Minha Carteira Foi Drenada: Passos de Emergência para Limitar os Danos

— By Tony Rabbit in Tutorials

Minha Carteira Foi Drenada: Passos de Emergência para Limitar os Danos

Sua carteira foi drenada e você não sabe o que fazer? Aqui está a resposta exata de emergência: identifique a aprovação maliciosa, revogue as permissões ativas em todas as cadeias, resgate os ativos sobreviventes antes dos bots de varredura e abandone a seed para sempre.

Se sua carteira foi drenada e você está se perguntando o que fazer, uma carteira drenada significa que um invasor usou uma aprovação de token maliciosa, uma assinatura permit, ou sua seed phrase vazada para mover seus ativos sem seu consentimento. O tempo é crucial: a diferença entre perder tudo e salvar parte de seus bens é geralmente medida em minutos. Este guia descreve a resposta de emergência em ordem, desde os primeiros dez minutos até a decisão do que é realisticamente recuperável. Trabalhe rápido, mas siga a sequência, porque o movimento errado, como enviar gas para uma carteira envenenada, pode entregar o resto dos seus fundos diretamente a um bot.

Principais Pontos

  • Revogar uma aprovação não é suficiente se uma assinatura permit ou uma aprovação de segunda cadeia ainda estiver ativa.
  • Mova os ativos sobreviventes para uma carteira totalmente nova antes que os bots de varredura reajam ao gas recebido.
  • Uma seed phrase comprometida está morta para sempre; nunca a reutilize em nenhuma cadeia ou conta.
  • Financiar uma carteira drenada com gas é frequentemente interceptado, então nunca a recarregue.

Primeiros 10 minutos: identifique o que causou a drenagem

Antes de clicar em qualquer coisa, encontre a transação que esvaziou sua carteira. Abra um explorador de blocos para a cadeia afetada, cole seu endereço e observe as transferências de saída mais recentes. Você está tentando aprender o mecanismo, porque o mecanismo decide o que ainda é perigoso. As causas comuns são um approve de token que você assinou para um site falso, uma assinatura Permit ou Permit2 sem gas que não precisa de transação on-chain para autorizar uma transferência, ou comprometimento total da seed onde o invasor simplesmente tem suas chaves.

Verifique se a saída foi uma única varredura ou um fluxo de transferências entre tokens. Se apenas tokens ERC-20 saíram, mas sua moeda nativa permanece, você provavelmente está lidando com um exploit de aprovação ou permit, em vez de uma seed roubada. Se tudo, incluindo o saldo nativo, desapareceu, assuma que a própria seed está comprometida. Anote o endereço do drainer e os hashes exatos das transações agora, porque você precisará deles mais tarde para revogar e rastrear. Para uma lista de verificação mais ampla de ações imediatas, nosso guia de passos imediatos para recuperação de carteira de criptomoedas é um companheiro útil para esta página.

Revogue as permissões restantes em todas as cadeias

Os drainers raramente usam apenas uma aprovação. Eles frequentemente mantêm múltiplas permissões ativas e, cada vez mais, uma assinatura permit off-chain que pode autorizar uma transferência no momento em que um novo valor chega. Conecte uma ferramenta de revogação, ou melhor, uma carteira que você NÃO comprometeu, e revise todas as permissões ativas. Revogue os contratos de gasto maliciosos e revogue qualquer permissão definida para o valor máximo (ilimitado), mesmo aquelas que você não reconhece.

O erro crítico é parar em uma única cadeia. O mesmo endereço existe em Ethereum, Arbitrum, Base, Polygon, BNB Chain e mais, e um invasor que o enganou uma vez pode ter plantado aprovações em várias delas. Percorra cada rede onde você já manteve ativos. Esteja ciente de que revogar um approve on-chain NÃO cancela um permit assinado; um permit vive off-chain até ser usado, então a única defesa real é remover o saldo subjacente que o permit poderia tocar. Nosso guia passo a passo sobre como revogar aprovações de token cobre a mecânica exata por cadeia.

Mecanismo de drenagemRevogar a aprovação impede isso?O que realmente te protege
Aprovação de token on-chainSim, para aquele token e gastadorRevogue em todas as cadeias que você usou
Assinatura Permit / Permit2Não, a assinatura é off-chainMova os saldos para fora para que não haja nada a ser levado
Seed phrase roubadaNão, o invasor detém as chavesAbandone a carteira inteiramente

Resgate ativos não drenados para uma nova carteira

Se algo sobreviveu, retire-o antes que os bots de varredura automatizados reajam. Primeiro, crie uma carteira totalmente nova com uma seed phrase totalmente nova em um dispositivo limpo. Não a derive da seed comprometida e não reutilize um backup antigo. Envie os ativos sobreviventes, NFTs, posições staked e qualquer liquidez para este novo endereço.

A armadilha aqui é o gas. Uma carteira drenada pode não ter moeda nativa restante para pagar as taxas de transação, e seu instinto é enviar um pouco de gas. Em uma carteira com seed comprometida, esse gas recebido é quase sempre varrido em segundos por um bot que monitora o endereço, então você financia o invasor em vez de si mesmo. Se a seed estiver comprometida, não envie gas de forma alguma; a carteira é uma perda. Se apenas uma aprovação foi abusada e suas chaves ainda são secretas, você pode financiar gas, mas transfira os ativos de maior valor primeiro e aja em uma única sessão ininterrupta.

Por que uma seed comprometida deve ser abandonada permanentemente

Uma seed phrase é a chave mestra para cada conta e cadeia que ela pode derivar. Uma vez que ela tenha tocado um site malicioso, um aplicativo de carteira falso ou um prompt de phishing que a capturou, você deve tratá-la como conhecimento público para sempre. Não há como girar, limpar ou confiar parcialmente em uma seed vazada. Os invasores programam seus bots para monitorar endereços conhecidos como comprometidos indefinidamente, então, mesmo meses depois, qualquer valor que apareça pode ser drenado instantaneamente.

É por isso que mover fundos dentro da mesma carteira, ou para outra conta derivada da mesma seed, não resolve nada: o invasor também deriva essas contas. O único caminho seguro é uma seed nova gerada offline em um dispositivo limpo, idealmente uma hardware wallet. Se você quiser entender como esses fluxos de captura funcionam em primeiro lugar, veja nossa explicação sobre o que é um wallet drainer e a análise mais aprofundada de ataques de wallet drainer e como reconhecê-los.

Rastreando o endereço do drainer para denúncia

Você documentou o endereço do drainer na etapa um. Agora siga-o. Cole o endereço em um explorador de blocos e observe para onde os fundos roubados fluem. Os drainers geralmente roteiam os ativos através de uma carteira de consolidação, depois para um mixer ou um endereço de depósito de exchange centralizada. Se os fundos chegarem a uma exchange, esse endereço de depósito é a pista mais forte, porque um local regulamentado pode congelá-lo se a aplicação da lei agir rapidamente.

Registre a cadeia, o endereço do drainer, os saltos de consolidação, cada hash de transação, carimbos de data/hora e o valor aproximado em USD perdido. Denuncie ao canal de abuso da exchange relevante, à sua autoridade local de crimes cibernéticos e aos bancos de dados de denúncias de wallet-drainer que sinalizam endereços maliciosos. Expectativas realistas importam: o rastreamento raramente retorna seus fundos, mas constrói um rastro de evidências, ajuda a congelar depósitos em exchanges e protege a próxima vítima ao ter o endereço na lista negra.

O que é e o que não é recuperável

Seja honesto consigo mesmo sobre os resultados. As transações on-chain são finais, então os ativos já movidos pelo invasor se foram, a menos que estejam em uma conta de exchange que seja congelada. O que você ainda pode salvar é tudo o que o drainer AINDA NÃO tocou, e é exatamente por isso que a velocidade na etapa de resgate é tão importante. Seguros, reembolsos ou "serviços de recuperação" que prometem reverter uma transferência de blockchain são quase sempre golpes que o drenam uma segunda vez, então nunca pague uma taxa inicial para recuperar cripto roubado.

A lição duradoura é a prevenção. Após a emergência, fortaleça sua configuração com uma hardware wallet, uma burner wallet dedicada para aprovações arriscadas e higiene de permissões de rotina. Nosso guia sobre como proteger cripto de hackers apresenta as defesas de longo prazo para que uma única assinatura ruim nunca mais esvazie sua carteira principal.

Este artigo é apenas para fins educacionais e não constitui aconselhamento financeiro.