Organização de phishing de criptomoedas de novo tipo Eleven Drainer em atividade desenfreada: atualização do alerta de segurança de carteiras

Em 9 de novembro de 2025, a empresa de segurança blockchain SlowMist descobriu que a organização emergente de roubo de carteiras Eleven Drainer está a expandir rapidamente a sua rede de serviços de phishing (PhaaS). Esta organização clona sites, falsifica contas de redes sociais e utiliza scripts automatizados de contratos inteligentes para roubar sistematicamente os ativos dos utilizadores. Em 2024, várias ferramentas de roubo causaram perdas de 494 milhões de dólares, um aumento de 67% em relação a 2023. Apesar da evolução contínua das técnicas de ataque, especialistas em segurança salientam que a maioria dos incidentes ainda resulta de erros de comportamento dos utilizadores, recomendando medidas básicas como validação rigorosa de pedidos de assinatura de carteiras, evitar links desconhecidos e recusar autorizações de transações sob pressão para prevenir riscos.

Infraestrutura de ataque e modelos de negócio

Eleven Drainer representa uma evolução do modelo de crime cibernético como serviço (CaaS). A organização fornece um kit completo de phishing, incluindo páginas de login de exchanges altamente realistas, modelos de falsificação de contas em redes sociais e contratos inteligentes personalizados, pelos quais os fraudadores pagam apenas 15-20% dos lucros roubados como taxa de serviço. Esta divisão profissionalizada reduz significativamente a barreira ao crime, permitindo que atacantes sem competências técnicas avançadas possam lançar ataques complexos.

As características técnicas dos contratos de roubo aumentam a dificuldade de deteção. Os contratos inteligentes utilizados pelo Eleven Drainer empregam mecanismos de permissão dinâmica, começando por solicitar permissões aparentemente inofensivas de aprovação de tokens, seguidas de chamadas secundárias que obtêm permissões mais amplas para transferência de ativos. Este ataque progressivo evita a deteção por software de segurança tradicional, com o relatório de auditoria da CertiK a indicar que cerca de 80% dos contratos de roubo conseguem passar com sucesso na análise de segurança inicial.

A ponte entre cadeias (cross-chain) tornou-se um novo vetor de ataque. A tática mais recente da organização é direcionada aos utilizadores de pontes entre cadeias, falsificando páginas de falha de ponte para induzir os utilizadores a repetirem autorizações, abrangendo na prática todos os ativos na carteira. Em 7 de novembro, um utilizador foi vítima de um ataque deste tipo ao usar a ponte LayerZero, sofrendo uma perda de 420 mil dólares em ETH e tokens ARB.

Impacto na indústria e panorama de segurança

O mercado de roubo como serviço já formou um ecossistema completo. Além do Eleven Drainer, organizações como Angel Drainer e Inferno Drainer recrutam clientes através de canais no Telegram, oferecendo suporte técnico 24/7. A empresa de análise blockchain Chainalysis rastreou que esses serviços geram, em média, 30 milhões de dólares de receita ilegal por mês, com os fundos sendo transferidos através de mixers como Tornado Cash e pontes entre cadeias.

Protocolos DeFi enfrentam uma crise de confiança. Após um ataque de 120 milhões de dólares ao Balancer v2 em 4 de novembro, vários protocolos principais suspenderam os serviços para realizar auditorias de segurança. Esta reação em cadeia fez com que o valor total bloqueado (TVL) na cadeia Ethereum caísse 24% em 30 dias, atingindo 74,256 bilhões de dólares, o valor mais baixo desde julho. Incidentes de segurança estão a criar riscos sistémicos que ameaçam a sobrevivência do ecossistema DeFi.

As respostas regulatórias estão a intensificar-se progressivamente. O Departamento do Tesouro dos EUA, através da Financial Crimes Enforcement Network (FinCEN), publicou em 8 de novembro novas orientações que obrigam os provedores de serviços de ativos virtuais (VASP) a reportar transferências relacionadas com ferramentas de roubo. Simultaneamente, a União Europeia implementou a Lei de Resiliência Operacional Digital (DORA), que exige que os fornecedores de serviços de criptomoedas implementem monitorização de transações em tempo real.

Comportamento dos utilizadores e estratégias de defesa

A manipulação psicológica continua a ser o núcleo dos ataques. O Eleven Drainer frequentemente usa frases como “oferta por tempo limitado” e “reivindicação de airdrops” para criar um senso de urgência, induzindo os utilizadores a ignorar verificações de segurança. Segundo a SlowMist, 85% das vítimas afirmam que autorizaram transações maliciosas motivadas pelo medo de perder oportunidades.

Há práticas de segurança básicas que oferecem a melhor proteção. Especialistas recomendam ativar a funcionalidade de “transações simuladas” nas carteiras para pré-visualizar os resultados, usar carteiras de hardware para armazenar grandes quantidades de ativos e criar contas separadas para diferentes finalidades. A funcionalidade de “detecção de transações de risco” na última versão do MetaMask já conseguiu bloquear 70% dos contratos de roubo conhecidos.

Mecanismos comunitários de defesa começam a mostrar resultados. O software antivírus Web3 ScamSniffer, baseado em inteligência coletiva, consegue identificar novos sites de phishing com uma resposta média de 4 horas, em comparação às 24 horas anteriores. Além disso, plataformas de rastreamento de carteiras como DeBank e Zerion começaram a integrar análises de risco antes de transações, fornecendo pontuações de segurança para cada operação.

Soluções tecnológicas e tendências de desenvolvimento

O seguro de contratos inteligentes está a crescer em procura. Protocolos de seguros descentralizados como Nexus Mutual e InsurAce aumentaram em 300% as coberturas de roubo em outubro, com uma taxa de prémios anualizada de 5-8%. Apesar do custo elevado, investidores institucionais começam a considerar o seguro como uma despesa operacional necessária.

A tecnologia de provas de conhecimento zero (zero-knowledge proofs) oferece novas possibilidades. Sistemas de autenticação baseados em zk-SNARKs permitem aos utilizadores provar a posse de uma chave sem revelar a informação pública, eliminando fundamentalmente as superfícies de ataque de phishing. Protocolos de privacidade como Aztec e Manta Network estão a integrar esta tecnologia nas carteiras, com previsão de comercialização em 2026.

A inovação em tecnologia regulatória (RegTech) acelera-se. Empresas como TRM Labs e Elliptic desenvolveram sistemas de reconhecimento de padrões de contratos de roubo, capazes de identificar endereços maliciosos em até 15 minutos após a implantação do contrato. Embora esta velocidade não seja suficiente para evitar o primeiro ataque, é eficaz na contenção de transferências ilícitas.

Conclusão

A ascensão do Eleven Drainer marca uma nova era de ameaças à segurança no universo cripto, com o modelo de crime cibernético como serviço a roubar ativos de utilizadores de forma cada vez mais eficiente. Apesar dos avanços contínuos nas defesas técnicas, a proteção mais eficaz continua a ser a vigilância dos utilizadores e a prática de segurança básica. Com a evolução do enquadramento regulatório e o amadurecimento de soluções tecnológicas, espera-se que o setor construa um ecossistema de segurança mais robusto. Durante este período de transição, os investidores devem incorporar os custos de segurança na sua estratégia de investimento, adotando armazenamento diversificado, seguros moderados e educação contínua para participar de forma sustentável neste campo de elevado risco e alta recompensa.