Rewards Hub 
Quatro agências de segurança de três países passaram uma semana no final de março de 2026 rastreando criptoativos roubados em mais de 30 nações. Ao final da operação, foram congelados US$ 12 milhões, sinalizados mais de 20.000 endereços de carteiras comprometidas e derrubados 120 sites fraudulentos. A operação, denominada Atlantic, contou com a participação do Serviço Secreto dos EUA, Agência Nacional de Crimes do Reino Unido (NCA), Polícia Provincial de Ontário e Comissão de Valores Mobiliários de Ontário. O total de fraudes identificadas ultrapassou US$ 45 milhões, com US$ 33 milhões ainda sob investigação.
O método mais comum utilizado foi o phishing de aprovação, um ataque de engenharia social que não rouba suas chaves privadas ou frase-semente, mas engana o usuário a assinar uma transação que concede a terceiros acesso ilimitado aos seus tokens. Não é necessário fornecer senha; apenas clicar em "aprovar" em um aviso rotineiro da carteira pode dar aos invasores controle total sobre os ativos.
Veja os principais achados da Operação Atlantic, como funciona tecnicamente o phishing de aprovação e as etapas para se proteger.
O que fez a Operação Atlantic
A operação aconteceu entre o fim de março e o início de abril de 2026. O Serviço Secreto dos EUA anunciou os resultados em 9 de abril, destacando ser a primeira ação multinacional coordenada focada em escala contra o phishing de aprovação.
Os números demonstram o impacto: mais de 20.000 endereços de carteiras vítimas de fraude em mais de 30 países, incluindo EUA, Reino Unido e Canadá. Desses, mais de 3.000 vítimas foram contatadas diretamente pelas autoridades durante a operação, recebendo alertas sobre carteiras comprometidas e, em alguns casos, tendo fundos congelados antes que fossem transferidos pelos golpistas. Uma vítima do Reino Unido perdeu cerca de 52.000 libras em uma única transação de phishing de aprovação.
Além de congelar US$ 12 milhões, a equipe desativou 120 domínios usados para hospedar interfaces falsas de DeFi, sites de airdrop fraudulentos e prompts de conexão de carteira falsificados. O The Block noticiou que os US$ 33 milhões restantes seguem sob rastreamento, indicando que a ação continua.
A Chainalysis forneceu a inteligência blockchain para a operação, com rastreamento em tempo real, identificação de carteiras de vítimas e dados que conectaram infraestruturas fraudulentas em múltiplas blockchains. O envolvimento de uma empresa privada de análise demonstra a importância da análise on-chain na aplicação da lei no setor cripto atualmente.
Como funciona o phishing de aprovação (versão técnica)
O phishing de aprovação explora uma funcionalidade essencial do DeFi, não uma falha. Sempre que você realiza uma troca em uma DEX, empresta em protocolos como Aave ou faz mint de um NFT, é preciso aprovar que o smart contract gaste seus tokens. O padrão ERC-20 possui a função approve(), que recebe dois parâmetros: endereço que terá permissão (contrato) e o valor (quantidade de tokens que pode movimentar).
Protocolos legítimos solicitam aprovação apenas sobre o valor que será usado. Por exemplo, uma troca de 500 USDC pede permissão para gastar exatamente 500 USDC. Porém, a função permite solicitar aprovação ilimitada, ou seja, permissão para transferir todos os tokens daquele tipo na sua carteira, a qualquer momento, sem expiração.
Esse é o cerne do golpe. O atacante não precisa da sua frase-semente, chave privada ou senha: basta uma assinatura em uma transação, geralmente apresentada de modo aparentemente inofensivo.
O ataque costuma ocorrer em três etapas: o fraudador cria um site que imita um protocolo confiável de DeFi, página de airdrop ou ferramenta de verificação de carteira. Ao conectar sua carteira, o site gera uma transação de aprovação. Caso você confirme sem ler os detalhes, concede permissão ilimitada ao endereço do atacante, permitindo que ele mova seus tokens quando desejar via transferFrom(), mesmo dias ou semanas depois.
Uma variação moderna é o phishing por assinatura permit, ainda mais difícil de identificar. Em vez de uma transação on-chain, a vítima assina uma mensagem off-chain, autorizando a movimentação. Por ser uma assinatura e não uma transação, não aparece no histórico. O atacante pode usar a autorização posteriormente e os tokens serão movimentados sem registro visível de aprovação.
Por que o phishing de aprovação se tornou o principal golpe cripto
Os dados justificam a mudança. Segundo o Relatório de Crimes Cripto da Chainalysis 2026, perdas com phishing de aprovação ultrapassaram US$ 1 bilhão entre 2024 e 2025. Pesquisadores de segurança reportaram que ataques de phishing drenaram cerca de US$ 300 milhões em janeiro de 2026, com a maioria sendo explorações de aprovação.
Fonte: Chainalysis
A razão é econômica. Explorações tradicionais (bugs em contratos inteligentes, ataques flash loan, falhas em bridges) demandam alto conhecimento técnico e tempo para identificar vulnerabilidades. No phishing de aprovação, é preciso apenas um site convincente e conhecimentos básicos de Solidity. O fraudador cria uma interface falsa, divulga em anúncios ou servidores do Discord comprometidos e coleta aprovações em escala. Cada aprovação é uma ameaça potencial que pode não ser percebida até que os fundos desapareçam semanas depois.
Além disso, aprovações não expiram. Se você usou um protocolo suspeito em 2023 e concedeu aprovação ilimitada, a permissão permanece ativa até a revogação manual. Aprovações antigas são oportunidades para criminosos que obtêm (por compra ou invasão) bancos de carteiras com permissões existentes.
| Tipo de Ataque | O que o atacante precisa | Ação da vítima | Reversível? |
|---|---|---|---|
| Roubo de chave privada | Sua frase-semente ou chave | Nenhuma após invasão | Não |
| Phishing de aprovação | Uma transação de aprovação | Clicar em "aprovar" | Sim, se revogado antes do saque |
| Phishing por assinatura | Uma assinatura off-chain | Assinar mensagem | Sim, se revogado antes do saque |
| Exploração de contrato | Bug no código do protocolo | Nenhuma (usuários afetam) | Depende da resposta do protocolo |
Como verificar e revogar aprovações de tokens agora
A boa notícia é que, ao contrário do roubo de chaves privadas, o phishing de aprovação pode ser revertido se a permissão for removida a tempo, tornando-a inútil ao invasor.
Acesse Revoke.cash e conecte sua carteira. A ferramenta escaneia todas as permissões de aprovação que você já concedeu em Ethereum, Polygon, BSC, Arbitrum e outras chains EVM, mostrando quais contratos podem movimentar seus tokens e seus limites.
Procure permissões concedidas a contratos desconhecidos, com valores ilimitados ou que datem de interações com sites suspeitos. Qualquer aprovação que não tenha sido concedida a um protocolo confiável deve ser revogada imediatamente.
Clique em "revogar" ao lado de cada item suspeito. Isso envia uma transação on-chain que zera a permissão e gera uma pequena taxa de gas. Após revogada, o contrato não pode mais movimentar seus tokens.
Adote esse processo mensalmente, pois aprovações se acumulam silenciosamente com o tempo. Carteiras com dois anos de uso ativo em DeFi podem ter dezenas de permissões ativas — qualquer uma pode se tornar vulnerabilidade caso o contrato seja comprometido ou malicioso.
Para carteiras de alto valor, a melhor defesa é o uso de um hardware wallet como cofre offline, sem interagir diretamente com protocolos DeFi. Mantenha uma hot wallet separada com saldo reduzido para uso cotidiano, tratando cada solicitação de aprovação com cautela semelhante à de um pedido por senha bancária via e-mail.
O que a Operação Atlantic sinaliza para o futuro da fiscalização cripto
A Operação Atlantic é um modelo de atuação. O formato de quatro agências (EUA, Reino Unido, província canadense e regulador de valores) em conjunto com a Chainalysis representa uma nova abordagem em que empresas privadas de análise blockchain atuam como unidades de inteligência integradas às operações policiais.
O contato direto com 3.000 vítimas é um diferencial importante. Em fraudes financeiras tradicionais, a identificação ocorre muito tempo depois do golpe. No blockchain, o registro público possibilitou identificar carteiras afetadas em tempo real e alertar as vítimas antes que o restante dos fundos fosse drenado. Esse diferencial de velocidade só existe no universo cripto, e as autoridades estão começando a explorar tal vantagem.
No entanto, US$ 12 milhões congelados de US$ 45 milhões identificados significam que cerca de 73% dos valores ainda circulam. E US$ 45 milhões são apenas uma fração do dano global causado por phishing de aprovação. A operação provou o modelo, mas ampliá-lo para a escala do problema é o desafio. Espera-se mais ações desse tipo em 2026 e 2027, possivelmente com envolvimento de Europol, INTERPOL e reguladores financeiros asiáticos.
Perguntas frequentes
O que é phishing de aprovação em cripto?
É um golpe em que o usuário assina uma transação concedendo permissão para que um fraudador movimente seus tokens. Não rouba a chave privada ou frase-semente, mas explora a função padrão de aprovação (ERC-20), transformando uma interação comum em risco de roubo.
Posso recuperar meus fundos após um ataque de phishing de aprovação?
Se a permissão não foi usada, revogá-la imediatamente protege seus tokens restantes. Se os fundos já foram movimentados, a recuperação depende de ações das autoridades, como no caso da Operação Atlantic, que congelou US$ 12 milhões para possível devolução. As chances aumentam com denúncia rápida à polícia local e ao IC3 (Centro de Denúncias de Crimes pela Internet do FBI).
Como sei se minha carteira foi comprometida por phishing de aprovação?
Conecte sua carteira ao Revoke.cash e revise todas as permissões ativas. Qualquer autorização ilimitada a um contrato desconhecido é sinal de alerta. Verifique também datas próximas de possíveis interações suspeitas.
Manter cripto em exchange protege contra phishing de aprovação?
Sim, pois o phishing de aprovação afeta apenas carteiras de autocustódia. Os ativos mantidos em exchanges reguladas, como a Phemex, não estão expostos a esse tipo de ataque, pois a custódia é feita pela exchange e não há interação direta com contratos de terceiros usando seus fundos. O contraponto é confiar na infraestrutura de segurança da exchange.
Resumo
A Operação Atlantic mostrou que o phishing de aprovação é o principal vetor de fraude cripto atualmente. A ação congelou US$ 12 milhões e identificou US$ 45 milhões em perdas, mas os US$ 300 milhões em janeiro de 2026 revelam o desafio. O aprendizado prático é simples: toda aprovação ativa em sua carteira é uma porta aberta até ser revogada. Usuários DeFi devem revisar e revogar permissões regularmente usando Revoke.cash, uma das melhores práticas de segurança para quem utiliza autocustódia.
Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento financeiro ou de investimento. Negociação de criptomoedas envolve riscos. Sempre faça sua própria pesquisa antes de tomar decisões.
