Phishing no contexto cripto é a prática de impersonar uma parte confiável — suporte de exchange, fornecedor de carteira, KOL conhecido, até um amigo — para induzir o alvo a uma ação que ele normalmente não tomaria. Antes de 2017, phishing significava "roubar sua senha." Depois de 2020, phishing significa "fazer você assinar uma transação ruim" — e transações assinadas, ao contrário de senhas, não podem ser resetadas.
As categorias principais em 2026
Phishing de approval. Uma página falsa de "claim airdrop" ou "verify wallet" pede uma assinatura setApprovalForAll, transferindo custódia de todos os NFTs ou tokens daquele endereço para o atacante. O atacante drena os ativos no momento que escolher — às vezes semanas depois, quando o usuário já esqueceu. Inferno Drainer e Pink Drainer transformaram isso em kits drainer-as-a-service, disponíveis em fóruns dark por US$ 50/mês mais percentual dos fundos roubados.
Phishing de Permit / Permit2. EIP-2612 e Permit2 do Uniswap permitem approvals baseados em assinatura off-chain. O usuário assina uma mensagem typed; o atacante usa a assinatura para drenar a carteira. A assinatura parece uma string sem sentido na UI da carteira; as consequências equivalem a entregar a chave privada daquele token.
Phishing de impersonação de suporte. DMs no Telegram ou Discord de "Suporte Mercado Bitcoin," "Segurança Foxbit," "Equipe Trust Wallet." O pitch é plausível: há um problema com sua conta, clique aqui para verificar. O link leva a um clone da exchange real que captura credenciais e códigos 2FA simultaneamente.
Takeover de conta via SIM-swap. Incluído na taxonomia de phishing porque o passo pós-takeover sempre envolve engenharia social: uma vez que o atacante tem o número de telefone, ele reseta senhas de exchange e bypassa 2FA por SMS.
O que está pegando gente em 2026
O único vetor de ataque mais comum em volume de dólares é phishing de assinatura tipo permit. O usuário não vê uma transação maliciosa óbvia; vê um pedido de assinatura estruturada que, se aceito, dá ao atacante direitos de transferência permanentes sobre USDC, USDT, WETH ou stETH naquele endereço. O drainer tipicamente espera 24-72 horas antes de puxar o gatilho, para que o usuário não conecte a assinatura com a perda.
Defesa: leia cada assinatura off-chain com o mesmo rigor de uma transação on-chain. O display de assinatura EIP-712 no Rabby e em firmware moderno de hardware wallet torna isso legível; o display "raw hash" mais antigo não.
A diferença da hardware wallet
Hardware wallets não previnem phishing — elas assinam o que você mandar — mas atrasam o suficiente para usuários atentos pegarem. O Ledger Stax ou Trezor Safe 5 mostra endereço de destino e quantia numa tela que o computador host não consegue adulterar. Se o endereço mostrado não bate com o que o dApp diz, você cancela.
A disciplina: nunca aprove uma transação sem ler a tela do dispositivo. O passo de confirmação na hardware wallet existe exatamente para isso.
Estatísticas do ecossistema 2026
A Chainalysis estimou perdas por phishing em cripto em US$ 4,6 bilhões em 2024. Cerca de 80% disso veio de ataques de approval e permit; o restante de phishing de credenciais e transferências diretas. O número está crescendo ano após ano, não diminuindo.
Leitura adicional: Atlas de golpes de phishing 2026, setApprovalForAll, EIP-2612 Permit, revoke.cash.