Phishing com aprovação de token tira 999.999 USDT de trader na Ethereum

Um trader de criptomoedas perdeu 999.999 USDT após assinar uma aprovação maliciosa de token na rede Ethereum, em um caso reportado pela Cointelegraph nesta quinta-feira, 9 de julho de 2026. O golpe foi identificado a partir de dados on-chain compartilhados por serviços de monitoramento e mostra um padrão conhecido do mercado: o usuário não entrega a chave da carteira, mas autoriza um contrato ou endereço a movimentar seus tokens.

Segundo a reportagem, o ataque aconteceu depois que a vítima assinou uma autorização de gasto de tokens, conhecida no ecossistema Ethereum como token approval. Esse tipo de permissão é comum em aplicações DeFi, DEXs e carteiras Web3, porque permite que um contrato inteligente mova ativos em nome do usuário para executar swaps, depósitos, saques ou outras operações. O problema é que, quando a aprovação é assinada em um site de phishing ou em um contrato malicioso, ela pode virar a porta de entrada para o esvaziamento da carteira.

O caso ganhou destaque porque o valor drenado ficou muito próximo de US$ 1 milhão, e porque a execução do golpe ocorreu em duas etapas rápidas. Em vez de um ataque sofisticado de invasão de wallet ou exploração de bug em protocolo, o episódio mostra um risco operacional básico, mas ainda devastador: o usuário conceder permissão de gasto a um agente malicioso sem perceber.

Como o atacante tentou sacar US$ 1 milhão e voltou 36 segundos depois

De acordo com os dados citados na reportagem, o invasor fez uma primeira tentativa de retirar US$ 1 milhão da carteira da vítima. Essa transação, porém, falhou porque o saldo disponível não era suficiente: faltavam US$ 631 para completar o valor pretendido. Esse detalhe é importante porque mostra que o atacante não estava “adivinhando” o que havia na carteira; ele já tinha acesso à autorização necessária para tentar mover os fundos.

A falha inicial não encerrou o golpe. Cerca de 36 segundos depois, o invasor voltou a interagir com a autorização já concedida, recalculou o montante disponível e então conseguiu retirar o saldo remanescente, totalizando 999.999 USDT. Em termos práticos, o segundo movimento funcionou como uma drenagem cirúrgica da carteira, ajustada ao saldo exato que ainda podia ser transferido.

Esse tipo de dinâmica reforça um ponto importante para o usuário de DeFi: uma vez que a autorização maliciosa é concedida, o problema não depende mais de “hackear” a carteira. O atacante passa a ter uma permissão válida para mover determinado token, dentro dos limites aprovados — e, em muitos casos, o limite aprovado é alto ou até ilimitado. Quando isso acontece, a reação precisa ser quase imediata, com revogação da permissão e transferência dos ativos remanescentes para uma nova carteira.

O que é uma aprovação de token e por que ela virou vetor de golpe

No padrão ERC-20 da Ethereum, a função de aprovação existe para que um contrato ou endereço possa gastar tokens em nome do usuário. Sem isso, várias operações do universo DeFi simplesmente não funcionariam. Quando alguém usa uma DEX, participa de um protocolo de staking, deposita stablecoins em uma plataforma ou interage com um agregador, normalmente precisa assinar uma autorização desse tipo antes da execução da transação principal.

O problema é que a interface nem sempre deixa claro quem está recebendo a permissão, qual token está sendo autorizado e quanto poderá ser movimentado. Em um ambiente de phishing, o usuário pode acreditar que está assinando uma ação rotineira, quando na verdade está liberando um contrato malicioso para retirar seus ativos. Em muitos golpes, o invasor nem precisa tocar no restante da carteira: basta capturar a autorização do token mais valioso que estiver ali, como USDT, USDC ou ETH tokenizado.

O caso desta semana é um retrato exato desse risco. A perda ocorreu por causa de uma assinatura de autorização, não por invasão da seed phrase nem por malware clássico roubando a chave privada. Isso muda a forma como o investidor precisa pensar segurança. Uma hardware wallet ajuda em várias camadas de proteção, mas não impede que o próprio usuário assine, por engano, uma autorização que entrega acesso aos tokens para um terceiro malicioso.

Por que o golpe não depende de roubo de senha ou seed phrase

Um dos erros mais comuns entre usuários é imaginar que a carteira só está em risco se alguém descobrir a seed phrase, a senha ou a chave privada. No universo Ethereum e em outras redes EVM, isso não é verdade. Um atacante pode esvaziar parte relevante dos fundos se conseguir convencer a vítima a aprovar um contrato ou endereço com permissão suficiente para movimentar seus tokens. Nesse cenário, a carteira continua “sob controle” do dono, mas os ativos autorizados já estão expostos.

Na prática, o golpe de phishing com approval explora o comportamento normal do usuário em aplicativos Web3. Como aprovações são comuns, muita gente assina pedidos sem ler com cuidado a tela da carteira. Em ambientes de alta rotatividade — airdrops, memecoins, novas DEXs, farms, pontes e agregadores — a chance de erro aumenta. É justamente por isso que golpes desse tipo continuam aparecendo, mesmo entre usuários experientes.

O episódio do trader que perdeu 999.999 USDT mostra ainda outro ponto delicado: o atacante não precisou drenar tudo em uma única tentativa perfeita. Ele testou um valor, viu a transação falhar por US$ 631, e voltou 36 segundos depois para capturar o saldo exato. Isso indica um processo automatizado ou ao menos monitorado de perto, em que o invasor já tinha a rota pronta para extrair os fundos assim que a autorização fosse utilizável.

O caso reforça um padrão de risco que já pesa no mercado cripto

A perda de quase US$ 1 milhão não é um evento isolado dentro do ecossistema. O mercado cripto já convive há anos com ataques baseados em phishing, approvals maliciosos, sites falsos, drainers e permissões antigas deixadas abertas em contratos. Em muitos casos, o golpe não aparece no momento em que a assinatura é feita. O invasor pode esperar a carteira receber mais saldo e só depois executar a drenagem.

Esse padrão é especialmente perigoso para quem mantém valores altos em uma mesma carteira usada para trading, custódia e interação com dApps. Quando a wallet que guarda patrimônio também é a mesma que conecta em plataformas experimentais, campanhas promocionais, farms e links recebidos por redes sociais, o risco operacional aumenta bastante. O prejuízo da vítima da Cointelegraph escancara exatamente isso: um único clique de aprovação foi suficiente para comprometer quase US$ 1 milhão em USDT.

Do ponto de vista do investidor, o caso serve menos como curiosidade de noticiário e mais como lembrete de arquitetura de segurança. Não basta ter “boa senha” ou anotar seed phrase em local seguro. Em Ethereum, o risco também está na gestão de permissões ativas e na separação entre carteira de uso diário e carteira de custódia.

O que o trader brasileiro deve fazer para reduzir risco de approval malicioso

O caso da Cointelegraph não traz só uma história de perda; ele deixa um checklist prático de prevenção. Se a porta de entrada do golpe foi uma aprovação maliciosa, a defesa precisa começar justamente no momento da assinatura e na gestão posterior dessas permissões. Para quem opera com frequência em DeFi, algumas medidas são objetivas:

No fim, o golpe desta semana reforça uma lição antiga do mercado: em cripto, nem toda perda vem de um hack complexo. Às vezes, ela nasce de uma permissão simples assinada na pressa. E, quando a autorização cai na mão errada, o esvaziamento da carteira pode acontecer em segundos.