Este último ataque segue-se a campanhas de phishing anteriores, incluindo cartas falsas com a marca Ledger que foram enviadas a clientes em abril. A mais recente atualização Pectra do Ethereum também introduziu uma vulnerabilidade perigosa através do EIP-7702, permitindo assinaturas fora da cadeia que poderiam permitir que hackers assumissem o controlo das carteiras sem confirmação do utilizador. Isso levantou algumas preocupações importantes entre os investigadores de segurança que até chamaram a ameaça de crítica. Na BNB Chain, o Token Mobius (MBU) sofreu um exploit de $2,15 milhões quando um contrato inteligente malicioso drenou milhões de tokens e os converteu em moedas estáveis.
Utilizadores de Ledger Alvo Novamente
O fornecedor de carteiras de hardware Ledger confirmou que o seu servidor Discord foi assegurado após um atacante ter comprometido a conta de um moderador no dia 11 de maio. O atacante usou-a para publicar links maliciosos que visavam enganar os utilizadores a revelar as suas frases-semente da carteira.
De acordo com o membro da equipe Ledger, Quintin Boatwright, a violação foi rapidamente contida. A conta de moderador comprometida foi removida, o bot malicioso foi deletado, o site de golpe foi reportado e todas as permissões foram revisadas e bloqueadas para prevenir abusos futuros. No entanto, alguns membros da comunidade alegaram que o atacante abusou dos privilégios de moderador para banir e silenciar usuários que estavam tentando reportar a violação, o que pode ter atrasado a resposta inicial da Ledger.
O golpe envolveu uma mensagem alegando uma vulnerabilidade recentemente descoberta nos sistemas da Ledger e instava os utilizadores a verificarem as suas frases de recuperação através de um link fraudulento. Os utilizadores eram então solicitados a conectar as suas carteiras e seguir instruções falsas na tela, o que representava um sério risco de perda de fundos. Embora ainda não esteja claro se algum utilizador foi vítima do golpe, capturas de ecrã das mensagens enganosas foram amplamente divulgadas no X.
Esta última tentativa de phishing segue uma tendência preocupante. Em abril, golpistas enviaram cartas físicas aos proprietários de carteiras de hardware Ledger, instando-os a inserir suas frases de recuperação através de códigos QR sob o pretexto de uma verificação de segurança. Essas cartas tinham uma marcação oficial e referências para parecerem legítimas.
Alguns destinatários especularam que os envios estavam ligados a uma violação de dados em julho de 2020, onde as informações pessoais de mais de 270.000 clientes da Ledger—incluindo nomes, números de telefone e endereços—foram divulgadas online. No ano seguinte à violação, vários usuários relataram ter recebido dispositivos Ledger falsos preparados com malware. No geral, parece que os clientes da Ledger estão sendo especificamente alvos de golpistas sofisticados.
Atualização Pectra Introduz Falha Perigosa
Não são apenas os usuários do Ledger que devem ser cautelosos. A recente atualização da rede Pectra do Ethereum, que foi lançada em 7 de maio, introduziu novos recursos poderosos destinados a aumentar a escalabilidade e melhorar a funcionalidade das contas inteligentes. No entanto, também expôs um novo vetor de ataque sério que poderia permitir que hackers esvaziassem as carteiras dos usuários usando nada mais do que uma assinatura fora da cadeia.
No cerne da questão está o EIP-7702, que é uma parte fundamental da atualização que permite aos usuários delegar o controle das suas contas externamente possuídas (EOAs) a um contrato inteligente ao assinar uma mensagem — sem precisar submeter uma transação na cadeia.
Esta alteração permite que atacantes explorem usuários desavisados através de tentativas de phishing ou aplicativos falsos. Se um ator malicioso obtiver uma assinatura válida, pode usar a transação SetCode ( tipo 0x04) para instalar código na carteira da vítima que redireciona chamadas para um contrato sob o controle do atacante. A partir daí, eles podem transferir ETH ou tokens para fora da carteira sem que o usuário jamais autorize uma transação típica. Pesquisadores de segurança como Arda Usman e Yehor Rudytsia confirmaram que esse risco é imediato e crítico. Contratos inteligentes que dependem de suposições legadas, como verificações de tx.origin, agora estão vulneráveis.
O que torna este ataque particularmente perigoso é a facilidade com que pode ser implementado através de interações comuns fora da cadeia — mensagens no Discord, sites de phishing ou DApps falsos. Interfaces de carteira que não exibem ou interpretam corretamente o novo tipo de transação estão especialmente em risco, e as assinaturas podem até ser reutilizadas em qualquer cadeia compatível com Ethereum devido ao potencial para assinaturas com chain_id = 0. Rudytsia explicou que, a partir de agora, até mesmo carteiras de hardware são vulneráveis a assinar mensagens de delegação maliciosas.
Os usuários são aconselhados a não assinar mensagens que não compreendem, especialmente aquelas que envolvem nonces de conta ou formatos não reconhecidos. Os desenvolvedores de carteiras devem se adaptar rapidamente integrando a análise de assinaturas e avisos claros para tentativas de delegação, uma vez que as mensagens habilitadas pelo EIP-7702 frequentemente contornam padrões existentes como o EIP-191 e o EIP-712.
Embora as carteiras multisig ofereçam mais proteção devido à necessidade de múltiplas aprovações, as carteiras de chave única ainda precisam evoluir para detectar essas novas ameaças. Juntamente com o EIP-7702, a atualização Pectra também incluiu o EIP-7251, aumentando o limite de staking dos validadores para 2.048 ETH, e o EIP-7691, que melhora a escalabilidade da camada 2 ao aumentar o número de blobs de dados por bloco. Infelizmente, as consequências não intencionais do mecanismo de delegação já estão provando ser uma das principais preocupações de segurança.
Token Mobius Atacado por Exploração
Entretanto, mais de 2,15 milhões de dólares em ativos digitais foram roubados dos contratos inteligentes Mobius Token (MBU) na BNB Chain após um ataque direcionado em 11 de maio, de acordo com a empresa de segurança blockchain Cyvers Alerts. O ataque foi executado com precisão, começando apenas minutos após a implementação de um contrato inteligente malicioso. A Cyvers sinalizou isso como suspeito antes que a exploração ocorresse.
O atacante iniciou a exploração usando o endereço de carteira 0xb32a53… às aproximadamente 07:33 UTC, apenas dois minutos após implantar o contrato malicioso. A exploração teve como alvo uma carteira vítima identificada como 0xb5252f… e drenou com sucesso 28,5 milhões de tokens MBU. Os tokens roubados foram rapidamente convertidos em moedas estáveis USDT, resultando em uma perda total de $2,152,219.99. A Cyvers confirmou que o atacante usou o endereço do contrato 0x631adf… para realizar uma série de transações maliciosas.
A empresa de segurança classificou a exploração como "crítica", devido à lógica de contrato suspeita e ao comportamento anormal de transação utilizado pelo hacker. Por enquanto, a carteira do atacante permanece ativa, e os fundos roubados foram depositados no Tornado Cash.
Este exploit faz parte de uma tendência mais ampla de aumento de roubos de criptomoedas em 2025. De acordo com um relatório da empresa de segurança blockchain PeckShield, apenas em abril, perto de $360 milhões em ativos de criptomoedas foram roubados em 18 grandes incidentes de hacking. Isso representou um aumento impressionante de 990% nas perdas em comparação com março, quando apenas $33 milhões foram perdidos para hacks.
Um dos eventos mais sérios que contribuíram para o total de abril foi uma transferência não autorizada de 330 milhões de dólares em Bitcoin, posteriormente confirmada como resultado de um ataque de engenharia social direcionado a um residente idoso dos EUA.
No geral, a exploração do Token Mobius serve como mais um lembrete contundente da necessidade urgente de melhorar a auditoria de contratos e sistemas de detecção de ameaças em tempo real em plataformas DeFi.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Hackers Exploit Ledger Moderator Account to Spread Phishing Links
Este último ataque segue-se a campanhas de phishing anteriores, incluindo cartas falsas com a marca Ledger que foram enviadas a clientes em abril. A mais recente atualização Pectra do Ethereum também introduziu uma vulnerabilidade perigosa através do EIP-7702, permitindo assinaturas fora da cadeia que poderiam permitir que hackers assumissem o controlo das carteiras sem confirmação do utilizador. Isso levantou algumas preocupações importantes entre os investigadores de segurança que até chamaram a ameaça de crítica. Na BNB Chain, o Token Mobius (MBU) sofreu um exploit de $2,15 milhões quando um contrato inteligente malicioso drenou milhões de tokens e os converteu em moedas estáveis.
Utilizadores de Ledger Alvo Novamente
O fornecedor de carteiras de hardware Ledger confirmou que o seu servidor Discord foi assegurado após um atacante ter comprometido a conta de um moderador no dia 11 de maio. O atacante usou-a para publicar links maliciosos que visavam enganar os utilizadores a revelar as suas frases-semente da carteira.
De acordo com o membro da equipe Ledger, Quintin Boatwright, a violação foi rapidamente contida. A conta de moderador comprometida foi removida, o bot malicioso foi deletado, o site de golpe foi reportado e todas as permissões foram revisadas e bloqueadas para prevenir abusos futuros. No entanto, alguns membros da comunidade alegaram que o atacante abusou dos privilégios de moderador para banir e silenciar usuários que estavam tentando reportar a violação, o que pode ter atrasado a resposta inicial da Ledger.
O golpe envolveu uma mensagem alegando uma vulnerabilidade recentemente descoberta nos sistemas da Ledger e instava os utilizadores a verificarem as suas frases de recuperação através de um link fraudulento. Os utilizadores eram então solicitados a conectar as suas carteiras e seguir instruções falsas na tela, o que representava um sério risco de perda de fundos. Embora ainda não esteja claro se algum utilizador foi vítima do golpe, capturas de ecrã das mensagens enganosas foram amplamente divulgadas no X.
Esta última tentativa de phishing segue uma tendência preocupante. Em abril, golpistas enviaram cartas físicas aos proprietários de carteiras de hardware Ledger, instando-os a inserir suas frases de recuperação através de códigos QR sob o pretexto de uma verificação de segurança. Essas cartas tinham uma marcação oficial e referências para parecerem legítimas.
Alguns destinatários especularam que os envios estavam ligados a uma violação de dados em julho de 2020, onde as informações pessoais de mais de 270.000 clientes da Ledger—incluindo nomes, números de telefone e endereços—foram divulgadas online. No ano seguinte à violação, vários usuários relataram ter recebido dispositivos Ledger falsos preparados com malware. No geral, parece que os clientes da Ledger estão sendo especificamente alvos de golpistas sofisticados.
Atualização Pectra Introduz Falha Perigosa
Não são apenas os usuários do Ledger que devem ser cautelosos. A recente atualização da rede Pectra do Ethereum, que foi lançada em 7 de maio, introduziu novos recursos poderosos destinados a aumentar a escalabilidade e melhorar a funcionalidade das contas inteligentes. No entanto, também expôs um novo vetor de ataque sério que poderia permitir que hackers esvaziassem as carteiras dos usuários usando nada mais do que uma assinatura fora da cadeia.
No cerne da questão está o EIP-7702, que é uma parte fundamental da atualização que permite aos usuários delegar o controle das suas contas externamente possuídas (EOAs) a um contrato inteligente ao assinar uma mensagem — sem precisar submeter uma transação na cadeia.
Esta alteração permite que atacantes explorem usuários desavisados através de tentativas de phishing ou aplicativos falsos. Se um ator malicioso obtiver uma assinatura válida, pode usar a transação SetCode ( tipo 0x04) para instalar código na carteira da vítima que redireciona chamadas para um contrato sob o controle do atacante. A partir daí, eles podem transferir ETH ou tokens para fora da carteira sem que o usuário jamais autorize uma transação típica. Pesquisadores de segurança como Arda Usman e Yehor Rudytsia confirmaram que esse risco é imediato e crítico. Contratos inteligentes que dependem de suposições legadas, como verificações de tx.origin, agora estão vulneráveis.
O que torna este ataque particularmente perigoso é a facilidade com que pode ser implementado através de interações comuns fora da cadeia — mensagens no Discord, sites de phishing ou DApps falsos. Interfaces de carteira que não exibem ou interpretam corretamente o novo tipo de transação estão especialmente em risco, e as assinaturas podem até ser reutilizadas em qualquer cadeia compatível com Ethereum devido ao potencial para assinaturas com chain_id = 0. Rudytsia explicou que, a partir de agora, até mesmo carteiras de hardware são vulneráveis a assinar mensagens de delegação maliciosas.
Os usuários são aconselhados a não assinar mensagens que não compreendem, especialmente aquelas que envolvem nonces de conta ou formatos não reconhecidos. Os desenvolvedores de carteiras devem se adaptar rapidamente integrando a análise de assinaturas e avisos claros para tentativas de delegação, uma vez que as mensagens habilitadas pelo EIP-7702 frequentemente contornam padrões existentes como o EIP-191 e o EIP-712.
Embora as carteiras multisig ofereçam mais proteção devido à necessidade de múltiplas aprovações, as carteiras de chave única ainda precisam evoluir para detectar essas novas ameaças. Juntamente com o EIP-7702, a atualização Pectra também incluiu o EIP-7251, aumentando o limite de staking dos validadores para 2.048 ETH, e o EIP-7691, que melhora a escalabilidade da camada 2 ao aumentar o número de blobs de dados por bloco. Infelizmente, as consequências não intencionais do mecanismo de delegação já estão provando ser uma das principais preocupações de segurança.
Token Mobius Atacado por Exploração
Entretanto, mais de 2,15 milhões de dólares em ativos digitais foram roubados dos contratos inteligentes Mobius Token (MBU) na BNB Chain após um ataque direcionado em 11 de maio, de acordo com a empresa de segurança blockchain Cyvers Alerts. O ataque foi executado com precisão, começando apenas minutos após a implementação de um contrato inteligente malicioso. A Cyvers sinalizou isso como suspeito antes que a exploração ocorresse.
O atacante iniciou a exploração usando o endereço de carteira 0xb32a53… às aproximadamente 07:33 UTC, apenas dois minutos após implantar o contrato malicioso. A exploração teve como alvo uma carteira vítima identificada como 0xb5252f… e drenou com sucesso 28,5 milhões de tokens MBU. Os tokens roubados foram rapidamente convertidos em moedas estáveis USDT, resultando em uma perda total de $2,152,219.99. A Cyvers confirmou que o atacante usou o endereço do contrato 0x631adf… para realizar uma série de transações maliciosas.
A empresa de segurança classificou a exploração como "crítica", devido à lógica de contrato suspeita e ao comportamento anormal de transação utilizado pelo hacker. Por enquanto, a carteira do atacante permanece ativa, e os fundos roubados foram depositados no Tornado Cash.
Este exploit faz parte de uma tendência mais ampla de aumento de roubos de criptomoedas em 2025. De acordo com um relatório da empresa de segurança blockchain PeckShield, apenas em abril, perto de $360 milhões em ativos de criptomoedas foram roubados em 18 grandes incidentes de hacking. Isso representou um aumento impressionante de 990% nas perdas em comparação com março, quando apenas $33 milhões foram perdidos para hacks.
Um dos eventos mais sérios que contribuíram para o total de abril foi uma transferência não autorizada de 330 milhões de dólares em Bitcoin, posteriormente confirmada como resultado de um ataque de engenharia social direcionado a um residente idoso dos EUA.
No geral, a exploração do Token Mobius serve como mais um lembrete contundente da necessidade urgente de melhorar a auditoria de contratos e sistemas de detecção de ameaças em tempo real em plataformas DeFi.