Lavar os olhos de utilizadores de uma determinada plataforma: "Atendimento ao Cliente" na floresta sombria
Recentemente, os ataques de engenharia social no campo dos ativos criptográficos tornaram-se uma ameaça significativa à segurança dos fundos dos usuários. Desde 2025, os eventos de fraudes de engenharia social direcionados a usuários de uma plataforma de negociação conhecida têm ocorrido com frequência, gerando ampla atenção da comunidade. Esses eventos não são casos isolados, mas sim um tipo de esquema com características de continuidade e organização.
No dia 15 de maio, a plataforma de negociação publicou um anúncio, confirmando as várias especulações anteriores sobre a existência de "traidores" internamente. Segundo informações, o Departamento de Justiça dos EUA já iniciou uma investigação sobre este incidente de vazamento de dados.
Este artigo irá revelar os principais métodos de operação dos golpistas, organizando as informações fornecidas por vários investigadores de segurança e vítimas, e explorar como responder eficazmente a este tipo de lavar os olhos, a partir das perspetivas da plataforma e dos utilizadores.
Análise Histórica
O detetive on-chain Zach afirmou na atualização da plataforma social de 7 de maio que, apenas na semana passada, mais de 45 milhões de dólares foram roubados de usuários dessa plataforma devido a fraudes de engenharia social.
No último ano, Zach revelou várias vezes que os usuários da plataforma foram vítimas de roubo, com algumas vítimas perdendo até dezenas de milhões de dólares. Em fevereiro de 2025, ele publicou uma investigação detalhada afirmando que, apenas entre dezembro de 2024 e janeiro de 2025, o total de fundos roubados devido a esquemas semelhantes já ultrapassou 65 milhões de dólares, e revelou que a plataforma está enfrentando uma grave crise de "lavar os olhos", com esse tipo de ataque comprometendo a segurança dos ativos dos usuários a uma escala anual de 300 milhões de dólares. Ele também apontou:
Os grupos que lideram este tipo de lavar os olhos dividem-se principalmente em duas categorias: uma é composta por atacantes de nível inferior da comunidade Com, e a outra é uma organização criminosa cibernética localizada na Índia;
O alvo dos ataques dos grupos de fraude são principalmente usuários americanos, com métodos de operação padronizados e um processo de diálogo maduro;
O valor real da perda pode ser muito superior às estatísticas visíveis na cadeia, pois não inclui informações não divulgadas, como pedidos de suporte ao cliente e registros de denúncias policiais que não podem ser obtidos.
lavar os olhos
Neste incidente, o sistema técnico da plataforma de negociação não foi comprometido; os golpistas usaram as permissões de um funcionário interno para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, informações de contato, dados da conta, fotos do cartão de identidade, etc. O objetivo final dos golpistas é utilizar técnicas de engenharia social para direcionar os usuários a fazer transferências.
Este tipo de ataque altera o método tradicional de phishing "em massa" e passa a adotar um "ataque direcionado", considerado uma fraude social "sob medida". O caminho típico de execução é o seguinte:
1. Contactar os utilizadores na qualidade de "serviço de apoio ao cliente oficial"
Os golpistas usam sistemas telefónicos falsificados para se fazerem passar pelo suporte ao cliente da plataforma, ligando aos utilizadores e afirmando que a sua "conta sofreu um acesso ilegal" ou que "foi detetada uma anomalia no levantamento", criando um ambiente de urgência. Eles posteriormente enviam e-mails ou mensagens de texto de phishing realistas, que contêm números de ordem falsos ou links para um "processo de recuperação", orientando os utilizadores a agir. Estes links podem apontar para uma interface clonada da plataforma, podendo até enviar e-mails que parecem ser provenientes de um domínio oficial, com algumas mensagens a utilizar técnicas de redirecionamento para contornar as proteções de segurança.
2. Guiar os utilizadores a descarregar carteiras auto-hospedadas
Os golpistas irão usar o pretexto de "proteger os ativos" para orientar os usuários a transferir fundos para uma "carteira segura", além de ajudar os usuários a instalar carteiras de auto-custódia e orientá-los a mover os ativos que estavam originalmente custodiados na plataforma de negociação para uma nova carteira criada.
3. induzir os usuários a usar as palavras-passe fornecidas pelos golpistas
Diferente do tradicional "lavar os olhos", os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles, induzindo os usuários a usá-las como um "novo wallet oficial".
4.lavar os olhos进行资金盗取
As vítimas, sob tensão, ansiedade e confiança na "atendimento ao cliente", são facilmente atraídas para a armadilha - para elas, a nova carteira "oferecida oficialmente" é naturalmente mais segura do que a antiga carteira "suspeita de ter sido invadida". O resultado é que, uma vez que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente retirá-los. Not your keys, not your coins. - Neste ataque de engenharia social, esse conceito foi novamente comprovado de forma brutal.
Além disso, alguns e-mails de phishing afirmam "devido a um despacho de ação coletiva, a plataforma será totalmente migrada para carteiras autônomas", e pedem aos usuários que completem a migração de ativos até 1 de abril. Sob a pressão do tempo e a sugestão psicológica de "instruções oficiais", os usuários ficam mais propensos a cooperar com a operação.
De acordo com investigadores de segurança, esses ataques são frequentemente planejados e executados de forma organizada:
Ferramentas de fraude aprimoradas: os golpistas usam sistemas PBX para falsificar números de chamada e simular chamadas do serviço de atendimento ao cliente oficial. Ao enviar e-mails de phishing, eles utilizam robôs nas redes sociais para se passar pelo e-mail oficial, anexando um "guia de recuperação de conta" para direcionar transferências.
Objetivo preciso: lavar os olhos baseia-se em dados de usuários roubados adquiridos através de canais de plataformas sociais e da dark web, visando principalmente usuários da região dos EUA, e até mesmo utilizando inteligência artificial para processar dados roubados, fragmentando e reorganizando números de telefone, gerando em massa arquivos TXT, e depois enviando mensagens de texto fraudulentas através de software de força bruta.
Processo de engano contínuo: desde chamadas telefónicas, mensagens de texto até e-mails, o caminho da fraude costuma ser perfeitamente ligado, com expressões de phishing comuns incluindo "a conta recebeu um pedido de levantamento", "a palavra-passe foi redefinida", "a conta apresentou um login anómalo" e outras, induzindo continuamente as vítimas a realizar uma "verificação de segurança" até que a transferência da carteira seja concluída.
Análise em cadeia
Após a análise do sistema de rastreamento e anti-lavagem de dinheiro em blockchain, esses golpistas possuem uma forte capacidade de operação em blockchain, aqui estão algumas informações-chave:
Os alvos de ataque dos golpistas cobrem uma variedade de ativos detidos pelos usuários, e o tempo de atividade desses endereços está concentrado entre dezembro de 2024 e maio de 2025, com os ativos-alvo principalmente sendo BTC e ETH. O BTC é atualmente o principal alvo de fraudes, com vários endereços obtendo lucros de centenas de BTC de uma só vez, com um valor unitário de vários milhões de dólares.
Após a obtenção dos fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para converter e transferir os ativos, com o seguinte padrão principal:
Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT em algum DEX, e depois dispersos para vários novos endereços, com parte dos ativos entrando na plataforma de negociação centralizada;
O BTC é principalmente transferido através de pontes cross-chain para o Ethereum, e depois trocado por DAI ou USDT, evitando o risco de rastreamento.
Vários endereços de lavar os olhos permanecem em estado de "estacionamento" após receber DAI ou USDT, ainda não foram transferidos.
Para evitar a interação do seu endereço com endereços suspeitos, o que pode resultar no congelamento de ativos, recomenda-se que os usuários utilizem um sistema de monitorização e rastreamento de lavagem de dinheiro em blockchain para realizar uma deteção de risco nos endereços-alvo antes de efetuar transações, de modo a evitar ameaças potenciais.
Medidas de resposta
plataforma
Atualmente, os principais métodos de segurança são mais uma proteção a nível "técnico", enquanto que as fraudes sociais muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Assim, sugere-se que a plataforma integre a educação do usuário, o treinamento de segurança e o design de usabilidade, estabelecendo uma linha de defesa de segurança "voltada para as pessoas".
Envio regular de conteúdos educativos sobre fraudes: aumentar a capacidade dos utilizadores de se protegerem contra phishing através de janelas pop-up no App, interfaces de confirmação de transações, e e-mails;
Otimização do modelo de gestão de riscos, introduzindo "identificação interativa de comportamentos anómalos": a maioria das fraudes de engenharia social induz os usuários a realizar uma série de operações em um curto espaço de tempo (como transferências, alterações de lista branca, vinculação de dispositivos, etc.). A plataforma deve identificar combinações interativas suspeitas com base no modelo de cadeia de comportamentos (como "interações frequentes + novo endereço + grandes retiradas"), acionando um período de reflexão ou um mecanismo de revisão manual.
Normalizar canais de atendimento ao cliente e mecanismos de verificação: golpistas frequentemente se passam por atendentes para confundir os usuários, a plataforma deve padronizar telefonemas, mensagens de texto e modelos de e-mail, e fornecer um "portal de verificação de atendimento ao cliente", definindo um único canal oficial de comunicação, para evitar confusões.
usuário
Implementar uma estratégia de isolamento de identidade: evitar o uso do mesmo e-mail e número de telefone em várias plataformas, reduzindo o risco de responsabilidade conjunta, e pode-se usar ferramentas de verificação de vazamentos para verificar regularmente se o e-mail foi comprometido.
Ativar a lista branca de transferências e o mecanismo de resfriamento de saques: definir endereços confiáveis para reduzir o risco de perda de fundos em situações de emergência.
Mantenha-se atualizado sobre informações de segurança: através de empresas de segurança, mídia, plataformas de negociação e outros canais, conheça as últimas dinâmicas das técnicas de ataque e mantenha-se alerta. Atualmente, várias instituições de segurança estão prestes a lançar uma plataforma de treino de phishing em Web3, que simulará várias técnicas típicas de phishing, incluindo envenenamento social, phishing por assinatura, interação com contratos maliciosos, entre outros, e atualizará continuamente o conteúdo dos cenários com base em casos reais coletados em discussões históricas. Isso permitirá que os usuários aprimorem suas habilidades de identificação e resposta em um ambiente sem risco.
Atenção aos riscos offline e à proteção da privacidade: a divulgação de informações pessoais também pode causar problemas de segurança pessoal.
Isto não é uma preocupação infundada, desde o início do ano, profissionais/usuários de criptomoedas já enfrentaram vários incidentes que ameaçam a segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contato, dados de conta, fotos de identificação, os usuários relevantes também devem estar atentos e cuidar da segurança offline.
Em suma, mantenha a desconfiança e continue a verificar. Sempre que houver operações urgentes, exija que a outra parte comprove a identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.
Resumo
Este incidente expôs novamente que, face às técnicas de engenharia social cada vez mais sofisticadas, a indústria ainda apresenta lacunas evidentes na proteção de dados e ativos dos clientes. É importante estar alerta, pois mesmo que os cargos relevantes na plataforma não tenham permissões financeiras, a falta de consciência e capacidade de segurança suficientes pode resultar em consequências graves devido a vazamentos involuntários ou manipulações. À medida que a plataforma continua a crescer, a complexidade do controle de segurança pessoal aumenta, tornando-se um dos riscos mais difíceis de enfrentar na indústria. Assim, enquanto a plataforma reforça os mecanismos de segurança na cadeia, também deve construir sistematicamente um "sistema de defesa contra engenharia social" que abranja tanto o pessoal interno quanto os serviços externos, incorporando riscos humanos na estratégia de segurança global.
Além disso, assim que um ataque for identificado como não sendo um evento isolado, mas sim uma ameaça contínua, organizada e em larga escala, a plataforma deve responder imediatamente, verificando proativamente possíveis vulnerabilidades, alertando os usuários sobre precauções e controlando a extensão dos danos. Somente com uma resposta dupla, tanto no nível técnico quanto organizacional, é que se pode realmente manter a confiança e os limites em um ambiente de segurança cada vez mais complexo.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
3
Compartilhar
Comentário
0/400
BlockchainTalker
· 07-27 05:13
na verdade, este é um caso exemplar de teoria dos jogos mal aplicada... os insiders foram sempre o elo mais fraco, para ser sincero
Ver originalResponder0
GweiTooHigh
· 07-27 05:12
É outro traidor, não é?
Ver originalResponder0
TokenomicsTrapper
· 07-27 05:09
clássico trabalho de insider... vi isso a vir há meses quando os padrões da carteira pareciam suspeitos.
Uma plataforma de negociação sofreu um grande golpe de engenharia social, com perdas superiores a 45 milhões de dólares.
Lavar os olhos de utilizadores de uma determinada plataforma: "Atendimento ao Cliente" na floresta sombria
Recentemente, os ataques de engenharia social no campo dos ativos criptográficos tornaram-se uma ameaça significativa à segurança dos fundos dos usuários. Desde 2025, os eventos de fraudes de engenharia social direcionados a usuários de uma plataforma de negociação conhecida têm ocorrido com frequência, gerando ampla atenção da comunidade. Esses eventos não são casos isolados, mas sim um tipo de esquema com características de continuidade e organização.
No dia 15 de maio, a plataforma de negociação publicou um anúncio, confirmando as várias especulações anteriores sobre a existência de "traidores" internamente. Segundo informações, o Departamento de Justiça dos EUA já iniciou uma investigação sobre este incidente de vazamento de dados.
Este artigo irá revelar os principais métodos de operação dos golpistas, organizando as informações fornecidas por vários investigadores de segurança e vítimas, e explorar como responder eficazmente a este tipo de lavar os olhos, a partir das perspetivas da plataforma e dos utilizadores.
Análise Histórica
O detetive on-chain Zach afirmou na atualização da plataforma social de 7 de maio que, apenas na semana passada, mais de 45 milhões de dólares foram roubados de usuários dessa plataforma devido a fraudes de engenharia social.
No último ano, Zach revelou várias vezes que os usuários da plataforma foram vítimas de roubo, com algumas vítimas perdendo até dezenas de milhões de dólares. Em fevereiro de 2025, ele publicou uma investigação detalhada afirmando que, apenas entre dezembro de 2024 e janeiro de 2025, o total de fundos roubados devido a esquemas semelhantes já ultrapassou 65 milhões de dólares, e revelou que a plataforma está enfrentando uma grave crise de "lavar os olhos", com esse tipo de ataque comprometendo a segurança dos ativos dos usuários a uma escala anual de 300 milhões de dólares. Ele também apontou:
lavar os olhos
Neste incidente, o sistema técnico da plataforma de negociação não foi comprometido; os golpistas usaram as permissões de um funcionário interno para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, informações de contato, dados da conta, fotos do cartão de identidade, etc. O objetivo final dos golpistas é utilizar técnicas de engenharia social para direcionar os usuários a fazer transferências.
Este tipo de ataque altera o método tradicional de phishing "em massa" e passa a adotar um "ataque direcionado", considerado uma fraude social "sob medida". O caminho típico de execução é o seguinte:
1. Contactar os utilizadores na qualidade de "serviço de apoio ao cliente oficial"
Os golpistas usam sistemas telefónicos falsificados para se fazerem passar pelo suporte ao cliente da plataforma, ligando aos utilizadores e afirmando que a sua "conta sofreu um acesso ilegal" ou que "foi detetada uma anomalia no levantamento", criando um ambiente de urgência. Eles posteriormente enviam e-mails ou mensagens de texto de phishing realistas, que contêm números de ordem falsos ou links para um "processo de recuperação", orientando os utilizadores a agir. Estes links podem apontar para uma interface clonada da plataforma, podendo até enviar e-mails que parecem ser provenientes de um domínio oficial, com algumas mensagens a utilizar técnicas de redirecionamento para contornar as proteções de segurança.
2. Guiar os utilizadores a descarregar carteiras auto-hospedadas
Os golpistas irão usar o pretexto de "proteger os ativos" para orientar os usuários a transferir fundos para uma "carteira segura", além de ajudar os usuários a instalar carteiras de auto-custódia e orientá-los a mover os ativos que estavam originalmente custodiados na plataforma de negociação para uma nova carteira criada.
3. induzir os usuários a usar as palavras-passe fornecidas pelos golpistas
Diferente do tradicional "lavar os olhos", os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles, induzindo os usuários a usá-las como um "novo wallet oficial".
4.lavar os olhos进行资金盗取
As vítimas, sob tensão, ansiedade e confiança na "atendimento ao cliente", são facilmente atraídas para a armadilha - para elas, a nova carteira "oferecida oficialmente" é naturalmente mais segura do que a antiga carteira "suspeita de ter sido invadida". O resultado é que, uma vez que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente retirá-los. Not your keys, not your coins. - Neste ataque de engenharia social, esse conceito foi novamente comprovado de forma brutal.
Além disso, alguns e-mails de phishing afirmam "devido a um despacho de ação coletiva, a plataforma será totalmente migrada para carteiras autônomas", e pedem aos usuários que completem a migração de ativos até 1 de abril. Sob a pressão do tempo e a sugestão psicológica de "instruções oficiais", os usuários ficam mais propensos a cooperar com a operação.
De acordo com investigadores de segurança, esses ataques são frequentemente planejados e executados de forma organizada:
Análise em cadeia
Após a análise do sistema de rastreamento e anti-lavagem de dinheiro em blockchain, esses golpistas possuem uma forte capacidade de operação em blockchain, aqui estão algumas informações-chave:
Os alvos de ataque dos golpistas cobrem uma variedade de ativos detidos pelos usuários, e o tempo de atividade desses endereços está concentrado entre dezembro de 2024 e maio de 2025, com os ativos-alvo principalmente sendo BTC e ETH. O BTC é atualmente o principal alvo de fraudes, com vários endereços obtendo lucros de centenas de BTC de uma só vez, com um valor unitário de vários milhões de dólares.
Após a obtenção dos fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para converter e transferir os ativos, com o seguinte padrão principal:
Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT em algum DEX, e depois dispersos para vários novos endereços, com parte dos ativos entrando na plataforma de negociação centralizada;
O BTC é principalmente transferido através de pontes cross-chain para o Ethereum, e depois trocado por DAI ou USDT, evitando o risco de rastreamento.
Vários endereços de lavar os olhos permanecem em estado de "estacionamento" após receber DAI ou USDT, ainda não foram transferidos.
Para evitar a interação do seu endereço com endereços suspeitos, o que pode resultar no congelamento de ativos, recomenda-se que os usuários utilizem um sistema de monitorização e rastreamento de lavagem de dinheiro em blockchain para realizar uma deteção de risco nos endereços-alvo antes de efetuar transações, de modo a evitar ameaças potenciais.
Medidas de resposta
plataforma
Atualmente, os principais métodos de segurança são mais uma proteção a nível "técnico", enquanto que as fraudes sociais muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Assim, sugere-se que a plataforma integre a educação do usuário, o treinamento de segurança e o design de usabilidade, estabelecendo uma linha de defesa de segurança "voltada para as pessoas".
usuário
Implementar uma estratégia de isolamento de identidade: evitar o uso do mesmo e-mail e número de telefone em várias plataformas, reduzindo o risco de responsabilidade conjunta, e pode-se usar ferramentas de verificação de vazamentos para verificar regularmente se o e-mail foi comprometido.
Ativar a lista branca de transferências e o mecanismo de resfriamento de saques: definir endereços confiáveis para reduzir o risco de perda de fundos em situações de emergência.
Mantenha-se atualizado sobre informações de segurança: através de empresas de segurança, mídia, plataformas de negociação e outros canais, conheça as últimas dinâmicas das técnicas de ataque e mantenha-se alerta. Atualmente, várias instituições de segurança estão prestes a lançar uma plataforma de treino de phishing em Web3, que simulará várias técnicas típicas de phishing, incluindo envenenamento social, phishing por assinatura, interação com contratos maliciosos, entre outros, e atualizará continuamente o conteúdo dos cenários com base em casos reais coletados em discussões históricas. Isso permitirá que os usuários aprimorem suas habilidades de identificação e resposta em um ambiente sem risco.
Atenção aos riscos offline e à proteção da privacidade: a divulgação de informações pessoais também pode causar problemas de segurança pessoal.
Isto não é uma preocupação infundada, desde o início do ano, profissionais/usuários de criptomoedas já enfrentaram vários incidentes que ameaçam a segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contato, dados de conta, fotos de identificação, os usuários relevantes também devem estar atentos e cuidar da segurança offline.
Em suma, mantenha a desconfiança e continue a verificar. Sempre que houver operações urgentes, exija que a outra parte comprove a identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.
Resumo
Este incidente expôs novamente que, face às técnicas de engenharia social cada vez mais sofisticadas, a indústria ainda apresenta lacunas evidentes na proteção de dados e ativos dos clientes. É importante estar alerta, pois mesmo que os cargos relevantes na plataforma não tenham permissões financeiras, a falta de consciência e capacidade de segurança suficientes pode resultar em consequências graves devido a vazamentos involuntários ou manipulações. À medida que a plataforma continua a crescer, a complexidade do controle de segurança pessoal aumenta, tornando-se um dos riscos mais difíceis de enfrentar na indústria. Assim, enquanto a plataforma reforça os mecanismos de segurança na cadeia, também deve construir sistematicamente um "sistema de defesa contra engenharia social" que abranja tanto o pessoal interno quanto os serviços externos, incorporando riscos humanos na estratégia de segurança global.
Além disso, assim que um ataque for identificado como não sendo um evento isolado, mas sim uma ameaça contínua, organizada e em larga escala, a plataforma deve responder imediatamente, verificando proativamente possíveis vulnerabilidades, alertando os usuários sobre precauções e controlando a extensão dos danos. Somente com uma resposta dupla, tanto no nível técnico quanto organizacional, é que se pode realmente manter a confiança e os limites em um ambiente de segurança cada vez mais complexo.