Anatomia do ataque hacker à baleia do Venus Protocol

No início desta semana, o investidor de criptomoedas Kuan Sun compartilhou em sua conta no X sua experiência detalhada ao ser alvo de um sofisticado ataque de phishing.

Essa história serve como um alerta severo para todos os investidores, já que ele perdeu e depois recuperou US$ 13,5 milhões. À medida que o ecossistema de ativos digitais se expande, também aumentam os riscos de ataques hackers. Como os investidores podem evitar perdas massivas?

Uma Reunião Aparente Inofensiva que se Tornou um Pesadelo

Um ataque de phishing na terça-feira roubou as criptomoedas de Kuan Sun, usuário da plataforma de empréstimos descentralizados Venus Protocol. No entanto, graças à resposta rápida e à cooperação da equipe do Venus Protocol, ele conseguiu recuperar os fundos roubados.

O ataque elaborado começou em abril de 2025, na Conferência Wanxiang em Hong Kong. Lá, um amigo em comum apresentou Sun a uma pessoa que afirmava ser representante de Desenvolvimento de Negócios da Stack na Ásia. Esse tipo de networking é comum no universo cripto, e eles se adicionaram no Telegram.

No dia 29 de agosto, o suposto “BD” solicitou uma simples reunião no Zoom. Sun entrou atrasado e percebeu que não havia som na sala.

Uma mensagem pop-up em sua página dizia: “Seu microfone precisa de uma atualização.” Confuso, Sun clicou no botão de atualização — um erro fatal que armou a armadilha.

Sun percebeu depois que os hackers não estavam agindo por impulso. Ele disse que o ataque altamente personalizado estava em andamento desde segunda-feira, tendo ele como alvo específico.

Após a “atualização”, ele começou a ver mensagens estranhas em seu computador. O navegador Chrome fechava de forma anormal e uma mensagem “Restaurar abas?” aparecia.

Sem desconfiar de nada, Sun continuou sua rotina e acessou o Venus Protocol pelo navegador. Lá, ele realizou um saque, tarefa que já havia feito inúmeras vezes antes.

Pouco depois, seu computador ficou lento, sua conta do Google foi desconectada do Chrome e transações estranhas e desconhecidas apareceram em sua carteira. Ele imediatamente percebeu que algo estava muito errado.

A análise sugere que os hackers substituíram a extensão da carteira Rabby, frequentemente usada por ele, por um programa malicioso. Essa tática é frequentemente utilizada pelo Lazarus, o notório grupo hacker norte-coreano.

Após obter autoridade de aprovação da carteira, eles rapidamente transferiram vários tokens, incluindo vUSDC, vETH, vWBETH e vBNB.

Recuperação Rápida e Lições Importantes

Sun agiu rapidamente, entrando em contato com as empresas de segurança blockchain Peckshield e Slowmist para orientação. Ele também procurou a equipe do Venus Protocol para pedir ajuda.

Como resultado, o Venus Protocol imediatamente pausou a plataforma como medida preventiva e iniciou uma investigação.

Em seguida, eles iniciaram uma votação de governança de emergência para liquidar à força a carteira do invasor, permitindo que Sun recuperasse com sucesso seus US$ 13,5 milhões.

Na quinta-feira, Sun compartilhou sua história e os principais aprendizados. Ele alertou que hackers norte-coreanos estão usando cada vez mais uma combinação de engenharia social, deepfakes e trojans.

Assim, o que parece ser uma videoconferência legítima ou uma conta normal no Twitter pode ser totalmente falso.

Ele aconselhou especificamente os usuários a evitarem links do Zoom enviados por outras pessoas e a baixarem plugins de programas apenas de canais oficiais. Também recomendou nunca clicar em links de “atualização” que aparecem em janelas pop-up.

Sun expressou sua gratidão à equipe do Venus pela ação rápida em evitar danos maiores. Ele pediu a todos que “sempre desconfiem de qualquer solicitação recebida no dia a dia e sempre respondam com calma.”