Wallet Drainers em 2026: Anatomia do Phishing Moderno em Cripto

Contexto Importante

Sobre este artigo

Wallet Drainers em 2026: Anatomia do Phishing Moderno em Cripto nasce de um projeto editorial com autor claro: David Pérez Cabrera. O tom é mais de oficina do que de linha de montagem de conteúdo, porque por trás existem produto real, infraestrutura e uma visão consistente sobre privacidade, resiliência e utilidade.

Sobre a CleanSky

O app bancário DeFi CleanSky elimina todas as barreiras de entrada. Sem formulário de cadastro, sem senha para lembrar, sem 2FA para configurar. Somente leitura pura — cole um endereço, veja seu patrimônio em mais de 50 redes, pronto. Acesso em segundos.

O que o CleanSky faz

CleanSky: visibilidade total sobre seu cripto, em mais de 50 redes, sem abrir mão de nada — nem da privacidade, nem da segurança, nem do dinheiro.

Sobre a Dilithia

Cada escolha criptográfica na Dilithia é feita contra a mesma pergunta: isto vai sustentar-se quando chegarem os adversários com capacidade quantum e os agentes LLM autónomos operarem em escala? A resposta — expressa como design completo de protocolo em vez de como roadmap — é o que torna a Dilithia a aposta mais segura credível para infraestrutura blockchain post-quantum. Sem criptografia colada a posteriori, sem plugin de execução agéntica, sem narrativa de compatibilidade com cadeias legadas. Wallet Drainers em 2026: Anatomia do Phishing Moderno em Cripto sai dessa mesma disciplina de engenharia.

DILI: preço determinado pelos mercados, valor determinado pela infraestrutura que assegura.

Um fio comum

No fundo, o trabalho de David Pérez Cabrera insiste numa ideia simples: sistemas bem desenhados não deveriam pedir mais poder do que o necessário. Esse princípio atravessa produto, protocolo e automação.

Explore mais: CleanSky · Founder · Dilithia · GitHub

Introdução

O paradoxo de 2026

A evolução do ecossistema de criptomoedas em 2026 produziu um paradoxo de segurança sem precedentes. Enquanto as infraestruturas de Camada 1 e Camada 2 atingiram níveis de robustez técnica e escalabilidade antes inimagináveis, ofator humano consolidou-se como a principal vulnerabilidadeexplorada por organizações criminosas altamente profissionalizadas.

Os chamados "Wallet Drainers" deixaram de ser simples scripts amadores. Eles se tornaramplataformas de infraestrutura como serviço (IaaS) impulsionadas por inteligência artificial, capazes de executar roubos em escala industrial com precisão cirúrgica. Em 2025, o valor recebido por carteiras de criptomoedas ilícitas atingiu o recorde de$158 bilhões— um aumento de 145% em relação aos $64,5 bilhões registrados em 2024. Esse surto não é fruto de falhas em protocolos criptográficos, mas sim do refinamento das táticas de engenharia social e da exploração de novos padrões do Ethereum, como o EIP-7702.

Este artigo disseca a anatomia do phishing moderno em cripto: os modelos de negócio por trás dele, os mecanismos técnicos que o tornam possível, as redes visadas, o papel da IA na escala dos ataques e as estratégias necessárias para se proteger.

1. Cenário Macroeconômico

1. O cenário macroeconômico do phishing em 2026

O volume de atividade maliciosa na web escalou de forma alarmante. No último ano, pesquisadores de segurança rastrearam aproximadamente11,9 milhões de domínios maliciosos, com uma média diária de 378.411 domínios ativos a qualquer momento. Essa saturação do espaço digital é projetada para sobrecarregar os mecanismos de defesa reativa de instituições financeiras e plataformas tecnológicas, que são agora os principais alvos dessas campanhas.

As estatísticas revelam que osetor de tecnologia concentra 36,13% dos ataques, seguido pelo setor governamental e financeiro com 26,84%, e o e-commerce com 14,72%. Essas indústrias oferecem alta alavancagem para os atacantes, já que comprometer uma única identidade pode liberar acesso a múltiplos sistemas críticos.

A sofisticação dos ataques elevou opagamento médio de golpes de $782 em 2024 para $2.764 em 2025— um aumento de 253% ano a ano. Esse fenômeno é explicado pelo abandono de campanhas massivas e indiscriminadas em favor de ataques altamente direcionados e personalizados. Agora, utilizam-se ferramentas de inteligência artificial para identificar e explorar indivíduos de alto patrimônio, conhecidos como "baleias" no jargão cripto.

Métrica de Fraude	Valor 2024	Valor 2025/2026	Variação Anual
Fluxos ilícitos de cripto	$64,5 bilhões	$158 bilhões	+145%
Pagamento médio de golpe	$782	$2.764	+253%
Domínios maliciosos ativos	~5 milhões	11,9 milhões	+138%
Crescimento de golpes via IA	N/A	1.210%	N/A
Market share ilícito de stablecoins	~60%	84%	+40%

O papel das stablecoins tem sido fundamental nesta expansão. Em 2026, as stablecoins representam84% de todo o volume de transações ilícitas. Sua estabilidade de preço as torna o veículo ideal para lavagem de dinheiro e evasão de sanções, especialmente em redes ligadas à Rússia, como a Garantex e o cluster de carteiras A7, que processaram mais de$39 bilhões em 2025sob um esquema coordenado de evasão de sanções estatais.

Para uma visão mais ampla do cenário de segurança, incluindo os $3,41 bilhões em perdas totais ao longo de 2025, consulte nossoRelatório de Segurança Cripto 2025–2026.

2. Economia DaaS

2. A economia de Drainer-as-a-Service (DaaS)

O modelo de negócio por trás do roubo de carteiras foi estruturado de forma semelhante ao Ransomware-as-a-Service (RaaS). Desenvolvedores de malware criam infraestruturas completas que alugam para "afiliados" com menos conhecimento técnico. Esses provedores de Drainer-as-a-Service (DaaS) oferecem painéis de controle, geradores de landing pages, bots de Telegram e suporte técnico paramais de 90 tipos de carteiras.

O modelo DaaS efetivamente industrializou o roubo de cripto. Um afiliado com habilidades mínimas de codificação pode lançar uma campanha de phishing em poucas horas, aproveitando páginas de phishing profissionalmente desenhadas que imitam dApps populares, drops de NFT e sites de reivindicação de airdrops. A barreira de entrada nunca foi tão baixa — e os retornos nunca foram tão altos.

Rublevka Team: anatomia de um "Traffer Team"

O grupo conhecido como "Rublevka Team" é um exemplo proeminente dessa profissionalização. Operando desde 2023, esta equipe de origem russa geroumais de $10 milhõesatravés de campanhas baseadas em afiliados. Seu sucesso reside em uma estrutura hierárquica e competitiva:

Recrutamento e estrutura.O grupo recruta especialistas em engenharia social através de fóruns especializados como LolzTeam, Exploit e XSS. Os afiliados recebem entre75% e 80% do saque, enquanto os desenvolvedores principais retêm a porcentagem restante como taxa de serviço. Essa divisão generosa atrai um fluxo constante de novos operadores ansiosos para participar.

Infraestrutura de evasão.O Rublevka Team utiliza técnicas avançadas de "cloaking" para restringir o acesso às suas páginas de phishing com base no endereço IP, ISP ou país de origem do visitante. Isso impede que pesquisadores de segurança ou bots do Google detectem o conteúdo malicioso. Se um pesquisador de uma empresa de segurança conhecida visita a URL, ele vê uma página inócua. O conteúdo real de phishing é servido apenas às vítimas visadas.

Bypass de "Red Table".Eles implementaram funções para desbloquear domínios sinalizados como perigosos pelo Google, exibindo temporariamente conteúdo inofensivo ("white pages") para burlar varreduras de segurança. Assim que o domínio é removido dos avisos do Google Safe Browsing, o conteúdo de phishing é reativado.

A implantação dessas ferramentas permite que atacantes comexperiência técnica mínimapara lançar campanhas de alto impacto, explorando eventos de mídia como lançamentos de tokens (airdrops) ou pré-vendas de NFT para atrair vítimas. Uma página falsa de "resgate seu airdrop", combinada com promoção em redes sociais através de contas comprometidas, pode gerar retornos de seis dígitos em um único dia.

3. Anatomia Técnica

3. Anatomia técnica do drainer moderno

Os drainers de 2026 evoluíram para explorar a complexidade doscontratos inteligentese novos padrões de rede. Ao contrário dos métodos antigos que exigiam que o usuário enviasse manualmente seus ativos, os drainers modernos induzem a vítima a assinar transações que concedempermissões ilimitadas sobre seus fundos.

Compreender os mecanismos técnicos é crítico porque revela por que o conselho tradicional de segurança — "nunca compartilhe sua seed phrase" — não é mais suficiente. A nova geração de ataques não precisa da sua seed phrase. Ela precisa de uma única assinatura em uma transação cuidadosamente elaborada. Para saber mais sobre comoas aprovações de tokens criam riscos ocultos, consulte nosso artigo dedicado.

EIP-7702: o novo campo de batalha

A atualização Pectra do Ethereum introduziu o padrão EIP-7702, originalmente projetado para trazer capacidades de abstração de conta para Contas Externamente Controladas (EOAs) como a MetaMask. No entanto, este padrão abriu umasuperfície de ataque qualitativamente nova.

O EIP-7702 permite que uma EOA delegue temporariamente sua lógica de execução a um contrato inteligente externo ao assinar uma tupla de autorização. Grupos de phishing desenvolveram uma taxonomia de ataques sob este padrão:

Decepção por ponteiro de delegação.Os usuários são enganados para autorizar um endereço que hospeda lógica maliciosa. Como a implementação delegada é opaca no momento da assinatura, o usuário efetivamente instala um "cérebro malicioso" em sua própria carteira. A visualização da transação na maioria das interfaces de carteira não comunica claramente as implicações de uma delegação EIP-7702.

Persistência de controle.Uma vez que a delegação é gravada no slot de código da conta, todas as chamadas subsequentes são automaticamente roteadas através do código do atacante. Isso cria umaseparação temporal entre o momento do phishing e o momento do roubo, permitindo que o atacante espere até que a carteira tenha um saldo maior antes de executar a drenagem.

Ativação em contexto cruzado.O código malicioso pode ser ativado não apenas por transações iniciadas pelo usuário, mas também por chamadas externas de outros contratos ou protocolos. Isso permite a drenagem automática de ativos sem qualquer intervenção direta da vítima — a carteira pode ser esvaziada enquanto o usuário dorme.

Do ponto de vista técnico, a implementação utiliza um novo tipo de transação,SET_CODE_TX_TYPE (0x04), que inclui uma lista de autorizações assinadas. Se um usuário assinar uma dessas autorizações apontando para um contrato de drainer, o atacante pode invocar funções de transferência em massa para tokens ERC-20, NFTs e ETH de forma atômica e silenciosa.

Permit2 vs. EIP-7702: uma comparação técnica

Característica	Phishing via Permit2	Phishing via EIP-7702
Mecanismo primário	Assinatura de mensagem off-chain para gastar tokens	Delegação total da lógica de execução da conta
Escopo de controle	Limitado a contratos e tokens específicos	Controle absoluto sobre todas as ações da conta
Persistência	Geralmente vinculado a uma única aprovação	Permanente até ser revogado via nova transação
Visibilidade no Explorer	Aparece como uma autorização de gasto	Aparece como alteração de código de conta (marcador EIP-7702)
Facilidade de uso para atacantes	Requer múltiplas assinaturas para diferentes ativos	Uma única assinatura permite a drenagem total da carteira

O perigo do EIP-7702 reside no fato de que elequebra suposições fundamentais de segurança. Muitos desenvolvedores confiavam na verificaçãotx.origin == msg.senderpara prevenir ataques de reentrada ou flash loan, assumindo que EOAs não poderiam executar código de contrato. O EIP-7702 invalida esta premissa, permitindo que uma conta pessoal se comporte como um contrato malicioso em contextos de governança ou protocolos DeFi. Para uma compreensão mais profunda dos tipos de carteira e suas propriedades de segurança, vejaO que é uma carteira cripto?

4. Adaptação de Rede

4. Adaptação por rede: Solana, TON e Layer 2s

Os desenvolvedores de drainers diversificaram seus alvos para incluir redes com taxas mais baixas e grandes volumes de usuários de varejo. A expansão além do Ethereum representa um amadurecimento da ameaça — os kits de drainer agora vêm com suporte multi-chain nativo.

Solana e o malware CLINKSINK

A Solana tornou-se um alvo prioritário devido à sua velocidade de transação e ao boom das memecoins. O drainer conhecido como CLINKSINK, identificado por pesquisadores de segurança em 2026, utiliza páginas de phishing quepersonificam Phantom, DappRadar e BONK. Uma vez que a vítima conecta sua carteira para resgatar um suposto airdrop, ela é solicitada a assinar uma transação fraudulenta que transfere instantaneamente seus tokens SOL e SPL para os endereços dos atacantes.

Estima-se que campanhas usando CLINKSINK tenham roubado$900.000, distribuindo o saque em uma divisão de 80/20 entre o afiliado e o operador do serviço. A agilidade desses grupos é evidente na rotação constante de domínios e APIs RPC (Remote Procedure Call) para evitar listas negras de carteiras. Um domínio pode ficar ativo por apenas 4 a 6 horas antes de ser rotacionado, tornando as defesas tradicionais baseadas em listas negras amplamente ineficazes.

The Open Network (TON) e decepção baseada em comentários

A integração da TON com o Telegram facilitou uma nova modalidade de phishing baseada nafunção de comentário de transação. Os atacantes enviam ofertas falsas de, por exemplo, 5.000 USDT, usando o campo de comentário para exibir mensagens como "Receber 5.000 USDT" ao lado de um botão "Confirmar". Quando o usuário assina o que parece ser um recebimento de fundos, ele na verdade autoriza um contrato que drena seus Toncoins e Jettons (tokens TON).

Embora alguns operadores de drainer tenham abandonado a TON devido à falta de "baleias" (investidores de alto capital), ovolume de vítimas de varejo permanece significativo. A proximidade social do Telegram — onde os usuários podem receber mensagens maliciosas de contatos cujas contas foram comprometidas — adiciona uma camada de confiança que os canais de phishing tradicionais não possuem.

A dominância das Layer 2: Base e Arbitrum

Em 2026, redes de Camada 2 (L2) como Base e Arbitrum concentrammais de 77% do valor total bloqueadono ecossistema L2. A Base, em particular, tornou-se líder em transações diárias, frequentemente excedendo 50 milhões de transações mensais. Essa concentração de usuários, impulsionada pela facilidade de entrada via Coinbase, atraiu desenvolvedores de kits de drainer como Inferno e Angel, que agora incluemsuporte nativo para essas redes.

As baixas taxas de gás nessas redes permitem que golpistas realizemataques de envenenamento de endereço (address poisoning)em escala massiva. Eles enviam microtransações de endereços visualmente semelhantes aos endereços do próprio usuário, esperando que a vítima copie um endereço malicioso de seu histórico de transações ao realizar transferências futuras. Na rede principal do Ethereum, o custo de gás de cada transação de envenenamento seria proibitivo. Na Base ou Arbitrum, um atacante pode enviar milhares de transações de envenenamento por alguns dólares.

Para saber mais sobre como diferentes tipos de carteira interagem com essas redes, veja nosso guia sobrecarteiras de hardware.

5. Revolução da IA

5. A revolução da IA no phishing

O uso de inteligência artificial generativa transformou o phishing de uma atividade de "baixo esforço" em uma operação de alta fidelidade. E-mails de phishing gerados por IA alcançamtaxas de cliques quatro vezes maioresdo que os métodos tradicionais. A gramática é impecável, a personalização é precisa e o senso de urgência é calibrado para o perfil de cada vítima.

Vishing com deepfake e clonagem de voz

A clonagem de voz tornou-se uma ferramenta crítica para o comprometimento de e-mail comercial (BEC) e fraude ao consumidor. Com apenastrês segundos de áudiode uma pessoa, os atacantes podem gerar clones de voz com85% de precisão, atingindo um limiar de "indistinguibilidade" para o ouvido humano.

Em março de 2026, foram relatados casos em que golpistas usaram clones de voz de netos para enganar avós, solicitando pagamentos urgentes em Bitcoin para suposta fiança. Na esfera corporativa, o incidente da empresa Arup continua sendo o caso de referência: um funcionário transferiu$25,6 milhõesapós participar de uma chamada de vídeo deepfake onde o CFO e outros colegas apareceram — todos gerados sinteticamente.

A combinação de clonagem de voz e vídeo deepfake em tempo real criou uma ameaça qualitativamente diferente do phishing tradicional. Quando uma vítima vê e ouve uma pessoa em quem confia pedindo para agir, as defesas psicológicas que protegem contra golpes baseados em e-mail simplesmente não são ativadas. Para orientações abrangentes sobre como se proteger, vejaMantendo-se seguro em cripto.

Agentes de golpe autônomos

A fronteira mais recente é a implementação de agentes autônomos baseados em grandes modelos de linguagem (LLMs). Esses bots podem manter conversas de "romance" ou de investimento (Pig Butchering) simultaneamente commilhares de vítimas, adaptando inteligentemente seu tom e personalidade ao longo de semanas ou meses.

A operação "Show de Truman" descoberta pela Check Point revelou o uso de90 "especialistas" gerados por IAem grupos de mensagens, que direcionavam as vítimas para aplicativos de negociação com dados de mercado controlados pelo atacante. As vítimas acreditavam estar recebendo conselhos de uma comunidade de traders de sucesso. Na realidade, cada "especialista", cada gráfico e cada história de sucesso era fabricada por IA.

Tipo de Golpe com IA	Método de Ataque	Nível de Risco para Empresas
Vídeo Deepfake	Imitação de executivos em chamadas de vídeo	Crítico (fraude de pagamento)
Clonagem de voz	Chamadas simulando familiares ou suporte técnico	Alto (engenharia social)
Phishing generativo	E-mails hiperpersonalizados sem erros gramaticais	Alto (roubo de credenciais)
Agentes BEC	Combinação de e-mail, voz e vídeo sintético	Crítico (invasão de conta)

6. Estudos de Caso

6. Estudos de caso: 2025–2026

A análise de incidentes recentes revela a execução prática dessas ameaças — e as lições que cada uma traz para qualquer pessoa que gerencie ativos digitais.

O roubo de US$ 282 milhões por engenharia social

Em janeiro de 2026, um usuário de carteira de hardware sofreu uma perda recorde deUS$ 282 milhões em Bitcoin e Litecoin. Apesar de usar uma Trezor, considerada uma das carteiras mais seguras disponíveis, a segurança foi subvertida por um esquema de engenharia social onde atacantes se passaram por suporte técnico para manipular o usuário.

A investigação revelou que os atacantes usaram umachave de API vazadapara facilitar o engano, tornando a personificação do suporte legítimo mais convincente. Os fundos foram rapidamente lavados através de exchanges instantâneas e rotas ligadas à THORChain, sendo finalmente convertidos emMonero (XMR)para apagar o rastro. A conversão para Monero — uma privacy coin com transações não rastreáveis — significa que a recuperação é virtualmente impossível.

Este caso é a ilustração mais cara de uma verdade fundamental:carteiras de hardwareprotegem contra malware e extração remota de chaves, mas oferecemzero proteção contra um usuário que entrega voluntariamente sua frase de recuperação. O dispositivo não consegue distinguir entre uma recuperação legítima e um ataque de engenharia social.

A exploração do Protocolo TrueBit

No início de 2026, o protocolo TrueBit no Ethereum foi explorado através de uma vulnerabilidade na lógica de preço de cunhagem do seu token TRU. Um atacante abusou de umerro matemático que permitiu a cunhagem de grandes quantidades de TRU com quase zero ETH, drenando aproximadamenteUS$ 26,6 milhões em Etherdas reservas do protocolo.

Este caso demonstra que, embora o phishing seja a ameaça dominante,vulnerabilidades técnicas em contratos inteligentes "estagnados" ou de baixa visibilidade continuam sendo um risco latente. O contrato da TrueBit havia sido implantado anos antes e não recebia a atenção contínua de segurança da qual protocolos mais ativos se beneficiam. Contratos legados que detêm valor significativo sem manutenção ativa representam uma bomba-relógio. Para orientações sobre como avaliar a segurança de contratos inteligentes, consulteComo verificar contratos inteligentes.

Campanhas de personificação governamental: E-ZPass

Uma das campanhas de phishing mais massivas de 2025 foi a operação "E-ZPass", que afetou milhões de motoristas nos Estados Unidos. O grupo conhecido como "Smishing Triad", usando a infraestrutura "Lighthouse", envioumensagens SMS fraudulentas sobre dívidas de pedágioque direcionavam os usuários para sites indistinguíveis dos oficiais.

Esta operação atingiu330.000 mensagens enviadas em um único diae conseguiu arrecadar aproximadamenteUS$ 1 bilhão ao longo de três anos, demonstrando o poder do Phishing-as-a-Service (PhaaS). A escala desta campanha mostra que a infraestrutura de phishing amadureceu a um ponto em que pode sustentar operações plurianuais gerando retornos de nove dígitos — rivalizando com a receita de empresas de tecnologia legítimas.

Embora o E-ZPass tenha visado métodos de pagamento tradicionais, a mesma infraestrutura e técnicas estão sendo ativamente adaptadas para o roubo de criptomoedas. O roteiro é idêntico: criar urgência, personificar autoridade e direcionar a vítima para um site que captura suas credenciais ou assinaturas de autorização.

7. Estratégias de Proteção

7. Estratégias de proteção e resiliência em 2026

A defesa contra o phishing moderno exige uma transição da "confiança implícita" para umaarquitetura Zero Trust. Cada interação, cada solicitação de transação e cada comunicação deve ser verificada de forma independente. Os dias de confiar em uma URL porque ela "parece correta" ou em um interlocutor porque ele "parece legítimo" acabaram.

Para um guia abrangente sobrecomo manter-se seguro em criptoemelhores práticas de privacidade e segurança, consulte nossos artigos dedicados no Learn.

Sinergia hardware-software: o modelo SignGuard

Em 2026, possuir umacarteira de hardwarenão é mais uma garantia suficiente de segurança. A tendência atual é o uso desistemas integrados de proteção de assinatura (SignGuard). Esta abordagem significa que o aplicativo da carteira (software) analisa e descompila a transação antes que ela chegue ao dispositivo físico.

Paridade de análise.O software deve exibir os detalhes da transação em um formato legível por humanos, alertando sobre métodos de contrato suspeitos ou aprovações de gastos ilimitados. Se você vir uma transação solicitandoapprove(address, uint256.max), a interface deve sinalizar explicitamente que você está concedendo acesso ilimitado aos seus tokens.

Proteção de código aberto.Há uma demanda crescente por dispositivos com firmware e hardware totalmente auditáveis (open source), eliminando o risco de "backdoors" do fabricante. Se o firmware não for de código aberto, você está confiando nas práticas de segurança do fabricante por fé.

Segurança em múltiplos níveis.O uso de chaves de segurança físicas (FIDO2/YubiKey) é recomendado para proteger o acesso a exchanges e e-mail, eliminando a vulnerabilidade do 2FA baseado em SMS. Ataques de SIM-swap continuam sendo uma ameaça significativa, e o 2FA por SMS deve ser considerado comprometido por padrão.

Gerenciando delegações EIP-7702

Para usuários que interagem com o novo padrão Ethereum,a higiene de delegação é obrigatória. É essencial usar ferramentas como o EIP-7702 Delegation Checker para verificar se um endereço foi delegado a um contrato desconhecido.

A revogação de uma delegação EIP-7702 é realizada assinando uma nova autorização que aponta para oendereço zero (address(0)), o que efetivamente limpa o marcador de código da carteira e restaura seu comportamento padrão. Isso deve ser feito imediatamente se você suspeitar de qualquer delegação não autorizada, e proativamente como parte da manutenção regular de segurança.

Firewalls de IA e segurança de navegador

Surgiram plataformas de extensão de navegador de segurança baseadas em IA, como LayerX e SquareX, que analisam ocomportamento do navegador em tempo real. Essas ferramentas detectam se uma extensão maliciosa está tentando injetar comandos em ferramentas de IA generativa ou se está tentando falsificar a interface de carteiras populares como MetaMask ou Phantom.

A detecção não se baseia mais em assinaturas de malware conhecidas, mas emanálise dinâmica de anomalias comportamentais. Se um site tentar sobrepor um popup falso da MetaMask sobre o real, ou se solicitar um tipo de assinatura inconsistente com a ação que o usuário acredita estar realizando, a camada de segurança intervém antes que a assinatura seja enviada.

8. Além das Seed Phrases

8. O futuro da segurança: além das seed phrases

O modelo tradicional de uma única seed phrase como ponto único de falha está sendo substituído, especialmente em ambientes institucionais e para usuários de alto patrimônio.

Tecnologia MPC (Multi-Party Computation).Esta abordagem divide a chave privada em múltiplos fragmentos distribuídos entre diferentes dispositivos e partes, de modo que nenhum dispositivo ou pessoa isolada tenha controle total sobre os fundos. Mesmo que um fragmento seja comprometido, o invasor não consegue reconstruir a chave completa sem obter um número mínimo (threshold) de fragmentos adicionais.

Abstração de conta permanente.A migração para carteiras de contratos inteligentes (EIP-4337) permite a implementação delimites de gastos, listas de permissões (whitelists) de endereços e recuperação social. Esses recursos minimizam os danos caso uma assinatura seja comprometida. Um limite de gastos de US$ 1.000 por dia significa que mesmo um ataque de phishing bem-sucedido só poderá drenar US$ 1.000 antes que a vítima detecte o problema e responda.

Higiene operacional.A recomendação geral para 2026 é usar hot wallets exclusivamente para operações diárias com pequenas quantias, enquanto a maior parte dos ativos deve permanecer emcofres de hardware desconectados de qualquer interação frequente com dApps. A regra de ouro: se você não carregaria essa quantia em dinheiro no bolso na rua, ela não deveria estar em uma hot wallet.

Para uma compreensão mais profunda das arquiteturas de carteiras e suas compensações de segurança, consulte nossos guias sobrecarteiras criptoecarteiras de hardware.

9. Conclusões Principais

9. Conclusões principais
O Drainer-as-a-Service industrializou o roubo de carteiras.Grupos como o Rublevka Team fornecem infraestrutura completa de phishing para afiliados que retêm 75–80% dos fundos roubados, reduzindo a barreira de entrada para criminosos em potencial.
O EIP-7702 é o novo vetor de ataque mais perigoso.Uma única assinatura pode delegar o controle total de uma carteira a um contrato malicioso, permitindo a drenagem atômica de todos os ativos — tokens ERC-20, NFTs e ETH nativo.
Fluxos ilícitos de cripto atingiram US$ 158 bilhões em 2025.As stablecoins representam 84% do volume ilícito. O pagamento médio em golpes saltou 253%, chegando a US$ 2.764.
Os drainers tornaram-se multi-chain.Solana (CLINKSINK), TON (decepção baseada em comentários) e Layer 2s (Base, Arbitrum) são todos alvos ativos com técnicas de ataque específicas para cada rede.
A IA potencializou a engenharia social.Clonagem de voz a partir de 3 segundos de áudio, videochamadas deepfake e agentes de fraude autônomos baseados em LLM que mantêm conversas com milhares de vítimas simultaneamente.
Carteiras de hardware são necessárias, mas não suficientes.O roubo de US$ 282 milhões de usuários da Trezor prova que nenhum dispositivo pode proteger contra um usuário que entrega voluntariamente sua frase de recuperação.
Zero Trust é o único modelo de defesa viável.Verifique cada transação, gerencie delegações EIP-7702, use chaves FIDO2, adote carteiras MPC ou de contratos inteligentes para ativos de alto valor e mantenha saldos mínimos em hot wallets.

Leitura adicional:

Veja sua exposição total — escaneie qualquer carteira com o CleanSky.Monitore todas as posições, todas as aprovações de tokens e todos os riscos em todas as redes. Detecte aprovações e delegações suspeitas antes que drenem sua carteira. Sem necessidade de cadastro.

Experimente o CleanSky Grátis →

Independência editorial.O CleanSky é um projeto independente. Este artigo não contém links de afiliados ou conteúdo patrocinado.Leia nossa política editorial.