuard). Essa abordagem significa que a aplicação da carteira (software) analisa e descompila a transação antes que ela chegue ao dispositivo físico.

Paridade de análise. O software deve exibir os detalhes da transação em um formato legível por humanos, alertando sobre métodos de contrato suspeitos ou aprovações de gasto ilimitadas. Se você vir uma transação solicitando approve(address, uint256.max), a interface deve sinalizar explicitamente que você está concedendo acesso ilimitado aos seus tokens.

Proteção open-source. Há uma demanda crescente por dispositivos com firmware e hardware totalmente auditáveis (open source), eliminando o risco de "backdoors" do fabricante. Se o firmware não for open source, você está confiando nas práticas de segurança do fabricante com base na fé.

Segurança multinível. Recomenda-se o uso de chaves de segurança físicas (FIDO2/YubiKey) para proteger o acesso a exchanges e e-mail, eliminando a vulnerabilidade do 2FA baseado em SMS. Ataques de SIM-swap continuam sendo uma ameaça significativa, e o 2FA por SMS deve ser considerado comprometido por padrão.

Gerenciando delegações EIP-7702

Para usuários que interagem com o novo padrão do Ethereum, a higiene de delegação é obrigatória. É essencial usar ferramentas como o EIP-7702 Delegation Checker para verificar se um endereço foi delegado a um contrato desconhecido.

Revogar uma delegação EIP-7702 é realizado assinando uma nova autorização que aponta para o endereço zero (address(0)), o que efetivamente limpa o marcador de código da carteira e restaura seu comportamento padrão. Isso deve ser feito imediatamente se você suspeitar de qualquer delegação não autorizada, e proativamente como parte da manutenção regular de segurança.

Firewalls de IA e segurança do navegador

Plataformas de extensões de segurança de navegador baseadas em IA surgiram, como LayerX e SquareX, que analisam o comportamento do navegador em tempo real. Essas ferramentas detectam se uma extensão maliciosa está tentando injetar prompts em ferramentas de IA generativa ou se está tentando falsificar a interface de carteiras populares como MetaMask ou Phantom.

A detecção não é mais baseada em assinaturas de malware conhecidas, mas em análise dinâmica de anomalias comportamentais. Se um website tentar sobrepor um popup falso do MetaMask sobre o real, ou se solicitar um tipo de assinatura inconsistente com a ação que o usuário acredita estar realizando, a camada de segurança intervém antes que a assinatura seja enviada.

8. O futuro da segurança: além das seed phrases

O modelo tradicional de uma única seed phrase como ponto único de falha está sendo substituído, especialmente em ambientes institucionais e para usuários de alto patrimônio.

Tecnologia MPC (Multi-Party Computation). Essa abordagem divide a chave privada em múltiplos fragmentos distribuídos entre diferentes dispositivos e partes, de modo que nenhum dispositivo ou pessoa isolada tenha controle total sobre os fundos. Mesmo que um fragmento seja comprometido, o atacante não consegue reconstruir a chave completa sem obter um número limite de fragmentos adicionais.

Abstração de conta permanente. A migração para carteiras de smart contract (EIP-4337) permite a implementação de limites de gastos, listas de endereços permitidos e recuperação social. Esses recursos minimizam os danos em caso de comprometimento de uma assinatura. Um limite de gastos de $1.000 por dia significa que mesmo um ataque de phishing bem-sucedido pode drenar apenas $1.000 antes que a vítima detecte o problema e responda.

Higiene operacional. A recomendação geral para 2026 é usar hot wallets exclusivamente para operações diárias com pequenas quantias, enquanto a maior parte dos ativos deve permanecer em cofres de hardware desconectados de qualquer interação frequente com dApps. A regra geral: se você não carregaria essa quantia em dinheiro no bolso na rua, ela não deveria estar em uma hot wallet.

Para uma compreensão mais profunda das arquiteturas de carteira e suas compensações de segurança, veja nossos guias sobre carteiras cripto e hardware wallets.