Visão geral

Com o rápido desenvolvimento da criptomoeda e da tecnologia blockchain, os NFTs (tokens não fungíveis), como ativos digitais únicos, têm atraído uma enxurrada de investidores e colecionadores. No entanto, ao lado do mercado em crescimento, há um conjunto crescente de riscos.

Já reparou em NFTs inesperados ou outros ativos a aparecerem subitamente na sua carteira? Estes itens digitais aparentemente inofensivos podem representar sérias ameaças de segurança — podendo até resultar numa perda total de fundos. Este artigo irá revelar os perigos ocultos por trás destes cenários e oferecer conselhos práticos de segurança para ajudá-lo a proteger os seus ativos digitais de forma mais eficaz.

Atualmente, o valor de mercado total de criptomoedas e NFTs ultrapassou os 3 trilhões de dólares, com mais de 300 milhões de participantes em todo o mundo. No entanto, à medida que o mercado floresce, também se tornou um alvo principal para hackers e golpistas. De acordo com dados da Comparitech (em março 13, 2025), os golpes relacionados com cripto e NFT já causaram perdas no valor de 27 bilhões de dólares — e o número continua a aumentar.

Origem: https://www.comparitech.com/crypto/cryptocurrency-scams/ (13 de março de 2025)

Porque os detentores de NFT são alvos principais para hackers

1. O Fascínio de Ativos de Alto Valor

Os NFTs frequentemente têm um valor significativo — especialmente aqueles de coleções raras ou populares como o Bored Ape Yacht Club ou CryptoPunks, onde uma única peça pode valer centenas de milhares ou até milhões de dólares.

Estes ativos digitais de alto valor atuam como "minas de ouro" no mundo virtual, atraindo naturalmente a atenção de hackers. Comparadas aos ativos financeiros tradicionais, as transações de NFT são mais rápidas e difíceis de rastrear. Uma vez roubados, os hackers podem rapidamente transformar os ativos em dinheiro.

Origem: https://opensea.io/collection/boredapeyachtclub

2. Anonimato e Irreversibilidade da Blockchain

A natureza anônima da blockchain fornece privacidade aos usuários, mas também cria um refúgio para hackers. Uma vez que um NFT ou token é roubado, o ladrão pode transferi-lo rapidamente para outras carteiras ou lavá-lo usando misturadores como o Tornado Cash.

Como as transações em blockchain são irreversíveis, as vítimas têm pouca ou nenhuma chance de recuperação, a menos que o hacker devolva voluntariamente o ativo ou seja capturado pelas autoridades. Isso torna o ataque aos detentores de NFT uma estratégia de baixo risco e alta recompensa para os cibercriminosos.

3. Geralmente Baixa Consciência de Segurança Entre os Utilizadores

Muitos utilizadores de NFT são novatos em blockchain e tecnologia cripto, carecendo de consciência de segurança adequada. Eles podem não compreender totalmente a importância das chaves privadas ou frases semente, ou saber como reconhecer sites de phishing e contratos maliciosos.

Por exemplo, alguns utilizadores clicam em ligações suspeitas sem hesitação ou guardam as suas chaves privadas em locais inseguros como notas no telemóvel ou serviços na nuvem — tudo isso abre a porta para hackers.

4. Um Ecossistema Complexo Aumenta a Exposição

O ecossistema NFT abrange carteiras, plataformas de negociação (como OpenSea), contratos inteligentes e redes sociais (como Discord e Twitter). Cada componente é um vetor de ataque potencial.

5. Comunidades Altamente Ativas e Propagação Rápida de Informações

Os utilizadores de NFT costumam ser ativos em plataformas como o Twitter e o Discord, partilhando frequentemente as suas coleções, registos de negociações ou participando em eventos. Esta visibilidade pública torna-os alvos fáceis. Por exemplo, alguém a exibir um NFT de milhões de dólares no Twitter poderia imediatamente atrair hackers que enviam links de phishing ou se fazem passar por agentes de apoio falsos.

6. Barreiras Técnicas Elevadas Que Convidam a Erros

O envolvimento com NFTs requer um certo nível de conhecimento técnico, como usar o MetaMask, entender as taxas de gás e assinar contratos inteligentes. Para usuários não familiares com esses processos, é fácil cometer erros críticos. Alguns podem, inadvertidamente, conceder permissões a contratos maliciosos ou operar em ambientes de rede não seguros, levando a roubo.

7. Baixo custo, alta recompensa para hackers

Comparativamente aos ciberataques tradicionais, como a violação de sistemas bancários, visar utilizadores de NFT é relativamente de baixo custo. Um hacker pode apenas precisar de criar um website falso, enviar um email de phishing ou espalhar links maliciosos pelas redes sociais — e poderá aceder a carteiras valiosas. Uma vez bem-sucedido, as recompensas podem ser de milhares a milhões de dólares. Este cenário de alto retorno e baixo risco torna os utilizadores de NFT um alvo principal.

Métodos Comuns de Roubo de NFT

Contratos Inteligentes Maliciosos

Os NFTs estão tipicamente ligados a contratos inteligentes, que regem a propriedade, transferências e várias interações. Os utilizadores recebem frequentemente NFTs de fontes desconhecidas, como redes sociais, distribuições aéreas ou sites.

Embora o próprio NFT possa parecer inofensivo, o seu contrato inteligente subjacente pode conter código malicioso. Os hackers podem explorar este código para obter permissões da carteira sem o seu conhecimento, acabando por drenar todos os ativos da sua carteira.

Origem: https://trezor.io/support/a/malicious-smart-contracts

Ataques de phishing e engenharia social

Os hackers frequentemente criam sites falsos, emails ou mensagens em redes sociais para enganar os utilizadores a introduzirem as suas chaves privadas ou frases-semente, ou a aprovarem contratos inteligentes desconhecidos. Por exemplo, pode receber uma falsa “Notificação OpenSea” pedindo-lhe para “verificar a sua carteira.” Mas uma vez que clique no link e conceda acesso, os seus NFTs e tokens podem ser instantaneamente roubados.

Além disso, os hackers usam táticas de phishing e engenharia social para enviar NFTs maliciosos diretamente para as carteiras dos usuários. Simplesmente visualizar ou interagir com um desses NFTs poderia permitir que os hackers explorassem vulnerabilidades de contratos inteligentes, potencialmente ganhando controle sobre a carteira ou enganando o usuário a assinar transações de alto risco. Sempre verifique a origem de qualquer NFT — nunca interaja com ativos desconhecidos ou suspeitos.

Em plataformas como o Discord e o Telegram, hackers podem fazer-se passar por membros de suporte, desenvolvedores ou membros da comunidade, alegando que podem ajudar a "corrigir" problemas de carteira. Eles convencem os utilizadores a divulgar as suas frases-semente, acabando por roubar os seus ativos.

A maioria dos principais projetos NFT agora inclui canais de 'Relatório de Golpes' em seus servidores. Desde julho de 2021, mais de 75.000 mensagens foram registradas nesses canais em várias plataformas NFT — com 76% delas enviadas apenas em 2022.

Origem: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/

Hackers também usam técnicas de "assinatura cega" via eth_sign para roubar ativos. Ao contrário das transações tradicionais de phishing que exibem dados de transação claros e incorrem em taxas de gás, a assinatura cega mostra apenas uma sequência obscura de texto — tornando-a altamente enganosa. Uma vez que o utilizador assina, o hacker pode transferir imediatamente tokens da carteira.

Origem: https://support.token.im/hc/en-us/articles/18676133507993-Security-Alert-Beware-of-Eth-Sign-Blind-Signing-Scams

Projetos falsos de NFT

Alguns hackers fazem-se passar por projetos NFT populares para atrair utilizadores a comprar ou interagir com plataformas falsas. Assim que ligar a sua carteira a um desses sites maliciosos, poderá acionar contratos inteligentes projetados para roubar os seus ativos.

Os golpistas frequentemente exploram a função SetApprovalForAll() nos padrões ERC-721 e ERC-1155, enganando as vítimas a concederem sem saber o controle total de seus NFTs. Uma vez aprovados, os hackers podem transferir ativos a qualquer momento sem mais entrada do usuário. Portanto, antes de interagir com qualquer projeto NFT, verifique sempre a sua autenticidade e utilize regularmente ferramentas comoRevoke.cashpara rever e remover aprovações desnecessárias.

Origem: https://playtoearn.com/news/metamask-is-now-testing-setapprovalforall-confirmation-window-to-curb-nft-scams

Código Malicioso, Software e Roubo Oculto

A instalação de software desconhecido ou extensões do navegador (como plugins falsos do MetaMask) pode infetar o seu dispositivo com malware capaz de roubar chaves privadas ou rastrear a sua atividade.

Além de contratos inteligentes maliciosos, alguns NFTs e ativos digitais podem conter scripts que são executados ao visualizar ou interagir. Por exemplo, simplesmente clicar nesses NFTs pode executar um código que transfere ativos para um endereço controlado por um hacker. Embora esses scripts geralmente não comprometam diretamente a segurança do dispositivo, eles podem silenciosamente esvaziar a sua carteira.

Esquemas de Pacotes de NFT com Falsificações

Os hackers frequentemente criam pacotes de NFT falsos que incluem tanto falsificações de alta qualidade como NFTs incorporados com contratos maliciosos. Estes pacotes tentam os utilizadores com preços baixos e a promessa de poupança nas taxas de gás. No entanto, iniciar uma transação pode autorizar silenciosamente SetApprovalForAll(), dando aos hackers controle total sobre a carteira do utilizador.

Por exemplo, ao comprar um pacote NFT na OpenSea, verifique sempre a origem de cada NFT e o contrato associado. Essa 'economia' de taxa de gás pode se tornar um erro custoso.

Fonte: https://opensea.io/collection/boredapeyachtclub

Esquemas de Pump-and-Dump

Os golpistas inflacionam artificialmente os preços dos NFTs, promovendo projetos através das redes sociais ou endossos de celebridades, criando uma falsa sensação de procura. Uma vez que os preços atingem o pico, os insiders despejam suas participações, causando um crash de mercado e deixando os compradores com ativos desvalorizados.

Para evitar tais esquemas, verifique sempre o histórico de transações de um NFT. Os NFTs legítimos geralmente têm uma base diversificada de compradores e atividade orgânica.

Rug Pulls

Nestas fraudes, os desenvolvedores atraem os utilizadores para a compra de NFTs com grandes promessas, apenas para desaparecer depois de recolher fundos. Estas frequentemente envolvem equipas anónimas com mapas de estrada vistosos e sem qualquer intenção real de cumprir.

Por exemplo, em 2021, os criadores do Evil Ape desapareceram depois de arrecadar quase $3 milhões. Da mesma forma, em 2022, o projeto de NFT Frosties defraudou investidores em $1.3 milhões. Embora os perpetradores tenham sido eventualmente presos e acusados, os NFTs e fundos roubados nunca foram recuperados.

Para evitar rug pulls, priorize projetos com equipas transparentes, responsáveis e com roadmaps realistas. Verifique se o desenvolvimento está a progredir conforme prometido.

Fonte: https://www.cbr.com/evolved-apes-nft-desaparece-3 milhões/

Ofertas falsas de NFT

Os golpistas podem fazer-se passar por plataformas legítimas e enviar e-mails de phishing para os titulares de NFT, promovendo ofertas ou descontos falsos. Estes e-mails conduzem a sites de phishing projetados para roubar credenciais de login ou frases-semente.

Para se proteger, verifique sempre o endereço de e-mail do remetente e navegue manualmente até plataformas oficiais da Gate.io em seu navegador. Nunca clique em links suspeitos de e-mails, mesmo que pareçam legítimos.

Casos de Fraude de NFT no Mundo Real

1. Interagir com um NFT Suspeito — AJ Perde $41,300 (2021)

Em 21 de setembro de 2021, o usuário X AJ (@babbler_dabbler) twittou que a sua carteira foi comprometida, incluindo o roubo de The Currency, um NFT do renomado artista Damien Hirst. De acordo com AJ, o seu único erro foi interagir com um NFT desconhecido que apareceu repentinamente na sua carteira. Essa ação desencadeou uma violação da carteira, resultando na perda de 13.75 ETH — cerca de $41,300.

Origem: https://x.com/babbler_dabbler/status/1439987074594217986

2. NFT do Bored Ape de Jay Chou Roubado (2022)

Em abril de 2022, a estrela pop taiwanesa Jay Chou revelou nas redes sociais que o seu NFT Bored Ape Yacht Club tinha sido roubado. O NFT foi estimado em cerca de $500,000. Chou afirmou que o roubo ocorreu depois de ele ter clicado inadvertidamente num link de phishing.

Os hackers provavelmente usaram engenharia social, possivelmente se fazendo passar por fãs ou equipe do projeto, para enviar um link malicioso. Depois de clicar nele, Chou aprovou involuntariamente um contrato inteligente malicioso, permitindo que os hackers transferissem o NFT. O ativo foi rapidamente revendido várias vezes, tornando extremamente difícil rastreá-lo.

Origem: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766

3. Ataque de Phishing OpenSea (2022)

No início de 2022, os usuários do mercado NFT OpenSea foram vítimas de uma grande campanha de phishing. Hackers enviaram e-mails falsos e criaram sites falsificados, atraindo os usuários a assinar contratos inteligentes maliciosos. Em questão de horas, os atacantes roubaram 254 NFTs no valor de aproximadamente $2.5 milhões, incluindo itens de alto valor do Bored Ape Yacht Club e Decentraland.

Hackers fizeram-se passar pela OpenSea em emails, alertando os utilizadores sobre "questões de segurança da conta" e incitando-os a "verificar" ou "migrar" os seus NFTs. Muitos utilizadores não conseguiram verificar a legitimidade do link e foram redirecionados para um site de phishing, onde aprovaram involuntariamente contratos maliciosos que levaram ao roubo de ativos.

Fonte: https://www.halborn.com/blog/post/explained-the-opensea-phishing-hack-february-2022

4. Moonbirds NFT Scam — $1.5 Milhões Roubados (Maio de 2022)

Hackers circularam um link malicioso que enganou os utilizadores a assinar transações. Isso resultou no roubo de 29 NFTs Moonbirds, avaliados em cerca de 750 ETH — cerca de $1.5 milhões na época.

Origem: https://x.com/CirrusNFT/status/1529296043547865088

5. Esquema de Falsificação Profunda de Vozes de IA (2023)

Em meados de 2023, hackers usaram inteligência artificial para imitar as vozes de executivos corporativos e enganar membros da equipe financeira a transferir grandes somas de dinheiro. De acordo com um relatório de 2023 da TRM Labs e da empresa de análise de blockchain Chainalysis, os fundos — totalizando vários milhões de dólares — foram branqueados através de misturadores de criptomoedas.

Origem:https://www.cnbc.com/2025/02/13/crypto-scams-thrive-in-2024-on-back-of-pig-butchering-and-ai-report.html

6. Protocolo de Ponte Orbit Cross-Chain Hack — $80 Milhões Roubados (31 de dezembro de 2023)

Na véspera de Ano Novo de 2023, hackers exploraram vulnerabilidades na ponte intercadeia Orbit Bridge, roubando mais de $80 milhões em ativos de criptomoeda (incluindo ETH e USDC). Suspeita-se que a violação tenha sido devido a vazamento de chave interno. Parte dos fundos roubados foram lavados através de protocolos descentralizados.

Origem:https://x.com/bitinning/status/1741783830372155620

7. DMM Bitcoin Chave Privada Vazamento — Roubo de $300 Milhões (31 de maio de 2024)

A exchange de longa data do Japão, DMM Bitcoin, sofreu uma violação histórica quando hackers usaram chaves privadas vazadas para transferir $300 milhões em Bitcoin para mais de 10 endereços separados. A exchange tentou rastreamento on-chain e congelamento de ativos, mas os atacantes usaram misturadores para lavar fundos, destacando graves falhas na segurança de chaves privadas e práticas de custódia.

Origem: https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak

Como Proteger os Seus Ativos Digitais

No mundo da blockchain, as ameaças à segurança estão por toda parte. Construir um sistema de defesa em camadas — composto por isolamento físico, salvaguardas operacionais e resposta a emergências — pode reduzir significativamente o risco de roubo de ativos.

Camada 1: Isolamento Físico (Carteiras de Hardware & Diversificação de Ativos)

1. Use carteiras de hardware (por exemplo, Ledger, Trezor) para armazenar ativos de alto valor.
2. As carteiras de hardware estão isoladas da internet e autorizam transações apenas quando estão fisicamente conectadas e confirmadas, reduzindo significativamente o risco de hacks remotos.
3. Evite armazenar grandes quantidades de criptomoedas em carteiras quentes (por exemplo, MetaMask) por longos períodos.
4. Distribua os seus ativos por várias carteiras para evitar pontos únicos de falha.
5. Carteiras separadas com base nos casos de uso (por exemplo, carteira de negociação, carteira de armazenamento a longo prazo, carteira de uso diário).
6. Armazene ativos críticos em carteiras frias (armazenamento offline) para evitar exposição a ataques online.

Fonte:https://www.ledger.com/

Camada 2: Salvaguardas Operacionais (Aprovações Cuidadosas & Verificações de Contratos Inteligentes)

Seja cauteloso com links e evite golpes

1. Cuidado com os ataques de phishing:
   As equipas oficiais nunca pedirão a sua chave privada ou frase-semente via Telegram, Discord, ou DMs do X (Twitter). Qualquer pedido desta informação é uma fraude.

2. Verificar a autenticidade do projeto:
   Antes de interagir, verifique duas vezes as redes sociais do projeto, os anúncios oficiais e as fontes para garantir a legitimidade.

3. Gerir cuidadosamente as aprovações de contratos inteligentes
   Verifique novamente os URLs do site e os endereços de contrato antes de conectar sua carteira ou assinar qualquer transação. Os sites falsos e os contratos maliciosos são uma grande ameaça.
   Utilize ferramentas como Revoke.cash ou o Verificador de Aprovação de Token da Etherscan para revogar rotineiramente as permissões desnecessárias de contratos inteligentes, limitando o potencial para hackers explorarem contratos previamente aprovados.

4. Auditorias de Segurança de Contratos Inteligentes
   Antes de participar em lançamentos NFT ou projetos DeFi, utilize ferramentas de auditoria (por exemplo, CertiK, PeckShield, SlowMist) para avaliar a segurança do contrato inteligente. Isso ajuda a evitar a exposição a código malicioso ou vulnerabilidades exploráveis.

Origem: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d

Camada 3: Resposta de Emergência (Se a Sua Carteira For Comprometida)

Se notar atividades suspeitas ou se os ativos tiverem sido roubados, tome ação imediata:

1. Criar uma nova carteira: Gerar uma nova chave privada e armazenar a frase-semente da nova carteira de forma segura usando uma carteira de hardware.
2. Revogar aprovações de contratos maliciosos: UsarRevoke.cashou na página de Aprovação de Token da Etherscan para cancelar autorizações de quaisquer contratos suspeitos e evitar mais perdas.
3. Transferir ativos remanescentes: Mova rapidamente quaisquer fundos remanescentes de carteiras comprometidas para a sua nova carteira segura recém-criada.
4. Verifique o seu dispositivo quanto a malware: Execute uma verificação completa de vírus e malware no seu computador e telemóvel para garantir que os seus dispositivos não tenham sido infectados.
5. Ativar autenticação de dois fatores (2FA): Ative 2FA para todas as contas relacionadas a criptomoedas — incluindo exchanges e serviços de carteira — para adicionar uma camada extra de segurança.

Origem: https://revoke.cash/

Mantenha-se racional — Evite a armadilha FOMO

Não siga cegamente a hype: Antes de participar em qualquer projeto, avalie o seu valor a longo prazo em vez de se deixar levar puramente pelo sentimento de mercado.

Rever cuidadosamente as informações de assinatura: Ao assinar uma transação, verifique sempre o conteúdo da assinatura para garantir que não expõe a sua chave privada ou concede permissões maliciosas.

No mundo das criptomoedas, a segurança é a principal prioridade. Dominar este sistema de defesa em três camadas irá melhorar significativamente a proteção dos seus ativos e minimizar os riscos desnecessários.

Conclusão

NFTs e ativos digitais apresentam oportunidades sem precedentes, mas também vêm com sérias preocupações de segurança. Neste âmbito digital, proteger a sua carteira é tão crucial como proteger uma conta bancária no mundo físico. Embora os hackers evoluam constantemente as suas táticas, manter-se vigilante e compreender as práticas fundamentais de segurança pode efetivamente reduzir os riscos.

Os hackers visam principalmente os utilizadores de NFT devido ao fascínio por ativos de alto valor, a irreversibilidade das transações em blockchain e a fraca consciencialização da segurança por parte dos utilizadores. Para contrariar estes riscos, é essencial construir uma base de segurança sólida - utilizar carteiras frias, auditar regularmente as permissões e manter as chaves privadas armazenadas de forma segura. A segurança continua a ser a linha de defesa mais crítica no ecossistema NFT. Apenas permanecendo alerta é que pode realmente proteger a sua riqueza digital.