Visão geral

Com o rápido desenvolvimento da criptomoeda e da tecnologia blockchain, os NFTs (tokens não fungíveis), como ativos digitais únicos, têm atraído uma enxurrada de investidores e colecionadores. No entanto, juntamente com o mercado em alta, há um crescente conjunto de riscos.

Você já percebeu NFTs inesperados ou outros ativos que surgem repentinamente em sua carteira? Esses itens digitais aparentemente inofensivos podem representar sérias ameaças à segurança — até mesmo resultando em perda total de fundos. Este artigo revelará os perigos ocultos por trás desses cenários e oferecerá conselhos práticos de segurança para ajudá-lo a proteger seus ativos digitais de forma mais eficaz.

Atualmente, o valor de mercado total de criptomoedas e NFTs ultrapassou os $3 trilhões, com mais de 300 milhões de participantes em todo o mundo. No entanto, à medida que o mercado floresce, também se tornou um alvo principal para hackers e golpistas. De acordo com dados da Comparitech (até 13 de março de 2025), os golpes relacionados a cripto e NFTs já causaram perdas que totalizam $27 bilhões — e o número continua aumentando.

Origem: https://www.comparitech.com/crypto/cryptocurrency-scams/ (13 de março de 2025)

Por que os detentores de NFT são alvos principais para hackers

1. O Fascínio de Ativos de Alto Valor

NFTs frequentemente carregam um valor significativo — especialmente aqueles de coleções raras ou hyped como Bored Ape Yacht Club ou CryptoPunks, onde uma única peça pode valer centenas de milhares ou até milhões de dólares.

Esses ativos digitais de alto valor agem como "minas de ouro" no mundo virtual, naturalmente atraindo a atenção de hackers. Comparadas aos ativos financeiros tradicionais, as transações de NFT são mais rápidas e difíceis de rastrear. Uma vez roubados, os hackers podem rapidamente liquidar os ativos.

Fonte: https://opensea.io/collection/boredapeyachtclub

2. Anonimidade e Irreversibilidade do Blockchain

A natureza anônima do blockchain fornece privacidade para os usuários, mas também cria um refúgio para hackers. Uma vez que um NFT ou token é roubado, o ladrão pode transferi-lo rapidamente para outras carteiras ou lavá-lo usando misturadores como o Tornado Cash.

Porque as transações de blockchain são irreversíveis, as vítimas têm pouca ou nenhuma chance de recuperação, a menos que o hacker devolva voluntariamente o ativo ou seja pego pela aplicação da lei. Isso torna o ataque aos detentores de NFT uma estratégia de baixo risco e alta recompensa para cibercriminosos.

3. Geralmente Baixa Consciência de Segurança Entre os Usuários

Muitos usuários de NFT são novatos em blockchain e tecnologia cripto, carecendo de consciência de segurança adequada. Eles podem não entender completamente a importância das chaves privadas ou frases-semente, ou saber como reconhecer sites de phishing e contratos maliciosos.

Por exemplo, alguns usuários clicam em links suspeitos sem hesitação ou armazenam suas chaves privadas em lugares inseguros como notas em seus telefones ou serviços de nuvem — todos esses são pontos de entrada para hackers.

4. Um Ecossistema Complexo Aumenta a Exposição

O ecossistema NFT abrange carteiras, plataformas de negociação (como OpenSea), contratos inteligentes e redes sociais (como Discord e Twitter). Cada componente é um vetor de ataque potencial.

5. Comunidades altamente ativas e rápida disseminação de informações

Os usuários de NFT geralmente são ativos em plataformas como Twitter e Discord, frequentemente compartilhando suas coleções, registros de negociação ou participando de eventos. Esse tipo de visibilidade pública os torna alvos fáceis. Por exemplo, alguém mostrando um NFT de um milhão de dólares no Twitter poderia imediatamente atrair hackers que enviam links de phishing ou se passam por agentes de suporte falsos.

6. Barreiras Técnicas Elevadas Que Convidam a Erros

Engajar-se com NFTs requer um certo nível de conhecimento técnico — como usar o MetaMask, entender as taxas de gás e assinar contratos inteligentes. Para usuários não familiarizados com esses processos, é fácil cometer erros críticos. Alguns podem conceder permissões sem saber a contratos maliciosos ou operar em ambientes de rede não seguros, levando a roubos.

7. Baixo custo, alta recompensa para hackers

Comparado aos ciberataques tradicionais, como invadir sistemas bancários, mirar os usuários de NFT é relativamente de baixo custo. Um hacker pode precisar apenas criar um site falso, enviar um e-mail de phishing ou espalhar links maliciosos nas redes sociais — e poderia ganhar acesso a carteiras valiosas. Uma vez bem-sucedido, as recompensas podem ser de milhares a milhões de dólares. Essa configuração de alto retorno e baixo risco torna os usuários de NFT um alvo principal.

Métodos Comuns de Roubo de NFT

Contratos Inteligentes Maliciosos

Os NFTs estão tipicamente ligados a contratos inteligentes, que regulam a propriedade, transferências e várias interações. Os usuários frequentemente recebem NFTs de fontes desconhecidas, como redes sociais, airdrops ou sites.

Embora o NFT em si possa parecer inofensivo, seu contrato inteligente subjacente pode conter código malicioso. Hackers podem explorar esse código para obter permissões da carteira sem o seu conhecimento, acabando por drenar todos os ativos da sua carteira.

Origem:https://trezor.io/support/a/malicious-smart-contracts

Ataques de phishing e engenharia social

Os hackers geralmente criam sites, e-mails ou mensagens de mídia social falsos para enganar os usuários a inserir suas chaves privadas ou frases de efeito, ou a aprovar contratos inteligentes desconhecidos. Por exemplo, você pode receber uma "Notificação OpenSea" falsa pedindo para "verificar sua carteira". Mas depois de clicar no link e conceder acesso, seus NFTs e tokens podem ser roubados instantaneamente.

Além disso, os hackers usam táticas de phishing e engenharia social para enviar NFTs maliciosos diretamente para as carteiras dos usuários. Simplesmente visualizar ou interagir com um desses NFTs poderia permitir que os hackers explorem vulnerabilidades de contratos inteligentes, potencialmente ganhando controle sobre a carteira ou enganando o usuário a assinar transações de alto risco. Sempre verifique a origem de qualquer NFT — nunca interaja com ativos desconhecidos ou suspeitos.

Em plataformas como Discord e Telegram, hackers podem se passar por equipe de suporte, desenvolvedores ou membros da comunidade, alegando que podem ajudar a "corrigir" problemas de carteira. Eles então persuadem os usuários a divulgar suas frases-semente, roubando assim seus ativos.

A maioria dos principais projetos NFT agora incluem canais de "Relatório de Golpes" em seus servidores. Desde julho de 2021, mais de 75.000 mensagens foram registradas nesses canais em várias plataformas NFT - com 76% delas enviadas somente em 2022.

Origem: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/

Hackers também usam técnicas de “assinatura cega” via eth_sign para roubar ativos. Ao contrário de transações de phishing tradicionais que exibem dados de transação claros e incorrem em taxas de gás, a assinatura cega mostra apenas uma sequência obscura de texto — tornando-a altamente enganosa. Uma vez que o usuário assina, o hacker pode transferir imediatamente tokens da carteira.

Fonte: https://support.token.im/hc/en-us/articles/18676133507993-Security-Alert-Beware-of-Eth-Sign-Blind-Signing-Scams

Projetos falsos de NFT

Alguns hackers se passam por projetos NFT populares para atrair usuários a comprar ou interagir com plataformas falsas. Assim que você conecta sua carteira a um desses sites maliciosos, ele pode acionar contratos inteligentes projetados para roubar seus ativos.

Os golpistas frequentemente exploram a função SetApprovalForAll() nos padrões ERC-721 e ERC-1155, enganando as vítimas para concederem sem saber o controle total de seus NFTs. Uma vez aprovados, os hackers podem transferir ativos a qualquer momento sem mais entrada do usuário. Portanto, antes de interagir com qualquer projeto de NFT, verifique sempre sua autenticidade e use regularmente ferramentas comoRevoke.cashpara revisar e remover aprovações desnecessárias.

Origem: https://playtoearn.com/news/metamask-is-now-testing-setapprovalforall-confirmation-window-to-curb-nft-scams

Código Malicioso, Software e Roubo Oculto

A instalação de software desconhecido ou extensões do navegador (como plugins falsos do MetaMask) pode infectar seu dispositivo com malware capaz de roubar chaves privadas ou rastrear suas atividades.

Além de contratos inteligentes maliciosos, alguns NFTs e ativos digitais podem conter scripts que são executados ao visualizar ou interagir. Por exemplo, simplesmente clicar nesses NFTs pode executar um código que transfere ativos para um endereço controlado por hackers. Embora esses scripts geralmente não comprometam diretamente a segurança do dispositivo, eles podem drenar silenciosamente sua carteira.

Golpes de pacotes de NFT com falsificações

Hackers frequentemente criam pacotes de NFT falsos que incluem ou falsificações de alta qualidade ou NFTs embutidos com contratos maliciosos. Esses pacotes tentam os usuários com preços baixos e a promessa de economia nas taxas de gás. No entanto, iniciar uma transação pode autorizar silenciosamente SetApprovalForAll(), dando aos hackers controle total sobre a carteira do usuário.

Por exemplo, ao comprar um pacote NFT na OpenSea, sempre verifique a origem de cada NFT e contrato associado. Essa 'economia' de taxa de gás pode se transformar em um erro custoso.

Fonte: https://opensea.io/collection/boredapeyachtclub

Esquemas de Pump-and-Dump

Os golpistas inflamam artificialmente os preços dos NFTs, promovendo projetos através das redes sociais ou endossos de celebridades, criando um falso senso de demanda. Uma vez que os preços atingem o pico, os insiders despejam suas participações, causando um crash no mercado e deixando os compradores com ativos desvalorizados.

Para evitar tais esquemas, sempre verifique o histórico de transações de um NFT. Os NFTs legítimos geralmente têm uma base diversificada de compradores e atividade orgânica.

Rug Pulls

Nesses golpes, os desenvolvedores atraem os usuários para comprar NFTs com grandes promessas, apenas para desaparecer depois de coletar fundos. Muitas vezes, envolvem equipes anônimas com mapas de estrada chamativos e sem real intenção de cumprir.

Por exemplo, em 2021, os criadores do Evil Ape desapareceram após arrecadar quase US$3 milhões. Da mesma forma, em 2022, o projeto NFT Frosties defraudou investidores em US$1,3 milhão. Embora os perpetradores tenham sido eventualmente presos e acusados, os NFTs e fundos roubados nunca foram recuperados.

Para evitar golpes, priorize projetos com equipes transparentes, responsáveis e mapas realistas. Verifique se o desenvolvimento está progredindo como prometido.

Origem: https://www.cbr.com/evolved-apes-nft-disappears-3-million/

Ofertas falsas de NFT

Os golpistas podem se passar por plataformas legítimas e enviar e-mails de phishing para detentores de NFT, promovendo ofertas ou descontos falsos. Esses e-mails levam a sites de phishing projetados para roubar credenciais de login ou frases-semente.

Para se proteger, sempre verifique o endereço de e-mail do remetente e acesse manualmente a Gate.io em plataformas oficiais no seu navegador. Nunca clique em links suspeitos em e-mails, mesmo que pareçam legítimos.

Casos de Golpes de NFT do Mundo Real

1. Interagindo com um NFT Suspeito — AJ Perde $41,300 (2021)

Em 21 de setembro de 2021, o usuário X AJ (@babbler_dabbler) twittou que sua carteira foi comprometida, incluindo o roubo de The Currency, um NFT do renomado artista Damien Hirst. Segundo AJ, seu único erro foi interagir com um NFT desconhecido que apareceu repentinamente em sua carteira. Essa ação desencadeou uma violação da carteira, resultando na perda de 13,75 ETH — aproximadamente $41.300.

Fonte: https://x.com/babbler_dabbler/status/1439987074594217986

2. NFT Bored Ape de Jay Chou roubado (2022)

Em abril de 2022, a estrela pop taiwanesa Jay Chou revelou nas redes sociais que seu NFT do Bored Ape Yacht Club foi roubado. O NFT foi estimado em cerca de $500.000. Chou afirmou que o roubo ocorreu depois que ele clicou sem saber em um link de phishing.

Hackers provavelmente usaram engenharia social, possivelmente se passando por fãs ou equipe do projeto, para enviar um link malicioso. Após clicar nele, Chou aprovou involuntariamente um contrato inteligente malicioso, permitindo que os hackers transferissem o NFT. O ativo foi rapidamente revendido várias vezes, tornando extremamente difícil rastreá-lo.

Origem: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766

3. Ataque de Phishing da OpenSea (2022)

No início de 2022, os usuários do mercado NFT OpenSea foram vítimas de uma grande campanha de phishing. Hackers enviaram e-mails falsos e criaram sites falsificados, atraindo usuários para assinar contratos inteligentes maliciosos. Em questão de horas, os atacantes roubaram 254 NFTs no valor de aproximadamente $2.5 milhões, incluindo itens de alto valor do Bored Ape Yacht Club e Decentraland.

Hackers se passaram pela OpenSea em e-mails, alertando os usuários sobre "problemas de segurança na conta" e os incentivando a "verificar" ou "migrar" seus NFTs. Muitos usuários não conseguiram verificar a legitimidade do link e foram redirecionados para um site de phishing, onde aprovaram inconscientemente contratos maliciosos que levaram ao roubo de ativos.

Origem: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022

4. Moonbirds NFT Scam — $1.5 Million Stolen (Maio de 2022)

Hackers circularam um link malicioso que enganou os usuários a assinar transações. Isso resultou no roubo de 29 Moonbirds NFTs, avaliados em cerca de 750 ETH — cerca de $1.5 milhão na época.

Origem: https://x.com/CirrusNFT/status/1529296043547865088

5. Golpe de Deepfake de Voz de IA (2023)

Em meados de 2023, os hackers usaram inteligência artificial para imitar as vozes dos executivos corporativos e enganar os membros da equipe financeira para transferir grandes somas de dinheiro. De acordo com um relatório de 2023 da TRM Labs e da empresa de análise de blockchain Chainalysis, os fundos - totalizando vários milhões de dólares - foram lavados através de misturadores de criptomoedas.

Origem:https://www.cnbc.com/2025/02/13/crypto-scams-thrive-in-2024-on-back-of-pig-butchering-and-ai-report.html

6. Orbit Bridge Cross-Chain Protocol Hack — $80 Million Stolen (Dec 31, 2023)

Na véspera de Ano Novo de 2023, os hackers exploraram vulnerabilidades na ponte inter-cadeia Orbit Bridge, roubando mais de $80 milhões em ativos criptográficos (incluindo ETH e USDC). O ataque é suspeito devido a vazamento de chave interna. Parte dos fundos roubados foram lavados por meio de protocolos descentralizados.

Fonte:https://x.com/bitinning/status/1741783830372155620

7. Vazamento da Chave Privada do Bitcoin da DMM - Roubo de $300 Milhões (31 de maio de 2024)

A exchange de longa data do Japão, DMM Bitcoin, sofreu uma violação histórica quando hackers usaram chaves privadas vazadas para transferir US$ 300 milhões em Bitcoin para mais de 10 endereços separados. A exchange tentou rastreamento on-chain e congelamento de ativos, mas os atacantes usaram misturadores para lavar fundos, destacando graves fragilidades na segurança de chaves privadas e práticas de custódia.

Origem:https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak

Como Proteger Seus Ativos Digitais

No mundo blockchain, as ameaças de segurança estão em toda parte. Construir um sistema de defesa em camadas — composto por isolamento físico, salvaguardas operacionais e resposta de emergência — pode reduzir significativamente o risco de roubo de ativos.

Camada 1: Isolamento Físico (Carteiras de Hardware & Diversificação de Ativos)

1. Use carteiras de hardware (por exemplo, Ledger, Trezor) para armazenar ativos de alto valor.
2. As carteiras de hardware estão isoladas da internet e autorizam transações apenas quando estão fisicamente conectadas e confirmadas, reduzindo significativamente o risco de hacks remotos.
3. Evite armazenar grandes quantidades de criptomoedas em carteiras online (por exemplo, MetaMask) por longos períodos de tempo.
4. Distribua seus ativos em várias carteiras para evitar pontos únicos de falha.
5. Carteiras separadas com base nos casos de uso (por exemplo, carteira de negociação, carteira de armazenamento de longo prazo, carteira de uso diário).
6. Armazene ativos críticos em carteiras frias (armazenamento offline) para evitar exposição a ataques online.

Origem:https://www.ledger.com/

Camada 2: Salvaguardas Operacionais (Aprovações Cuidadosas & Verificações de Contrato Inteligente)

Tenha cautela com os links e evite golpes

1. Cuidado com os ataques de phishing:
   As equipes oficiais nunca solicitarão sua chave privada ou frase-semente via Telegram, Discord ou DMs do X (Twitter). Qualquer solicitação dessas informações é uma fraude.

2. Verificar autenticidade do projeto:
   Antes de interagir, verifique novamente as mídias sociais do projeto, os anúncios oficiais e as fontes para garantir legitimidade.

3. Gerencie cuidadosamente as aprovações de contratos inteligentes
   Verifique novamente os URLs dos sites e endereços de contratos antes de conectar sua carteira ou assinar qualquer transação. Sites falsos e contratos maliciosos são uma grande ameaça.
   Use ferramentas como Revoke.cash ou o Verificador de Aprovação de Token da Etherscan para revogar rotineiramente as permissões desnecessárias de contratos inteligentes, limitando o potencial para hackers explorarem contratos pré-aprovados.

4. Auditorias de Segurança de Contratos Inteligentes
   Antes de participar de NFT mints ou projetos DeFi, use ferramentas de auditoria (por exemplo, CertiK, PeckShield, SlowMist) para avaliar a segurança do contrato inteligente. Isso ajuda a evitar a exposição a códigos maliciosos ou vulnerabilidades exploráveis.

Origem: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d

Camada 3: Resposta de Emergência (Se Sua Carteira For Comprometida)

Se você notar atividade suspeita ou ativos foram roubados, tome ação imediata:

1. Criar uma nova carteira: Gerar uma nova chave privada e armazenar a frase-semente da nova carteira de forma segura usando uma carteira de hardware.
2. Revogar aprovações de contratos maliciosos: UsarRevoke.cashou na página de Aprovação de Tokens da Etherscan para cancelar autorizações para quaisquer contratos suspeitos e evitar mais perdas.
3. Transferir ativos restantes: Mova rapidamente quaisquer fundos restantes de carteiras comprometidas para sua carteira segura recém-criada.
4. Verifique seu dispositivo em busca de malware: Execute uma varredura completa de vírus e malware em seu computador e telefone para garantir que seus dispositivos não tenham sido infectados.
5. Habilite a autenticação de dois fatores (2FA): ative a 2FA para todas as contas relacionadas a criptomoedas — incluindo exchanges e serviços de carteira — para adicionar uma camada extra de segurança.

Fonte: https://revoke.cash/

Permaneça racional — evite a armadilha do FOMO

Não siga cegamente a euforia: Antes de participar de qualquer projeto, avalie seu valor a longo prazo em vez de ser impulsionado puramente pelo sentimento de mercado.

Revisar cuidadosamente as informações de assinatura: Ao assinar uma transação, sempre verifique o conteúdo da assinatura para garantir que ela não exponha sua chave privada ou conceda permissões maliciosas.

No mundo das criptomoedas, a segurança é a principal prioridade. Dominar este sistema de defesa de três camadas irá melhorar significativamente a proteção dos seus ativos e minimizar riscos desnecessários.

Conclusão

Os NFTs e ativos digitais apresentam oportunidades sem precedentes, mas também trazem sérias preocupações de segurança. Neste mundo digital, proteger sua carteira é tão crucial quanto proteger uma conta bancária no mundo físico. Enquanto os hackers constantemente evoluem suas táticas, permanecer vigilante e compreender práticas de segurança fundamentais pode reduzir efetivamente os riscos.

Hackers visam principalmente os usuários de NFT devido ao atrativo de ativos de alto valor, à irreversibilidade das transações em blockchain e à fraca consciência de segurança do usuário em geral. Para contrariar esses riscos, é essencial construir uma base de segurança sólida - usar carteiras frias, auditar regularmente permissões e manter suas chaves privadas armazenadas com segurança. A segurança continua sendo a linha de defesa mais crítica no ecossistema NFT. Apenas ficando alerta você pode realmente proteger sua riqueza digital.