O que um ataque de $440.000 revela sobre a crescente ameaça dos ‘scams de permissões’ em Ethereum

Em resumo

• Um detentor de USDC perdeu mais de $440.000 após assinar uma transação “permit” maliciosa.
• Ataques de phishing com “permit” representaram algumas das maiores perdas individuais de criptomoedas em novembro.
• Especialistas alertam que os burlões dependem do erro humano e que a recuperação é altamente improvável.

O Hub de Arte, Moda e Entretenimento da Decrypt.

Descobre SCENE

Um hacker fugiu com mais de $440.000 em USDC depois de um proprietário de carteira ter assinado, sem saber, uma assinatura “permit” maliciosa, de acordo com um tweet de segunda-feira da Scam Sniffer.

O roubo surge no meio de um aumento nas perdas por phishing. Cerca de $7,77 milhões foram retirados de mais de 6.000 vítimas em novembro, segundo o relatório mensal da Scam Sniffer, representando um aumento de 137% nas perdas totais face a outubro, mesmo com uma queda de 42% no número de vítimas.

🚨 Alguém perdeu $440.358 em $USDC após assinar assinaturas “permit” maliciosas. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 de dezembro de 2025

“A caça a baleias intensificou-se com um máximo de $1,22 milhões (permit signature). Apesar de menos ataques, as perdas individuais cresceram significativamente”, notou a empresa.

O que são esquemas de permit?

Os esquemas baseados em permit consistem em enganar os utilizadores para assinarem uma transação que parece legítima, mas que dá silenciosamente ao atacante o direito de gastar os seus tokens. Dapps maliciosos podem disfarçar campos, falsificar nomes de contratos ou apresentar o pedido de assinatura como algo rotineiro.

Se o utilizador não examinar os detalhes, ao assinar o pedido está, na prática, a dar permissão ao atacante para aceder a todos os seus tokens ERC-20. Uma vez concedida, os burlões geralmente drenam os fundos imediatamente.

O método explora a função permit do Ethereum, concebida para facilitar transferências de tokens ao permitir que os utilizadores deleguem direitos de gasto a aplicações de confiança. A conveniência torna-se uma vulnerabilidade quando esses direitos são concedidos a um atacante.

“O que torna este tipo de ataque particularmente complicado é que os atacantes podem realizar o permit e a transferência de tokens numa só transação (numa abordagem tipo smash and grab) ou podem dar a si próprios acesso através do permit e depois permanecer inativos à espera de transferir quaisquer fundos adicionados posteriormente (desde que definam um prazo de acesso suficientemente distante nos metadados da função permit)”, disse Tara Annison, diretora de produto da Twinstake, à Decrypt.

“O sucesso deste tipo de esquemas depende de assinares algo sem perceberes realmente o que isso fará”, disse, acrescentando que, “Tudo se resume à vulnerabilidade humana e ao aproveitamento da ânsia das pessoas.”

Annison acrescentou que este incidente está longe de ser isolado. “Existem muitos exemplos de grande valor e alto volume de esquemas de phishing desenhados para enganar utilizadores a assinarem algo que não compreendem totalmente. Muitas vezes feito sob o pretexto de airdrops gratuitos, landing pages falsas de projetos para ligares a tua carteira [ou] avisos de segurança fraudulentos para verificares se foste afetado”, acrescentou.

Como te protegeres

Os fornecedores de carteiras têm lançado mais funcionalidades de proteção. A MetaMask, por exemplo, avisa os utilizadores se um site parecer suspeito e tenta traduzir os dados da transação para uma intenção compreensível. Outras carteiras destacam igualmente ações de alto risco. Mas os burlões continuam a adaptar-se.

Harry Donnelly, fundador e CEO da Circuit, disse à Decrypt que os ataques do tipo permit “são bastante comuns” e apelou aos utilizadores para verificarem os endereços de envio e os detalhes dos contratos.

“Essa é a forma mais clara de saberes: se é um protocolo que não corresponde ao sítio para onde realmente estás a tentar enviar os fundos, então provavelmente é alguém a tentar roubar fundos”, disse. “Podes verificar o valor, pois muitas vezes eles tentam dar aprovações ilimitadas, assim.”

Annison enfatizou que a vigilância continua a ser a melhor defesa dos utilizadores. “A melhor forma de te protegeres de um esquema permit, approveAll ou transferFrom é garantires que sabes o que estás a assinar. Que ações serão realmente realizadas na transação? Que funções estão a ser usadas? Estas correspondem ao que pensavas que estavas a assinar?”

“Muitas carteiras e dapps melhoraram as interfaces para garantir que não estás a assinar algo às cegas e podes ver no que isso resultará, assim como avisos para funções de alto risco. No entanto, é importante que os utilizadores verifiquem ativamente o que estão a assinar e não apenas conectem a carteira e carreguem em assinar”, disse.

Uma vez roubados, a recuperação dos fundos é improvável. Martin Derka, cofundador e líder técnico da Zircuit Finance, disse à Decrypt que as hipóteses de recuperar os fundos eram “basicamente nulas”.

“Em ataques de phishing, estás a lidar com um indivíduo cujo único objetivo é ficar com os teus fundos. Não há negociação, não há ponto de contacto, e frequentemente nem se sabe quem é a contraparte”, disse.

“Estes atacantes jogam pelo volume”, disse Derka, acrescentando que, “Uma vez que o dinheiro desaparece, desapareceu. A recuperação é essencialmente impossível.”