Os ataques de phishing continuam sendo uma das ameaças mais enganosas e prejudiciais na web3.
Diferente de invasões diretas a exchanges ou carteiras, o phishing se baseia em manipulação psicológica para enganar usuários e levá-los a entregar informações sensíveis, como chaves privadas, frases-semente e dados de login.
As consequências são severas. Uma vez que um atacante obtém acesso aos fundos, o roubo geralmente é irreversível.
Seja por sites falsos, e-mails fraudulentos ou golpes de personificação, os ataques de phishing continuam evoluindo, tornando-se cada vez mais difíceis de identificar e mais fáceis de cair.
Este guia vai te equipar com o conhecimento necessário para reconhecer tentativas de phishing, proteger seus ativos e agir imediatamente caso se torne um alvo de golpes com criptomoedas.
O Que São Golpes de Phishing?
Phishing é a forma mais comum de crime cibernético, com mais de 3,4 bilhões de e-mails de spam enviados diariamente. Esses ataques visam roubar informações sensíveis ao se passar por uma fonte confiável.
Diferente de invasões técnicas, o phishing se baseia na enganação. Hackers se fazem passar por plataformas, equipes de suporte ou influenciadores para manipular usuários e levá-los a revelar informações confidenciais.
As transações são irreversíveis, e os fundos perdidos são quase impossíveis de recuperar.
No mundo cripto, golpes de phishing geralmente têm como alvo carteiras, exchanges e plataformas DeFi, enganando usuários para que revelem chaves privadas ou assinem transações maliciosas.
Estatísticas de Phishing e Fraudes de Identidade
O phishing é a forma mais comum de crime cibernético no mundo, com mais de 3,4 bilhões de e-mails de spam enviados diariamente.
O Google bloqueia cerca de 100 milhões de e-mails de phishing por dia, e 48% de todos os e-mails em 2022 foram classificados como spam.
Esses golpes não afetam apenas indivíduos. 83% das empresas no Reino Unido atacadas em 2022 relataram que a fraude foi via phishing. Na Ásia, o phishing também foi o ataque mais frequente em 2021.
As perdas financeiras podem ser devastadoras. O custo médio de uma violação de dados ultrapassa US$4 milhões, e golpes direcionados a executivos (“whaling”) podem causar perdas de até US$47 milhões.
Millennials e usuários da Geração Z são os mais visados, e mais de 20% dos e-mails de phishing se originam da Rússia, mostrando o alcance global da ameaça.
Na América Latina, as fraudes de identidade em plataformas de criptomoedas aumentaram 50% em 2024, superando a média global, segundo o relatório State of the Crypto Industry 2025, da Sumsub.
O Brasil, porém, registrou a menor taxa global de fraudes, com apenas 0,7% dos casos, graças à regulação inovadora e ao uso de tecnologias como a verificação de identidade sem documentos (KYC Doc-Free), que agiliza e torna mais seguro o processo de validação.
Outro dado preocupante: 76% das tentativas de fraude ocorrem após a etapa inicial de verificação, reforçando a necessidade de monitoramento contínuo e uso de inteligência artificial para detectar comportamentos suspeitos em tempo real diz especialista ao CoinTelegraph Brasil.
Por Que Usuários de Cripto São Alvos?
As transações em cripto são definitivas. Se um golpista conseguir acessar seus fundos, eles estão perdidos — sem reembolso, sem estorno. A natureza descentralizada das criptomoedas significa que não há intermediários, como nos bancos tradicionais.
Usuários lidam com várias plataformas — exchanges, carteiras, apps DeFi e NFTs — o que gera vários pontos de exposição. Qualquer clique, login ou assinatura pode ser uma brecha se feita sem cautela.
Como Funcionam os Golpes de Phishing na Web3

Um dos maiores riscos de phishing em cripto são contratos inteligentes falsos (smart contracts). Golpistas fazem com que usuários assinem contratos maliciosos que dão permissão para gastar todos os fundos, permitindo que a carteira seja drenada.
Esses golpes aparecem em airdrops falsos, dApps enganosos ou plataformas DeFi fraudulentas. Sempre revise o contrato antes de assinar e use carteiras que alertam sobre transações suspeitas.
Outras táticas de phishing incluem:
- Sites Falsos: cópias de exchanges ou apps de carteiras
- Suporte Falso: atendimento fake por e-mail, Telegram ou Discord
- QR Codes Falsos (Quishing): redirecionam para sites falsos
Tipos Comuns de Phishing em Cripto

Golpistas usam métodos diversos para enganar usuários a aprovar transações ou compartilhar dados sensíveis:
- Aprovação de tokens falsos
- Transferências não autorizadas
- Solicitações de assinatura disfarçadas
Golpes com NFTs, captchas falsos e contratos disfarçados também são comuns. Aprender a identificar esses golpes é fundamental para proteger seus ativos.
Checklist de Segurança: Proteja-se de Phishing
- Verifique o remetente: e-mails e números suspeitos? Desconfie.
- Cuidado com links: passe o mouse para ver o destino antes de clicar.
- Evite Wi-Fi público: use VPN para operações com cripto.
- Ative MFA: autenticação de dois fatores aumenta a segurança.
- Nunca compartilhe dados: empresas sérias não pedem senhas por e-mail.
- Atualize seus dispositivos: proteja-se contra vulnerabilidades.
- Use gerenciadores de senha: senhas fortes e únicas para cada conta.
- Fique atento: e-mails urgentes, erros de ortografia, anexos estranhos.
Dica de Segurança
- Use filtros anti-spam
- Confirme HTTPS e certificado SSL nos sites
- Fique ligado nas redes sociais: verifique fontes oficiais e cuidado com o “arrasta pra cima”
O Que Fazer Se For Vítima de Phishing
- Desconecte seu dispositivo da internet
- Transfira os fundos remanescentes para carteira segura
- Altere senhas e ative a verificação de segurança em múltiplas etapas
- Denuncie para sua exchange e autoridades
- Monitore a blockchain para atividades suspeitas
Exemplos Reais de Phishing
Golpe de Phishing no Etherscan

Golpistas inseriram pop-ups falsos no Etherscan, pedindo conexão com MetaMask para promoções falsas. Sites clonados e códigos QR redirecionaram vítimas a contratos que drenaram carteiras.
Golpes de phishing ligados ao Etherscan resultaram no roubo de US$ 300 milhões de 324 mil usuários em 2023 e mais US$ 104 milhões de 97 mil usuários no início de 2024, com perdas individuais que variaram entre US$ 300 mil e US$ 55 milhões. Em agosto de 2024, houve um aumento de 215% nesses ataques, com 9.100 vítimas perdendo US$ 66 milhões por meio de anúncios falsos, sites clonados e contratos maliciosos.
Tentativa de Phishing na Ledger
Esses e-mails fraudulentos orientavam os destinatários a visitar um site de phishing e inserir sua frase de recuperação de 24 palavras para “proteger” suas carteiras.
Após capturar essas frases, os golpistas obtinham acesso total às carteiras de criptomoedas das vítimas.
É difícil mensurar o valor exato roubado nesses ataques de phishing, já que muitos casos não são reportados.
No entanto, alguns episódios ilustram o impacto financeiro significativo:
- Roubo de XRP: Em novembro de 2020, mais de 1,15 milhão de XRP (cerca de US$ 280 mil na época) foram roubados de usuários da Ledger por meio de ataques de phishing com domínios falsos que imitavam o site oficial da empresa.
- Incidente de dezembro de 2023: Uma falha em uma biblioteca de conexão da Ledger resultou em quase US$ 500 mil em perdas, aumentando ainda mais a desconfiança dos usuários.

Ataque Phishing na Uniswap
Golpes de Phishing na MetaMask
Usuários da MetaMask têm sido frequentemente alvo de golpistas que se passam por representantes de suporte, explorando redes sociais como Twitter, Telegram e Discord.
Esses criminosos entram em contato com as vítimas oferecendo ajuda falsa e solicitam chaves privadas ou frases-semente sob o pretexto de “verificar contas” ou “resolver problemas”. Uma vez em posse dessas informações, os golpistas esvaziam as carteiras das vítimas, sem possibilidade de recuperação dos fundos. Sempre verifique a autenticidade de qualquer site ou aplicativo antes de inserir dados sensíveis.
Um dos ataques mais sofisticados ocorreu em 2024, quando golpistas usaram anúncios falsos no Google Play para promover versões clonadas do aplicativo da MetaMask. Usuários desavisados que baixaram esses aplicativos fraudulentos e inseriram suas frases de segurança entregaram, sem saber, o controle total de seus fundos.
Apesar dos alertas constantes da MetaMask e de seus comunicados de segurança, os golpistas continuaram registrando novos domínios e distribuindo aplicativos falsos para burlar a detecção.

A MetaMask, Ledger, Uniswap ou a Klever nunca vão pedir sua frase de segurança ou chaves privadas. Esteja sempre alerta e jamais revele suas senhas a terceiros.

De olhos bem abertos na Web3
As estratégias de phishing continuarão evoluindo. Mas com informação e cautela, você pode evitar ser mais uma vítima e entrar para as estatísticas dos golpistas.
- Não use Wi-Fi público para transações
- Confira URLs e remetentes
- Use autenticação de dois ou mais fatores
- Nunca compartilhe sua frase de segurança ou chaves privadas
- Se parece bom demais para ser verdade, é golpe
Pense Antes de Clicar. Proteja Antes de Perder.