Roubo de 5.000 ETH gera pânico: MetaMask e imToken em foco

Em abril, rumores de roubo de 5.000 ETH na MetaMask geraram pânico; a equipe negou o furto. A imToken alertou sobre ataques a carteiras cripto.

Eventos recentes de segurança em carteiras

Em 18 de abril, o desenvolvedor da MetaMask @tayvano_ publicou no comunidade um tweet sobre o roubo de 5.000 ETH, gerando ampla especulação e pânico sobre possíveis vulnerabilidades na MetaMask. No dia seguinte, a equipe oficial da MetaMask respondeu que o rumor de roubo era infundado, mas que já estava investigando a origem de eventuais falhas.

Logo depois, em 20 de abril, a imToken divulgou um alerta informando que criminosos estavam se passando por funcionários da imToken, usando SMS e outros canais para induzir usuários a acessar sites de phishing e revelar suas frases‑semente, resultando em perdas de ativos. Apenas um dia depois, pesquisadores do projeto SlowMist notaram, ao buscar “imToken” no Google, que anúncios em destaque estavam sendo ocupados por sites maliciosos, alertando os usuários a não clicarem nos anúncios.

Captura de tela da página de phishing exibida como anúncio em destaque nos resultados de busca do Google para imToken

Em 22 de abril, a Trust Wallet publicou um comunicado dizendo que endereços de carteira criados entre 14 e 23 de novembro do ano passado continham uma brecha de segurança, e que já havia iniciado o processo de compensação.

Com o crescimento explosivo de interações em DeFi, NFTs e outras aplicações on‑chain, os usuários deixaram de se contentar apenas com a custódia em exchanges centralizadas e passaram a armazenar seus tokens em carteiras pessoais. Esse movimento ampliou a superfície de ataque para hackers, que agora podem explorar erros de autorização, aplicativos maliciosos, vulnerabilidades nas próprias carteiras e outros vetores. A segurança dos ativos tornou‑se, assim, uma habilidade básica que todo detentor de cripto deve dominar.

A seguir, analisaremos os conceitos básicos das carteiras, casos típicos de roubo e medidas de proteção de chaves privadas, oferecendo um panorama sistemático de como reduzir a probabilidade de ter seus fundos furtados.

Neste artigo compilamos diversas técnicas empregadas em roubos recentes de carteiras populares, revelamos a evolução dos ataques de phishing e apresentamos medidas práticas de defesa. Ao dissecar os incidentes envolvendo MetaMask, imToken, Trust Wallet e outros, ajudamos o usuário a identificar riscos e aprimorar a segurança de seus ativos.

Conceitos básicos de carteira

Antes de discutir segurança, é importante entender alguns conceitos centrais, que facilitam a aplicação das medidas de proteção.

1. Criptografia simétrica vs. assimétrica

Criptografia simétrica utiliza o mesmo algoritmo e a mesma chave para criptografar e descriptografar dados. Já a criptografia assimétrica emprega um par de chaves – uma pública e outra privada – onde a chave pública serve para criptografar e a privada para descriptografar; as duas não são intercambiáveis.

Diagrama ilustrativo da criptografia simétrica e assimétrica mostrando a relação entre chave pública e privada

Conforme a figura, no sistema assimétrico a chave pública e a chave privada do receptor não são a mesma chave.

2. Chave pública, chave privada, frase‑semente e endereço

Compreendida a forma de criptografia, apresentamos os componentes internos mais comuns de uma carteira.

Diagrama ilustrativo da relação entre chave pública e chave privada na criptografia assimétrica

Par de chaves: composto por uma chave pública (exposta) e uma chave privada (confidencial).
Chave pública: usada para criptografar dados; só pode ser descriptografada com a chave privada correspondente.
Chave privada: gera a chave pública e é responsável por descriptografar as informações criptografadas com ela.
Endereço: cadeia curta derivada da chave pública por meio de algoritmos de compressão, facilitando seu uso na blockchain.
Frase‑semente: para contornar o problema de tamanho e memorização da chave privada, a indústria adotou um conjunto de palavras legíveis (geralmente 12), que na prática equivale à própria chave privada.

Diagrama do fluxo de transação on‑chain mostrando como a frase‑semente gera a chave privada e inicia a transferência

Nas transações reais, o usuário realiza uma assinatura digital (usando a chave privada para assinar os dados da transação) para confirmar a operação; os nós da rede verificam a assinatura com a chave pública correspondente, assegurando a autenticidade. Podemos comparar a chave pública (endereço) a uma conta bancária e a chave privada (frase‑semente) à senha dessa conta; quem detém a chave privada detém a propriedade dos ativos.

3. Formas de armazenar a chave privada

Os ativos na blockchain não ficam armazenados dentro do aplicativo da carteira, mas sim “travados” no endereço correspondente. Quem possui a chave privada controla esse endereço. Por isso, a segurança da chave privada determina diretamente a segurança dos fundos. Na primeira criação da carteira, a maioria dos aplicativos avisa para que o usuário faça backup adequado da chave; se ela for perdida, não há como recuperá‑la.

4. Carteiras quentes e frias

Ilustração classificando carteiras quentes e frias; à esquerda, chave privada online; à direita, chave privada offline

Carteira quente: inclui extensões de navegador, aplicativos móveis etc.; oferece praticidade e rapidez nas transações, porém, por estar sempre conectada à internet, apresenta menor nível de segurança.
Carteira fria: existe em forma de dispositivo hardware, mantendo a chave privada offline; oferece alta resistência a ataques e é recomendada para quem mantém grandes quantias a longo prazo. Seu uso requer conectar o dispositivo e executar etapas adicionais.

Com esses conceitos em mente, todas as técnicas de proteção giram em torno de “proteger a chave privada”.

Casos típicos de roubo

Estudar casos reais permite identificar pontos vulneráveis e adotar defesas direcionadas.

1. Vazamento da frase‑semente

No início de 2021, o fundador da plataforma *Shengcai Youshu* (亦仁) armazenou a chave privada de seus bitcoins em um serviço de anotações na nuvem, resultando no roubo de BTC avaliados em mais de dez milhões de dólares (≈ R$ 55.000.000).

Ilustração de uma raposa cartunizada ao lado do ícone da carteira imToken com aviso de alerta

Em novembro de 2022, o fundador da *Distributed Capital* (沈波) teve seus ativos digitais (incluindo 38.233.180 USDC, 1.607 ETH, 719.760 USDT e 4,13 BTC) roubados; a equipe de segurança *SlowMist* concluiu que o incidente foi causado por vazamento da frase‑semente.

Imagem mostrando uma folha de papel com a frase‑semente e um ícone de chave

2. Perda da chave privada

O engenheiro de TI britânico James Howells perdeu, em 2013, um disco rígido contendo cerca de 8.000 BTC. Nove anos depois, ele ainda busca recursos para tentar recuperar esse patrimônio.

3. Clique em links maliciosos

Um usuário clicou em um link desconhecido, permitindo que hackers acessassem o backup criptografado local do MetaMask; todo o saldo foi transferido.

Captura de tela mostrando o usuário clicando em link e o backup local do MetaMask sendo roubado

Um influenciador do Twitter (KOL) abriu um link enviado por mensagem direta, teve a conta comprometida e passou a divulgar um “airdrop” fraudulento, levando seguidores a clicar e perder seus fundos.

Página do Twitter exibindo o KOL publicando um airdrop com link de phishing

4. Autorizações indiscriminadas ou vulnerabilidades em contratos

Em 2 de outubro, a DEX de swap instantâneo Transit Swap, vinculada ao Token Pocket, sofreu ataque que provocou perdas superiores a 15.000.000 USD (≈ R$ 82.500.000). A equipe recomendou que os usuários revogassem as autorizações concedidas.

Ilustração de uma raposa ao lado da interface da carteira imToken mostrando o roubo

Em 11 de outubro, o plugin‑wallet Rabby, desenvolvido pela DeBank, foi acusado de possuir falha em contrato de swap; hackers exploraram a vulnerabilidade e lucraram cerca de 190.000 USD (≈ R$ 1.045.000).

Tela de celular exibindo uma página de download falsa do imToken infectada por vírus

5. Download de aplicativos falsos

Criminosos enviaram SMS gerando pânico, induzindo usuários a reinstalar um suposto “app oficial”. Após o login, os ativos foram transferidos.

Tela de confirmação de transferência de um aplicativo falso que se passa por Binance

Usuário instalou um Binance App falsificado e, ao efetuar transferência, enviou 5 ETH para um endereço desconhecido, perdendo-os permanentemente.

Interface de celular mostrando a página de transferência do aplicativo Binance falsificado

Dos exemplos acima, fica claro que a maioria dos roubos tem origem em vazamento ou perda da frase‑semente, cliques em links de phishing, concessão excessiva de autorizações e uso de softwares falsificados.

Medidas preventivas e boas práticas

1. Backup seguro da chave privada

Assim que a carteira for criada, faça backup duplo, garantindo ao menos duas cópias armazenadas offline.
Anote a frase‑semente em papel e criptografe-a (por exemplo, inserindo caracteres personalizados) ou guarde‑a em um dispositivo que nunca se conecte à internet.
Quando possível, adquira placas de armazenamento metálico oficiais e grave a frase‑semente nelas, protegendo‑a contra incêndios, inundações e outros desastres.
Para grandes somas, recomenda‑se utilizar uma hardware wallet reconhecida no mercado, comprada exclusivamente por canais oficiais, evitando riscos de malware em revendedores não autorizados.

2. Evitar vazamento da frase‑semente

Nunca copie‑cole a chave privada ou a frase‑semente; isso impede que a área de transferência seja lida por softwares maliciosos.
Não armazene a frase‑semente em serviços de nuvem, aplicativos de mensagens, notas online ou qualquer plataforma conectada à internet.
Jamais revele a frase‑semente a terceiros, mesmo que aleguem ser representantes oficiais; provedores legítimos nunca solicitarão essa informação.
Use Wi‑Fi público com extrema cautela; evite operar a carteira em redes inseguras.
Baixe sempre aplicativos ou ferramentas diretamente do site oficial ou da loja oficial (App Store/Google Play), reduzindo a chance de instalar versões falsificadas.
Após interagir com contratos DeFi ou NFT, revogue imediatamente autorizações que não serão mais utilizadas, diminuindo a exposição a falhas de contrato.
Desconfie de mensagens, e‑mails ou links em redes sociais de remetentes desconhecidos; não clique sem verificação.
Caso detecte atividade suspeita, suspenda imediatamente a carteira em uso; não confie em “sorte” ou “acidentes” que possam ser revertidos.
Evite VPNs gratuitos; prefira serviços pagos e confiáveis para prevenir interceptação de tráfego.
Mantenha-se atualizado acompanhando alertas de comunidades de segurança, ajustando suas defesas conforme novas ameaças surgem.

O pilar da segurança de ativos é “a chave privada não deve vazar”. Somente quem controla sua própria chave realmente possui seus tokens.

3. Distribuição dos ativos

Dividir os fundos entre diferentes carteiras e exchanges centralizadas confiáveis reduz o risco de falha única. Embora exchanges centralizadas estejam sujeitas a riscos regulatórios ou operacionais, as principais adotam medidas de segurança avançadas; uma alocação equilibrada ainda pode ser uma estratégia viável.

Pontos de segurança ao usar exchanges centralizadas:

Ative autenticação multifator (por exemplo, via celular, e‑mail ou Google

Leitura Relacionada

💡 Cadastre-se na Binance com o código B2345 para o desconto máximo em taxas. Veja guia completo Binance.

⚠️ Aviso de risco: Os preços das criptomoedas são muito voláteis. Isso não é aconselhamento de investimento.