Crypto drainers: a anatomia do malware que esvazia carteiras em 3 segundos

Você clica em um link no X (antigo Twitter) anunciando o airdrop de um protocolo DeFi que você usa todos os dias. A interface do site é idêntica à original. O domínio parece legítimo. Você conecta sua MetaMask ou Rabby. Uma janela de transação padrão aparece, pedindo uma assinatura de rotina para 'verificar a carteira' ou 'reivindicar os tokens'. Você clica em 'Sign'. Três segundos depois, seu saldo em Ethereum zerou. Suas stablecoins evaporaram. Seus NFTs sumiram.

Bem-vindo à era dos crypto drainers.

Na nossa análise diária do mercado, acompanhamos o desespero de investidores institucionais e de varejo perdendo economias de uma vida inteira em questão de blocos na rede Ethereum ou Solana. O Relatório de Crimes Cripto da Chainalysis do início de 2026 expõe a ferida: mais de US$ 900 milhões foram drenados de carteiras não custódiais nos últimos 12 meses exclusivamente por essa modalidade de ataque.

Se você opera em DeFi, mineração de liquidez ou coleciona ativos digitais e acha que sua Ledger na gaveta te deixa imune, preste atenção aqui. O buraco é mais embaixo. A engenharia social encontrou a arquitetura dos contratos inteligentes, criando uma máquina de extorsão perfeita que não perdoa desatenção. Vamos dissecar como o mercado brasileiro está reagindo a isso e, principalmente, como blindar seu capital.

A evolução da extorsão: Do phishing amador aos Contratos Inteligentes

Há cinco anos, o roubo de criptomoedas exigia que o usuário entregasse sua seed phrase (as 12 ou 24 palavras de recuperação) em um site falso. Era um ataque de força bruta focado na ingenuidade extrema. Hoje, os cibercriminosos não querem suas palavras. Eles querem apenas a sua assinatura criptográfica temporária.

Os crypto drainers representam a profissionalização do roubo Web3. Eles são scripts maliciosos injetados em sites falsos que interagem diretamente com a API das carteiras web (como MetaMask, Trust Wallet, Phantom). Quando a vítima aprova a transação, ela não está fazendo um login inofensivo. Ela está assinando um contrato inteligente que concede permissão irrestrita para que o atacante movimente todos os tokens ERC-20 ou NFTs daquela carteira.

O salto tecnológico para o crime ocorreu com a popularização de funções legítimas da rede Ethereum, como o SetApprovalForAll (usado em marketplaces de NFT como OpenSea) e o Permit2 (criado pela Uniswap para economizar taxas de gas). Ferramentas desenhadas para melhorar a experiência do usuário foram convertidas em armas de destruição financeira em massa.

A anatomia perfeita de um ataque on-chain

Entender o mecanismo de um drainer exige olhar para o código e para a psicologia humana. O ataque nunca começa na blockchain. Ele começa na engenharia social.

Passo 1: A isca e o envenenamento de tráfego

Os atacantes compram anúncios no Google Ads, sequestram contas verificadas no X (comprando o selo dourado de organizações) ou invadem servidores do Discord de projetos brasileiros conhecidos. A promessa é sempre baseada em urgência: um airdrop que expira em 24 horas, um mint exclusivo, ou até mesmo um falso alerta de segurança dizendo que você precisa 'migrar seus tokens' para evitar um hack.

Passo 2: A injeção do script malicioso

Ao acessar a landing page clonada, o script do drainer entra em ação. Antes mesmo de você clicar em qualquer coisa, ele escaneia silenciosamente o endereço da sua carteira assim que conectada. O script consulta APIs públicas (como DeBank ou Etherscan) para calcular exatamente quanto você tem, em quais tokens, e em quais redes.

Se você tem US$ 10 na carteira, o site muitas vezes retorna um falso 'erro de conexão'. O drainer não perde tempo com peixes pequenos. Se você tem US$ 10.000, o script prepara a armadilha cirúrgica.

Passo 3: A assinatura letal (eth_sign e Permit)

O site gera um pop-up na sua carteira. A interface da maioria das wallets tradicionais é péssima em explicar o que você está assinando, mostrando apenas um bloco de código hexadecimal ininteligível (o famoso blind signing).

O ataque útiliza frequentemente o método eth_sign, que é essencialmente um cheque em branco. Você acha que está assinando uma mensagem de texto para entrar no site, mas está assinando uma transação estruturada (EIP-712) que transfere o controle do seu saldo de USDT ou USDC para o contrato do criminoso.

Passo 4: A execução via CREATE2

Recentemente, observamos atacantes usando o opcode CREATE2 da rede Ethereum. Isso permite que eles gerem um endereço de contrato inteligente malicioso 'on the fly', bypassando alertas de segurança de carteiras que mantêm listas negras de endereços conhecidos de hackers. O contrato é criado, drena seus fundos e se autodestrói na mesma transação. O dinheiro some, e a arma do crime desaparece da blockchain.

Drainer-as-a-Service: O crime organizado no modelo SaaS

A sofisticação técnica que acabei de descrever não é desenvolvida por hackers solitários em porões. O mercado hoje opera sob o modelo de Drainer-as-a-Service (DaaS).

Grupos como Inferno Drainer, Pink Drainer e Monkey Drainer operam exatamente como empresas de software B2B do Vale do Silício ou da Faria Lima. Eles desenvolvem o código malicioso, criam painéis de controle em tempo real e licenciam a tecnologia para criminosos de baixo nível operacional em fóruns da dark web ou grupos de Telegram.

O modelo de negócios é o 'revenue share' (divisão de receitas). O desenvolvedor do drainer não cobra uma mensalidade; ele programa o contrato inteligente para reter automaticamente 20% de tudo que for roubado pela sua rede de 'afiliados'.

Esses grupos oferecem suporte ao cliente 24/7, tutoriais em vídeo de como comprar anúncios no Google burlando os filtros, e atualizações de software semanais para evadir as novas defesas da MetaMask. A Chainalysis estima que o Inferno Drainer, antes de anunciar sua suposta 'aposentadoria', fácilitou o roubo de US$ 80 milhões em apenas nove meses, pulverizados entre milhares de vítimas.

O mercado brasileiro na mira: Regulação e Defesa

No Brasil, o volume de transações cripto cresce a taxas de dois dígitos, impulsionado por plataformas locais e pela adoção institucional. Nomes de peso como Nubank Cripto, Mercado Bitcoin, Bipa e Foxbit trouxeram milhões de brasileiros para o ecossistema. O problema ocorre quando esse usuário de varejo tenta dar o próximo passo e operar diretamente em carteiras Web3 descentralizadas.

A Polícia Federal e o Ministério Público já identificaram quadrilhas locais adaptando a tecnologia de drainers gringos para o cenário nacional. Observamos grupos de Telegram brasileiros vendendo templates falsos de sites de tokenização de recebíveis e até interfaces falsas do Drex (o Real Digital do Banco Central) para roubar fundos de early adopters.

O arcabouço regulatório brasileiro, fundamentado pela Lei das Criptomoedas (Lei 14.478/22) e pelas recentes circulares do Banco Central (BACEN) em 2024 e 2025, aperta o cerco contra as VASPs (Provedoras de Serviços de Ativos Virtuais). As exchanges brasileiras são obrigadas pelo COAF a monitorar transações atípicas. No entanto, a regulação protege o ambiente centralizado (CeFi). Quando o usuário saca seus tokens para uma carteira de custódia própria e assina um contrato malicioso em um drainer, o BACEN e a CVM não têm jurisdição tecnológica para reverter a transação na blockchain. A imutabilidade da rede vira a arma do crime.

Exchanges como o Mercado Bitcoin e a Foxbit têm investido pesado em análise on-chain (usando ferramentas como TRM Labs ou Chainalysis) para bloquear depósitos provenientes de endereços associados a drainers. Se o hacker tentar transformar o Ethereum roubado em Reais (BRL) via PIX usando uma corretora brasileira, o compliance congela os fundos imediatamente. O resultado? Os criminosos apelam para mixers como Tornado Cash ou pontes cross-chain (Thorchain) para lavar o dinheiro fora do sistema financeiro nacional.

Implicações práticas: Um manual de sobrevivência on-chain

Conhecer a ameaça é apenas metade da batalha. A outra metade é mudar radicalmente a forma como você interage com a blockchain. Se você vai expor seu capital à Web3, a higiene de segurança precisa ser militar.

1. Abandone as assinaturas cegas (Blind Signing)

Carteiras convencionais falham em traduzir código para humanos. A solução prática é instalar simuladores de transação. Extensões como Pocket Universe, Wallet Guard ou a adoção nativa da Rabby Wallet (criada pela DeBank) interceptam a requisição antes da sua carteira. Elas rodam a transação em um ambiente de teste e mostram em português claro: 'Se você assinar isso, 2.5 ETH sairão da sua conta e você receberá 0 tokens'. Isso neutraliza 99% dos drainers.

2. Compartimentação de ativos (A estratégia do cofre)

Nunca conecte a carteira onde estão as suas economias principais (cold wallet) a aplicações descentralizadas. Use a estratégia de múltiplas carteiras:

• Vault Wallet (Cofre): Uma Ledger ou Trezor que nunca interage com smart contracts. Apenas envia e recebe de endereços conhecidos.
• Burner Wallet (Descartável): Uma carteira de navegador com saldo apenas para a operação do dia. Conectou no site suspeito? O máximo que o drainer vai levar são os 50 dólares de gas fee que você deixou lá.

3. Revogação de permissões constantes

Aprovou o gasto infinito de USDT na Uniswap há dois anos? Essa permissão continua ativa. Se o contrato da Uniswap for comprometido, ou se você assinou um drainer disfarçado, seu saldo está em risco. Utilize ferramentas como Revoke.cash mensalmente para auditar sua carteira e remover permissões de contratos antigos ou desconhecidos. Custa apenas alguns centavos de taxa de rede, mas salva seu patrimônio.

4. Atenção ao Permit2

O novo padrão Permit2 exige apenas uma assinatura off-chain para mover seus fundos. Ele não consome gas na aprovação, o que reduz a fricção e aumenta o perigo. Leia atentamente a tela da sua carteira. Se a mensagem pedir permissão para gastar seu token e você não estiver ativamente tentando fazer um swap ou provisão de liquidez, recuse. O airdrop é falso.

O futuro da segurança cripto

A guerra entre os desenvolvedores de segurança e os criadores de drainers continuará sendo um jogo de gato e rato. O avanço de tecnologias como Account Abstraction (ERC-4337) promete trazer limites de gastos diários e recuperação social para carteiras, mitigando os danos de uma assinatura errada.

Até que essas soluções se tornem o padrão de mercado, a responsabilidade recai inteiramente sobre o usuário. A descentralização devolveu o controle do dinheiro para as suas mãos. A consequência direta é que você se tornou o seu próprio gerente de segurança da informação. No faroeste digital, a paranoia não é um distúrbio psicológico. É uma estratégia de investimento.