Uma campanha de phishing realizada no final de maio de 2026 drenou centenas de carteiras EVM ao se passar pela MetaMask, alegando uma atualização obrigatória do sistema para 2026. O investigador on-chain ZachXBT identificou o padrão em 28 de maio, após rastrear um grupo de transações suspeitas em Ethereum, Polygon, Arbitrum e Base. Embora os valores por carteira não tenham atingido cifras de ataques anteriores mais divulgados, o número de vítimas foi elevado e a execução da fraude foi especialmente sofisticada.
As perdas médias por carteira ficaram na faixa de cinco dígitos, com levantamento de ZachXBT apontando que mais de US$ 9 milhões foram desviados de mais de 400 carteiras até 30 de maio. O método: usuários recebiam um e-mail ou notificação simulando ser da MetaMask, informando que sua carteira deixaria de funcionar sem uma "validação" de atualização. A página de validação pedia conexão da carteira e assinatura de uma transação — que na verdade autorizava um contrato malicioso a movimentar todos os tokens da carteira. Os fundos eram drenados em segundos.
Como Funciona o Golpe de Phishing
O ataque segue cinco passos diretos. A vítima recebe um e-mail ou notificação que parece ser da MetaMask, informando sobre uma suposta atualização obrigatória para 2026 e alertando sobre perda de acesso à carteira caso não realize o procedimento até determinada data. O link direciona para um endereço que imita visualmente o domínio oficial (utilizando variações como metamasks-update.com, metamask-validator.io, secure-metamask.app, entre outros).
A página de destino é uma cópia do site oficial da MetaMask, solicitando ao usuário que "verifique" sua carteira ao clicar em um botão que abre o modal do WalletConnect. Sem ler o conteúdo, o usuário assina uma transação — na verdade um setApprovalForAll para tokens ERC-20, uma aprovação de transferência de NFT ou uma assinatura permit que concede acesso irrestrito ao saldo da carteira.
Após a assinatura, o contrato malicioso executa a movimentação dos tokens para um endereço controlado pelos golpistas. Em poucos minutos, os fundos são transferidos entre redes, passam por mixers e então enviados para outras carteiras.
O Que Tornou Esta Campanha Eficiente
Três fatores diferenciam este golpe de outros ataques a carteiras. Primeiro, a qualidade da falsificação: modelos de e-mail convincentes, sites clonados com precisão e domínios registrados semanas antes, com certificados SSL. Segundo, o tom da mensagem, que usa uma urgência plausível — "atualização obrigatória" — comum em softwares legítimos, sem ameaças diretas, promessas de bônus ou solicitação de seed phrase. Terceiro, a abrangência multi-chain: os contratos fraudulentos operaram nas redes Ethereum, Polygon, Arbitrum e Base, reconhecendo corretamente a rede conectada pela vítima.
Como ZachXBT Rastreou as Transações
A análise forense on-chain seguiu o padrão: identificou-se o contrato fraudulento inicial na Ethereum, rastreou-se a carteira financiadora e as transferências de "gas" vindas de uma hot wallet única, que também financiou contratos em Polygon, Arbitrum e Base. A hot wallet foi abastecida via saque de exchange centralizada sem KYC, três semanas antes do início do golpe. A partir daí, a rastreabilidade se perde, pois a exchange não colabora com autoridades. A hipótese do investigador é de uma equipe especializada alugando infraestrutura para afiliados, mediante comissão sobre o valor furtado.
Por Que Carteiras Hardware Poderiam Ter Evitado o Golpe
O principal ponto em comum nas carteiras vítimas é o uso de hot wallets — extensões de navegador, apps mobile ou soluções de custódia em software. Carteiras hardware (como Ledger ou Trezor), mesmo conectadas à MetaMask, exigem confirmação física dos detalhes da transação no próprio dispositivo antes de assiná-la. Assim, o usuário teria a oportunidade de recusar uma autorização desconhecida antes de qualquer prejuízo.
Este é o principal argumento a favor da custódia via hardware: ainda que o contrato malicioso solicite a assinatura, é necessário aprová-la em uma tela confiável e separada. A fricção extra aumenta a segurança. Além disso, versões recentes da MetaMask exibem pré-visualização das transações, alertando sobre autorizações ilimitadas. Usuários de versões antigas, ou que ignoraram a visualização, foram os mais afetados.
O Que Todo Usuário EVM Deve Fazer Esta Semana
As recomendações são conhecidas e fundamentais. O checklist de segurança cripto da Phemex orienta em detalhes. Considere qualquer mensagem de "atualização obrigatória" ou "validação" recebida por e-mail ou notificação como potencial phishing. Atualizações legítimas são feitas dentro do próprio aplicativo, nunca via links externos. Em caso de dúvida, sempre acesse o site digitando o endereço manualmente no navegador.
Revogue autorizações de tokens não utilizados. A ferramenta gratuita Revoke.cash escaneia e exibe todas as permissões ativas da sua carteira. Permissões antigas em protocolos que você não usa mais aumentam sua exposição ao risco. Revogue e conceda apenas onde necessário. Use uma carteira hardware para guardar valores significativos. Caso não seja possível, utilize ao menos um perfil de navegador separado apenas para cripto, sem outras extensões.
Assine transações somente após conferir o conteúdo. Uma assinatura setApprovalForAll ou permit mostra o endereço do contrato e o escopo da autorização. Caso não reconheça o contrato ou o escopo seja ilimitado, recuse a operação.
Perguntas Frequentes
Como saber se fui vítima?
Verifique o histórico de transações da sua carteira para identificar autorizações ou transferências desconhecidas nos últimos 10 dias. A ferramenta Etherscan token approvals exibe todas as permissões ativas no seu endereço. Qualquer autorização para contrato desconhecido é um sinal de alerta. Se identificar uma transação de saque, os fundos provavelmente já foram movimentados, mas ainda assim reporte ao ZachXBT e às autoridades locais.
Por que a MetaMask não bloqueia todos esses domínios?
A MetaMask mantém uma lista de bloqueio de domínios suspeitos. No entanto, os golpistas trocam de domínio mais rápido do que a lista é atualizada. Portanto, a lista oferece proteção parcial, não total.
Carteiras L2 são mais seguras que mainnet?
Não. Os contratos utilizados neste golpe operam em qualquer rede EVM. L2s possuem taxas menores, atraindo usuários com saldos menores, mas a superfície de ataque é igual.
Transferir meus fundos para uma exchange centralizada é mais seguro?
Depende do seu perfil de risco. Uma custodiante centralizada e confiável, com seguro, armazenamento a frio e prova de reservas, elimina o risco de phishing na autogestão, mas acrescenta riscos de contraparte e de plataforma. Recomenda-se carteira hardware para armazenamento de longo prazo, hot wallet para operações e custodiante confiável para valores em negociação.
Resumo Final
O golpe arrecadou mais de US$ 9 milhões de mais de 400 carteiras em uma semana. A infraestrutura fraudulenta permanece ativa, com rotação constante de domínios e alto nível de sofisticação, sugerindo que o método continuará eficaz enquanto novos iscos não forem criados. As medidas preventivas já são conhecidas: uso de hardware wallet, desconfiança de notificações externas, revogação periódica de permissões e atenção ao conteúdo das transações. Nas próximas semanas, é provável que a fraude passe a usar nomes de outras carteiras populares (Rabby, Phantom, Trust). Trate qualquer e-mail sobre atualização de carteira com a mesma cautela que usaria se um estranho pedisse sua senha bancária.
Este artigo é apenas para fins informativos e não constitui aconselhamento financeiro ou de investimento. A negociação de criptomoedas envolve riscos. Sempre faça sua própria pesquisa antes de tomar decisões.
