Como se proteger contra hacks de criptomoedas e engenharia social

A engenharia social é um risco nas criptomoedas, que permite que hackers manipulem usuários e roubem fundos. Aprenda como se proteger contra golpes envolvendo criptomoedas.

Introdução

As criptomoedas oferecem liberdade financeira, mas também atraem criminosos cibernéticos que buscam novas maneiras de explorar os usuários. Ao contrário dos serviços bancários tradicionais, as transações com criptomoedas são irreversíveis, o que torna a segurança uma prioridade máxima. Uma das ameaças mais perigosas no espaço é a engenharia social, uma técnica em que invasores manipulam pessoas em vez de hackear sistemas.

Com golpes de phishing, ataques de representação, entre outros, a engenharia social foi responsável por alguns dos maiores assaltos a criptomoedas, como o hack da Bybit no início de 2025, que resultou em uma perda de US$ 1,5 bilhão.

Entender como esses golpes funcionam e aprender como se proteger é crucial para qualquer pessoa envolvida no mundo das criptomoedas.

Neste artigo, detalhamos como a engenharia social leva a hacks, destacamos exemplos reais e fornecemos dicas práticas para proteger fundos.

O que é engenharia social?

Engenharia social é uma técnica de manipulação usada para explorar a psicologia humana para obter acesso a informações confidenciais, sistemas ou localizações físicas. Em vez de atacar vulnerabilidades técnicas, os engenheiros sociais visam vulnerabilidades humanas como confiança, utilidade, medo e curiosidade.

Entre algumas das táticas comuns de engenharia social estão:

• Phishing: E-mails ou mensagens falsos usados para roubar credenciais.
• Pretexto: Criar um cenário fabricado para extrair informações.
• Baiting: Oferecer algo atraente, como tokens ou software gratuitos, para atrair vítimas.
• Tailgating: Seguir pessoal autorizado em áreas restritas.
• Quid pro quo: Oferecer um serviço em troca de informações.
• Representação: Fingir ser uma pessoa confiável (como equipe de suporte ou líderes de equipe) para extrair informações.

Esses ataques são particularmente perigosos porque ignoram medidas técnicas de segurança ao explorar a psicologia humana.

Para defesas eficazes, podemos mencionar: treinamento de conscientização de segurança, procedimentos de verificação e criação de uma cultura em que questionar solicitações incomuns é incentivado.

Como a engenharia social leva a hacks de criptomoedas?

A engenharia social desempenha um papel fundamental em hacks de criptomoedas, pois visa vulnerabilidades humanas em vez de falhas técnicas em sistemas de blockchain.

A representação é comum: invasores se passam por funcionários de exchanges ou líderes de equipes em plataformas como Discord, X e Telegram, convencendo usuários a compartilhar dados confidenciais ou clicar em links maliciosos.

Eles criam sites de phishing convincentes imitando exchanges legítimas para roubar chaves privadas e frases de recuperação, ou empregam técnicas de troca de SIM para contornar o MFA controlando os números de telefone das vítimas. Muitos golpistas também promovem oportunidades fraudulentas de investimento, como ofertas iniciais de moedas (ICOs) falsas ou pré-vendas exclusivas que simplesmente desaparecem com os fundos dos investidores.

Criminosos tecnicamente mais sofisticados enganam os usuários para que conectem suas carteiras a aplicativos descentralizados (dapps) maliciosos ou para aprovar interações de contrato inteligente que esvaziam suas contas. Alguns vão além, visando desenvolvedores e gestores de tesouraria com engenharia social e colocando organizações autônomas descentralizadas (DAOs) inteiras ou hot wallets de exchanges em risco.

Em criptomoedas, não existe estorno. Assim que os ativos são transferidos, eles desaparecem. É isso que torna a engenharia social tão eficaz e tão perigosa.

Um caso de destaque: o hack de engenharia social do Lazarus Group

Em fevereiro de 2025, a Bybit, uma importante exchange de criptomoedas, sofreu uma violação de segurança significativa, que resultou no roubo de aproximadamente US$ 1,5 bilhão em Ethereum.

Investigações revelaram que o grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como Lazarus Group ou TraderTraitor, orquestrou o ataque. A violação foi executada por meio de um ataque sofisticado à cadeia de suprimentos que incorporou táticas de engenharia social, como:

1. Mira no desenvolvedor como alvo: O ataque começou quando um desenvolvedor do Safe{Wallet} foi vítima de engenharia social por alguém que se passou por um colaborador confiável de código aberto. Eles convenceram o desenvolvedor a executar um projeto malicioso do Docker Python em seu Mac.
   
2. Invasão à sessão da AWS: Depois que a estação de trabalho do desenvolvedor foi comprometida, os hackers extraíram tokens de sessão temporários para a Amazon Web Services (AWS), a plataforma de infraestrutura de nuvem usada pela Safe{Wallet}. Esses tokens permitiram que eles ignorassem a autenticação multifator (MFA) e mantivessem discretamente o acesso a sistemas críticos por quase 20 dias.
   
3. Manipulação de processos de transação: Os atacantes injetaram JavaScript malicioso na{Wallet} UI da Safe — a ferramenta que a Bybit utilizava para aprovar transações de cold wallet — fazendo com que os signatários enviassem fundos aos invasores sem perceber.

Ao explorar a confiança humana e atingir a cadeia de suprimentos de software, os hackers efetivamente contornaram as medidas de segurança tradicionais, levando a um dos maiores assaltos de criptomoedas até hoje.

Como identificar (e impedir) golpes de engenharia social em criptomoedas

1. Verifique a identidade

Sempre verifique novamente a outra parte em questão, especialmente se ela pedir informações confidenciais. Use pontos de contato oficiais, não links ou e-mails fornecidos por eles.

• Ative a MFA usando um app autenticador, não SMS.
• Considere usar chaves de acesso para proteção adicional onde houver suporte.

Veja mais detalhes sobre como ativar a 2FA para contas Crypto.com.

2. Esteja atento às informações pessoais

Golpistas vasculham as redes sociais em busca de pistas para elaborar ataques convincentes. Nunca compartilhe frases de recuperação, senhas ou chaves privadas, nem mesmo com alguém que diga ser do suporte ao cliente.

Use senhas fortes e exclusivas para cada conta e considere um gerenciador de senhas.

3. Seja cético em relação a mensagens inesperadas

Tenha muito cuidado com links ou anexos em mensagens diretas ou e-mails, especialmente se não forem solicitados. Em caso de dúvida, navegue manualmente até URLs confiáveis. Fique atento a sinais sutis de phishing, como pequenos erros de ortografia em nomes de domínio ou endereços de e-mail.

4. Mantenha a higiene da segurança

Mantenha tudo atualizado, como aplicativos de carteira e extensões de navegador. Atualizações de patches podem resolver vulnerabilidades conhecidas. Para máxima proteção, utilize uma hardware wallet e pense duas vezes antes de aprovar interações de contratos inteligentes.

5. Mantenha-se informado

Mantenha-se informado sobre novas técnicas de fraude, pois táticas de engenharia social estão sempre evoluindo. Se algo parece suspeito ou bom demais para ser verdade, provavelmente é.

Conclusão

A engenharia social continua sendo uma das maneiras mais eficazes para os criminosos cibernéticos contornarem medidas de segurança e roubar criptomoedas. Como visto no hack da Bybit, até mesmo grandes instituições com segurança avançada podem ser vítimas quando a confiança humana é explorada.

Os usuários, ao permanecerem vigilantes, verificarem identidades, protegerem informações pessoais e manterem uma forte higiene de segurança, reduzem significativamente o risco de serem alvos. A educação é a melhor defesa. Continue aprendendo sobre novos golpes e sempre questione solicitações inesperadas, não importa o quão convincentes elas pareçam.

No mundo das criptomoedas, a segurança é inegociável, portanto tome todas as precauções para proteger todos os ativos. Mantenha-se informado, cético e seguro.

Due diligence, faça sua própria pesquisa

Todos os exemplos listados neste artigo servem apenas para fins informativos. Nenhuma dessas informações ou outros materiais devem ser interpretados como aconselhamento jurídico, fiscal, de investimento, financeiro, de cibersegurança ou outros. Nada contido aqui constitui uma solicitação, recomendação, endosso ou oferta da Crypto.com para investir, comprar ou vender quaisquer moedas, tokens ou outros criptoativos. Os retornos na compra e venda de criptoativos estão sujeitos a impostos, incluindo impostos sobre ganhos de capital, na sua jurisdição. Qualquer descrição dos produtos ou recursos da Crypto.com é meramente para fins ilustrativos e não constitui um endosso, convite ou solicitação.

O desempenho passado não é garantia ou indicador de desempenho futuro. O valor dos criptoativos pode aumentar ou diminuir, e você pode perder todo o seu preço de compra, ou uma parte substancial do mesmo. Ao avaliar um criptoativo, é essencial que você faça sua pesquisa e devida diligência para formar o melhor julgamento possível, pois quaisquer compras serão de sua inteira responsabilidade.