QR Airdrop pelo Correio: O Cartão Postal que Drenou uma Carteira NFT

O QR code que chegou pelo correio

Outubro 2024. Um titular em Curitiba recebe um cartão postal não solicitado com logo cripto polido e a mensagem "Você se qualifica para o airdrop OmniChain — escaneie o QR para reivindicar seus 500 tokens OMNI". O QR resolve para uma página wallet-connect que parece legítima. Ele conecta o MetaMask, aprova uma "assinatura de verificação". A assinatura é um setApprovalForAll em todo seu portfólio NFT. Drenado em 90 segundos.

Por que airdrops por carta parecem reais

O phishing por email treinou a maioria dos titulares a serem céticos. Um cartão físico na caixa de correio aciona uma categoria mental diferente — "documento oficial", "correspondência real", "alguém pagou pelo selo". A taxa de conversão de phishing cripto por correio físico é múltiplos vezes maior que email, justificando o custo mais alto por tentativa.

As quatro regras duras

• Nenhum airdrop legítimo é entregue por correio físico. Airdrops reais são reivindicados via transações on-chain, sinalizados pelo X/Discord do próprio projeto, e exigem segurar um token específico ou completar uma ação específica on-chain. Nada nesse workflow exige que o projeto saiba seu endereço físico.
• QR codes em correspondência não solicitada são phishing. Mesmo modelo de ameaça que links de email — o QR resolve para uma URL que o atacante controla.
• Wallet-connect de URL desconhecida é a armadilha. Uma vez que um site malicioso tem a sessão da sua carteira, cada prompt de assinatura é a escolha do atacante.
• "Assinaturas de verificação" são a carga útil universal do golpe. Protocolos reais nunca precisam que você assine uma "verificação" — eles verificam checando quais endereços já têm quais tokens.

Se você assinou

Vá em revoke.cash imediatamente e revogue toda aprovação a contratos não-mainstream. Mova todo NFT e token de alto valor para uma carteira fresca sua. O atacante pode não ter sido rápido o suficiente — a maioria dos ataques acontece em 5–15 minutos da assinatura, então se passou mais de uma hora, confira a carteira antes de entrar em pânico.

O que faço com esses cartões

Picoto. O endereço agora é conhecido do golpista, e "nenhuma resposta" em si é informação — diz a eles que você é cético, e podem tentar uma abordagem mais sofisticada depois. Mas o QR code no cartão é lixo não acionável.