Extensão Falsa Uniswap+ Pro: Como um Plugin Drenou $283K

O "agregador DEX" que drenou 12 carteiras

Setembro 2024. Um trader em São Paulo instala "Uniswap+ Pro Trading", uma extensão do Chrome que promete "proteção MEV e roteamento de 0% de slippage". A extensão tem 23 mil downloads e uma landing page polida. Ele conecta sua carteira principal e troca 40 mil USDC por ETH. O swap passa. Duas horas depois, sua carteira inteira — 283 mil USD em stablecoins e majors — se foi, drenada via permits que a extensão submeteu silenciosamente enquanto ele não olhava.

O que uma extensão de carteira maliciosa pode realmente fazer

Uma extensão com acesso completo à aba do navegador pode: ler toda página, incluindo as chamadas RPC da carteira; injetar script em popups da carteira; modificar o endereço do destinatário antes do MetaMask mostrar a confirmação; assinar transações em seu nome se capturou uma session key; submeter assinaturas Permit pré-construídas usando dados de transação em cache. Pode fazer tudo isso silenciosamente enquanto mostra uma interface normal.

As três regras para extensões de navegador e dinheiro

• Nenhuma extensão deveria ter acesso à aba da sua carteira. Use um perfil de navegador limpo com só sua extensão de carteira e um ad-blocker. Sem "ajudantes de trading", sem "agregadores", sem "protetores de MEV". Se a funcionalidade é útil, o protocolo real vai entregar.
• Uniswap não tem extensão do Chrome. Nem o 1inch. Nem o Cowswap. São web apps. Qualquer listagem "Uniswap Extension" é falsa por definição.
• Audite suas extensões instaladas mensalmente. Abra chrome://extensions. Se você não lembra de instalar, remova. Se você não lembra porque instalou, remova.

A recuperação pós-comprometimento

Mova todo ativo de toda carteira já conectada nesse navegador para uma carteira fresca gerada em outro dispositivo. Revogue toda aprovação no revoke.cash dos endereços comprometidos. Reinstale o perfil afetado ou o laptop inteiro se a extensão tinha permissões amplas.

Por que a isca funciona

"Proteção MEV" e "roteamento 0% slippage" são termos reais do vocabulário DeFi. O golpista pega emprestada a linguagem para fazer a extensão falsa parecer ferramenta de trader legítimo. A defesa é aprender o que cada termo realmente significa — e notar que os protocolos que genuinamente oferecem esses recursos (Cowswap, Flashbots Protect) entregam via interface web, não extensão.