O que é um “drainer de carteira” (wallet drainer) e como se proteger

作者

O que é um “drainer de carteira” (wallet drainer)

Um drainer de carteira – também conhecido como wallet drainer – é um tipo de ataque cibernético que tem como objetivo esgotar os fundos de uma carteira de criptomoedas. Diferente de um hack tradicional, o drainer normalmente age de forma silenciosa, explorando vulnerabilidades em contratos inteligentes, aplicativos DeFi ou até mesmo em extensões de navegadores. Quando a vítima interage com um endereço malicioso ou autoriza uma transação fraudulenta, o drainer drenará automaticamente os saldos disponíveis.

Como funciona o ataque

Os drainers podem operar de três maneiras principais:

  • Phishing de contrato inteligente: o usuário assina uma transação que, ao ser processada, executa uma função oculta que transfere todos os tokens para o atacante.
  • Aplicativos DeFi comprometidos: plataformas de empréstimo ou yield farming que inserem código malicioso em seus contratos, como ocorre em alguns casos de Plataformas de Empréstimo DeFi.
  • Extensões ou wallets falsas: extensões de navegador que imitam wallets legítimas e capturam a chave privada do usuário.

Por que as carteiras são alvos tão atrativos?

As carteiras digitais armazenam chaves privadas que dão acesso total aos fundos. Ao contrário de contas bancárias tradicionais, não há um mecanismo de reversão de transações. Uma vez que o atacante consiga controlar a chave ou obter autorização, o dinheiro desaparece para sempre.

Casos reais e lições aprendidas

Nos últimos anos, vários projetos DeFi sofreram ataques de drainer. Um exemplo clássico foi o comprometimento de um contrato de Yield Farming, onde milhares de dólares foram roubados em questão de minutos. A lição principal: confirme sempre o endereço do contrato e nunca autorize permissões amplas sem revisar o código.

Como se proteger

  1. Verifique a origem do contrato: use exploradores como Etherscan e confira se o código foi auditado por empresas reconhecidas.
  2. Limite permissões: ao conectar sua wallet a um DApp, conceda apenas as permissões necessárias e revogue autorizações antigas em ferramentas como revoke.cash.
  3. Use uma chave privada segura: mantenha sua chave em dispositivos offline e jamais a compartilhe. Para entender melhor a importância da chave privada, leia O que é uma chave privada?
  4. Atualize softwares: mantenha sua wallet, extensões e sistemas operacionais sempre atualizados.
  5. Eduque-se sobre scams: fontes como CoinDesk – Crypto scams e Binance – How to avoid crypto scams trazem boas práticas e alertas de novas ameaças.

O que fazer se sua carteira for drenada?

Infelizmente, na maioria dos casos não há como reverter a transação. Contudo, você pode:

  • Denunciar o incidente às autoridades locais e à plataforma onde o ataque ocorreu.
  • Compartilhar detalhes do endereço fraudulento em comunidades como Telegram de alertas de scams para evitar que outros sejam vítimas.
  • Revisar imediatamente todas as permissões concedidas e revogá‑las.

Manter-se informado e adotar boas práticas de segurança são as melhores defesas contra os drainers de carteira.