Digital Inside

22 jul 2025 12:19

Tecnologia

Destaques de Digital Inside

Digital Inside · Tecnologia · 22 jul 2025 19:03

ClickFix: O novo rosto da engenharia social digital alerta ciberespecialistas na Europa
Digital Inside · Tecnologia · 22 jul 2025 18:16

Ifthenpay acelera crescimento no primeiro semestre
Digital Inside · Tecnologia · 22 jul 2025 12:48

Europa: As duas velocidades do 5G

Ver mais notícias

Golpe do “Reembolso de Gas Fees” em Ethereum: Quando a sofisticação da fraude se assemelha ao “Conto do Vigário”

À medida que os custos associados às transações na rede Ethereum continuam a subir, uma nova vaga de ataques de phishing está a explorar a frustração dos utilizadores com falsas promessas de reembolso das chamadas gas fees. A Kaspersky alerta para uma campanha fraudulenta sofisticada que combina engenharia social, sites falsos e abuso de protocolos legítimos como o WalletConnect para roubar carteiras digitais e esvaziar fundos em segundos.

Num ecossistema onde a inovação acelera mais depressa do que a regulação, as criptomoedas tornaram-se num terreno fértil não só para oportunidades legítimas, mas também para esquemas cada vez mais elaborados. A recente vaga de ciberataques detetada pela Kaspersky contra utilizadores da rede Ethereum é disso um exemplo paradigmático. Em causa está uma nova engenharia social que tira partido do crescente custo das gas fees — as taxas de transação pagas na rede — para enganar os utilizadores com promessas falsas de reembolsos.

A narrativa, embora tecnicamente simples, é construída com precisão cirúrgica. E-mails de phishing prometem a devolução parcial ou total das taxas de transação. Os destinatários, movidos pela legítima frustração com os custos crescentes de operar na rede Ethereum, clicam num link que os leva a sites fraudulentos. Lá, são convidados a ligar as suas carteiras através de protocolos legítimos como o WalletConnect, ou, pior ainda, a inserir diretamente as suas credenciais. O resultado é previsível: roubo total de fundos, exposição de dados pessoais, e em alguns casos, perda de identidade digital.

O “Conto do Vigário” da Era digital

O que torna este ataque particularmente perigoso é a sua credibilidade superficial. Os websites fraudulentos usam elementos visuais sofisticados, réplicas de interfaces conhecidas e até aproveitam ferramentas do próprio ecossistema cripto — como o WalletConnect — para validar a interação. Esta técnica reduz a resistência natural do utilizador ao risco, aproveitando-se do automatismo com que muitas vezes interagimos com plataformas descentralizadas.

WalletConnect, por exemplo, é um protocolo de código aberto usado para conectar carteiras a aplicações descentralizadas (dApps) de forma aparentemente segura. Mas quando mal utilizado, torna-se uma porta de entrada direta para transações não autorizadas. Em vez de facilitar a experiência do utilizador, pode ser convertido num vetor de ataque altamente eficaz.

Com a recente valorização do Ethereum e o consequente aumento do número de transações na blockchain, as gas fees têm disparado — fenómeno que já é familiar a quem usa redes descentralizadas com regularidade. É precisamente este contexto de frustração económica e procura de soluções de mitigação de custos que os atacantes exploram.
O esquema é uma ilustração moderna do clássico “alívio prometido” como isco — um padrão comum em cibercrime, agora transposto para o mundo cripto.

O que se pode aprender: análise e prevenção

Este caso deve servir de alerta estratégico não só para utilizadores individuais, mas também para empresas que operam no universo Web3, fintechs, e plataformas de ativos digitais. O impacto reputacional e financeiro pode ser profundo, e a prevenção tem de ser incorporada desde a arquitetura das aplicações até à formação contínua dos utilizadores.

Recomendações-chave para mitigar riscos:

Educação contínua dos utilizadores:
A literacia digital e financeira deve evoluir com o mesmo ritmo que as tecnologias emergentes. Iniciativas de sensibilização para esquemas de phishing específicos da Web3 são cruciais.
Zero trust como princípio estruturante:
Em ambientes de alto risco como o da blockchain, o paradigma de segurança deve assentar no princípio de “não confiar por defeito”. Mesmo quando se usam protocolos reconhecidos como o WalletConnect.
Verificação rigorosa de fontes e domínios:
Os domínios devem ser inspecionados manualmente. Qualquer pedido de chaves privadas ou frases-semente deve ser automaticamente interpretado como tentativa de fraude — nenhuma entidade legítima o solicita.
Autenticação multifatorial (MFA) obrigatória:
Ainda que não elimine todos os riscos, o MFA é uma camada de defesa adicional contra o acesso indevido.
Ferramentas de segurança com inteligência contextual:
Soluções de cibersegurança adaptadas ao ecossistema blockchain, devem ser integradas na navegação dos utilizadores mais assíduos de criptoativos.

A descentralização da Web3 devolveu o controlo ao utilizador — mas também lhe transferiu a responsabilidade integral da sua própria segurança. Num cenário onde o suporte técnico centralizado não existe, e onde cada transação é irreversível, a confiança deve ser meticulosamente ganha, nunca concedida por impulso.

O caso do falso reembolso das gas fees é mais do que um episódio isolado: é um espelho do futuro dos ciberataques. Um futuro onde a sofisticação técnica se alia à psicologia comportamental para explorar fragilidades humanas, mesmo entre utilizadores experientes. A resposta não está apenas na tecnologia, mas na combinação de vigilância digital, educação e cultura de cibersegurança.