Para muitos que já se aventuraram no universo das criptomoedas, abordagens em mensagens diretas no Telegram oferecendo oportunidades de lucro conjunto são comuns. No meu caso, eram recorrentes. Inicialmente, pareciam esquemas tão rudimentares de fraude, algo entre um "sou rei do Zimbábue e quero te enviar dinheiro" e um "clique e veja se você está nesta foto", que eu nem sequer os lia até o fim.
Desta vez, porém, decidi ler. Optei por seguir o jogo até o final para entender a natureza exata do golpe. Estava confiante de que encontraria um simples esquema de phishing – um formulário para inserir a seed phrase e pronto. Estava enganado. Por trás de uma fachada simplória, escondia-se um drenador funcional – um programa capaz de esvaziar uma carteira completamente –, um cluster de 12 domínios e um prejuízo de seis dígitos visível diretamente na blockchain. A seguir, detalho como tudo se desenrolou.
O Início da Abordagem
O golpe começou de maneira clássica. Perguntas formais sobre minha experiência com criptomoedas, conhecimento sobre staking e pools de liquidez. Minhas respostas eram breves. Em seguida, veio uma longa explicação sobre um programa de parceria que, supostamente, nos permitiria lucrar juntos.
Solicitei mais detalhes e recebi um vídeo curto: uma interface falsa da Binance.US.
É preciso admitir que a execução foi bem feita. Uma interface falsa da Binance.US, seção "On-Chain Yields", com rendimentos, uma janela pop-up de ativação e um saldo de 5.9 BTC. O narrador do vídeo rivaliza com os melhores comentaristas esportivos.
Mas como o nosso "cripto-Kusturica" produziu essa obra-prima cinematográfica? Na barra de endereços, honestamente, exibia binance.us – e isso não era edição: a barra é real, renderizada pelo próprio navegador, como verifiquei quadro a quadro. Quanto a como o golpista conseguiu isso, é minha suposição: provavelmente, ele redirecionou o binance.us para um clone em sua própria máquina. Ele alterou o endereço IP ao qual o domínio resolvia e utilizou um certificado autoassinado, confiável por sua própria máquina (razão pela qual o navegador não exibe o aviso de cadeado). As diferentes rotas na barra de endereços indicam a navegação entre seções da página, sem recarregar, mantendo o domínio inalterado. O "painel" em si é um aplicativo drenador funcional, não uma imagem estática. Se houver especialistas nesta área, por favor, compartilhem nos comentários, é algo que me interessa. O vídeo, aliás, é realmente impressionante, recomendo.
Voltando à conversa. Na época, não consegui assistir ao vídeo completo, pois estava ocupado. E o "embaixador da Binance" já estava pressionando, demonstrando uma habilidade de vendas empática notável – eu gostaria de ter vendedores assim no meu trabalho. Percebendo minhas hesitações, ele estava disposto a reduzir o limite de entrada para os US$ 100 que eu considerava aceitáveis. Ele mencionou que, na verdade, todos os seus clientes investem tudo o que têm.
A Isca: O E-mail
Após meu consentimento, ele formalizou um contrato e enviou um link "da Binance". O e-mail chegou em um Gmail e parecia legítimo.
O e-mail, visto na caixa de entrada: o assunto e o "remetente" eram idênticos aos da Binance real.
E-mail aberto: uma oferta falsa de DeFi Staking.
O assunto era "Binance US DeFi Staking Contract Confirmation", e o remetente, do-not-reply@post.binance.com. Um caso clássico de spoofing, como os cabeçalhos do e-mail demonstram. O e-mail foi enviado de um servidor do próprio golpista – bsc-mail.com (IP 155.117.117.49, hospedado pela FreakHosting; o mesmo prefixo "bsc-" de seus sites), e o campo From simplesmente continha a Binance. O SPF estava em softfail, o DKIM em pass, mas assinado pelo domínio bsc-mail.com, não pela Binance: um "check" cosmético para enganar uma olhada rápida. O veredito do Google foi dmarc=fail. E, ainda assim, o e-mail foi entregue: o subdomínio post.binance.com possui uma política DMARC de p=none, o que significa que, ao detectar a falsificação, o sistema de e-mail não toma nenhuma ação conforme instruído pelo domínio – a falsificação chega tranquilamente à caixa de entrada... e voilà (enquanto escrevia isso, lembrei da música "Voilà" de Barbara Pravi). Realmente, um sujeito astuto.
O mais sutil no e-mail eram os links. Quase todos levavam ao binance.us real: ajuda, tarifas, página legal. Todos, exceto um – o link do botão de staking. Ele levava a um link intermediário:
https://binanc.email/click?em=<email-da-vitima>&do=binance-group.com&hs=<hash-do-clique>&re=<id-do-destinatario>&ts=<timestamp>&action=direct
binanc.email – um link contador de um kit pronto para disparos de e-mail. Com base no fingerprint do navegador, ele decide para onde direcionar: para um humano, para o drenador binance-group.com; para um scanner ou bot, para o binance.us real. Essa é a mesma camuflagem, um comportamento diferente para bots e para pessoas, que faz com que o e-mail e o domínio pareçam limpos. No e-mail, está toda a receita passo a passo: deposite BNB "para comissão", adicione pelo menos 100 USDT à carteira e "assine o contrato inteligente". A centena aqui não é o que será roubado – é apenas um limite de entrada baixo para não assustar (os "apenas 100 dólares" com os quais atraíram). O "contrato" é, na verdade, uma aprovação (approve), e após a assinatura, o operador retira todo o saldo, não apenas a centena. O e-mail até promete "não mais que 3000 USDT por usuário" – outra mentira: o approve não tem limite, e vítimas maiores perderam entre US$ 100 mil e US$ 164 mil.
O Que Há Por Trás do Link: Como O Roubo Acontece
Por trás desse link intermediário, encontra-se a janela usual de conexão de carteira, o "Connect Wallet" / WalletConnect que qualquer site DeFi exibe. Por baixo dos panos, está o kit Reown AppKit (anteriormente Web3Modal); o próprio WalletConnect não desapareceu, é o protocolo de conexão que o usuário vê. Conectei uma carteira descartável e vazia e capturei o tráfego.
Captura em tempo real: conexão de carteira e solicitação de data.walletAddress.
A mecânica é simples. Nenhum hack de carteira ou falha na biblioteca: a vítima assina a operação sem entender o que está assinando. Os passos são:
- O operador (
0x93773F84c4378f6f32c7928cde1c1cb98239FbDa) recebe a conexão da carteira da vítima. - A vítima assina um
approve(operador, quantia gigantesca)– sob o pretexto de "confirmar staking". A quantia é astronômica, efetivamente um limite sem restrições. - O mesmo operador executa
transferFrom(vítima → coletor). A vítima não assina esta transação nem paga o gás por ela. - O saldo é transferido para um endereço coletor; o gás é pago pelo operador.
Ao examinar a transação de transferência, verifica-se a chamada transferFrom – "retirar de um endereço de terceiros mediante permissão prévia emitida", e não transfer. O remetente é o endereço do operador 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa, a quem a vítima previamente concedeu permissão approve: ele é o spender autorizado a retirar. O endereço da vítima aparece apenas como parâmetro "de onde retirar". Ou seja, o operador retirou com base em uma permissão prévia – a vítima não assinou a transação nem pagou por ela. E a permissão ainda está ativa: o saldo restante de allowance no endereço da vítima é de aproximadamente 10^60 em unidades brutas do token. Este é um número gigantesco, efetivamente sem limite (maior do que todos os USDT existentes), e não exatamente uint256.max, mas uma soma específica e enorme. O operador pode retirar qualquer USDT que ainda chegue à vítima.
O endereço do destinatário não é mantido aberto pelo site; ele é recebido do servidor em uma solicitação separada (data.walletAddress), criptografado com AES-256-CBC. Isso não é proteção, mas ofuscação decorativa: a chave e o vetor de inicialização estão próximos, em variáveis abertas NEXT_PUBLIC – a chave da fechadura está pendurada na própria fechadura. A criptografia não é para esconder da vítima (o endereço ainda é visível na transação), mas para evitar que o destinatário apareça no código-fonte da página e seja capturado por scanners automáticos e listas de bloqueio que vasculham estáticas. Peguei a chave, descriptografei e obtive o endereço – 0x28d8660E65282F7C86c9CA13C24A77b7F7046979. Ele é alterado regularmente no lado do servidor: no momento da análise, continha cerca de 0.019 BNB e zero USDT; o dinheiro é imediatamente repassado. Se você busca um contexto geral sobre drenadores, o Xakep tem uma boa análise da mecânica (link para crypto-drainers). Aqui, apresentamos um caso específico e recente com números.
O Cluster: Domínios e Hospedagem
O drenador não opera em um único domínio. Toda a família está conectada por uma impressão digital – uma solicitação de serviço data.walletAddress, que só é carregada na página deste drenador. Com base nela, foram identificados 11 domínios drenadores e um domínio intermediário.
| Domínio | Papel | Registrado em | Servidor Real atrás do Cloudflare |
|---|---|---|---|
binance-group.com | drenador alvo | 2025-12-02 | oculto |
staking-binance-us.com | drenador | 2025-12-17 | 144.124.255.36 - VDSINA, Amsterdã/NL |
binance-stakingv199.com | drenador, onda inicial | 2025-07-16 | 185.216.68.40 - AlexHost, Chisinau/MD |
bnb-staking.us | drenador | 2025-12-05 | oculto |
bsc-staking.us | drenador | 2025-12-05 | 2.56.212.61 - MVPS, NL |
bsc-us-center.org | drenador | 2025-11-06 | oculto |
bsc-contract.com | drenador | 2025-12-05 | oculto |
demo-binance-group.com | espelho de teste | 2026-01-26 | oculto |
demo-staking-binance-us.com | espelho de teste | 2026-01-26 | oculto |
bnb-demo-staking.us | espelho de teste | 2026-01-22 | oculto |
bsc-demo-contract.com | espelho de teste | 2026-01-22 | oculto |
binanc.email | intermediário (não drenador) | 2026-05-28 | oculto |
Hospedagem. A maioria dos domínios está oculta atrás do Cloudflare. O servidor real está exposto em três deles, e cada um desses servidores hospeda exatamente um domínio ativo. Os nomes dos provedores de hospedagem aqui indicam apenas a localização física dos servidores, não seu envolvimento.
Registrador. Como visto na coluna "Registrado em": 11 dos 12 domínios foram registrados através da GoDaddy, com uma única exceção – staking-binance-us.com (Registrar.eu). E este é o registrador, não o serviço de hospedagem: os servidores reais estão localizados em VDSINA/AlexHost/MVPS. As datas formam uma linha do tempo – desde o protótipo binance-stakingv199.com (verão de 2025) através da onda principal (final de 2025) até o redirecionador binanc.email (maio de 2026). Inclui-se aqui também o servidor de e-mail bsc-mail.com (IP 155.117.117.49, FreakHosting): o mesmo registro GoDaddy e o mesmo prefixo "bsc-", indicando que os e-mails e os sites drenadores são operados pela mesma entidade.
Estrutura. Para cada domínio ativo, foi criado um espelho de teste (o par bsc-contract.com / bsc-demo-contract.com). Os nomes variam de binance-* para bsc-* e bnb-*.
Verifiquei domínios com nomes semelhantes (como binance-presale.com, binancegroup.com, entre outros) e não os incluí no cluster: eles estavam vazios, em estacionamento ou à venda. Há exatamente 12 domínios comprovados.
O Dinheiro: Quanto e Para Onde
Determinar a quantia exata e o número de vítimas é complexo: o dinheiro roubado é misturado com o processo de lavagem, passado por uma cadeia de endereços, e a fraude pura não pode ser separada da movimentação em dados abertos. Portanto, apresentamos um intervalo, calculado na blockchain através do Bitquery, com verificação direta das transações.
Pelo menos US$ 784 mil foram roubados de cerca de 70 carteiras de vítimas – este é o limite inferior: a soma direta dos endereços que apenas enviaram fundos e não receberam nada de volta. Observação sobre a contagem: na exportação on-chain, há formalmente 429 endereços "remetentes", mas 355 deles são endereços de "envenenamento": transferências de centavos de endereços vanity falsificados, totalizando 11 centavos para todos. Estes não são vítimas. Existem cerca de 70 carteiras reais, e nelas se concentra todo o valor de US$ 784 mil. A soma é estável: seja contando apenas as grandes, acima de US$ 1000 (39 carteiras, US$ 778 mil), seja todas a partir de US$ 1 (70 carteiras, US$ 784 mil) – a ordem de magnitude é a mesma.
Mais de US$ 2,5 milhões passaram pela rede de endereços coletores, mas isso inclui a lavagem. Parte do dinheiro é devolvida às próprias vítimas como "lucro", para que depositem mais – isso é conhecido como pig butchering, "engordar o porco": à vítima é mostrado um lucro crescente e pequenas retiradas são feitas, até que ela invista tudo, e então tudo é retirado de uma vez. Uma rede semelhante de mineração DeFi falsa com o mesmo allowance infinito foi analisada pela Sophos.
Os maiores roubos individuais foram de US$ 100 mil a US$ 164 mil, comprovados nominalmente, com hashes de transação. Aqui está um, exatamente de US$ 100 mil:
Transferência de 100k USDT.
Na linha inferior, "BEP-20 Tokens Transferred", vemos o principal: 100.001 USDT saem do endereço da vítima para o endereço coletor, e o remetente da transação é o operador 0x93773F84c4378f6f32c7928cde1c1cb98239FbDa, não a vítima. O hash da transação é 0xb13f30baf88f0dc0926cbce35cc4a620fc93a759948784f2d985957ff100ad73, qualquer um pode abrir e verificar. A vítima concedeu approve, e o operador retirou com base nisso. Para não ficar em um único exemplo, aqui estão mais duas transferências pelo mesmo operador e pelo mesmo método:
0xd130c6cbf208a1ff925edb758ef4ca46ca162873dfcaf5f7ad5fad88418d02ac (102.617 USDT) e 0x43c74d624e54bbdbf0bb73ccd924a55bbe88392b5821b38309b6647c5149abca (79.050 USDT). Todos os três podem ser abertos no BscScan e verificados.
Em seguida, o dinheiro se acumula em coletores, de lá para um nó de agregação e se dissolve em uma carteira de câmbio:
Carteira de câmbio onde o dinheiro se acumula.
0x0defbb1b77a65e3bdf2b6e3b0ca644183e48f9b8 – aqui o rastro se perde. Importante: esta não é a carteira do drenador nem sua posse. Parece ser um endereço de transição de um instant swap ou exchange – o grande saldo e o fluxo visíveis na captura de tela são sua própria movimentação de fundos de terceiros, entre os quais o dinheiro do drenador se dissolve. Quanto exatamente se acumulou aqui a partir deste esquema, não é possível determinar com dados abertos.
E esta é, provavelmente, apenas a parte visível. Para além disso, os dados abertos esfriam, e eu não investiguei mais a fundo.
Por Que os Antivírus Permanecem em Silêncio
Executei o domínio em todas as ferramentas disponíveis. VirusTotal – 0 de 91, nenhum dos motores marca o domínio como perigoso. Google Safe Browsing – limpo. ANY.RUN em sandbox retornou o veredito "No threats detected".
A explicação é simples. O scanner recebe no domínio não o drenador, mas um placeholder: um redirecionamento para o binance.us real ou uma tela de "Recarregue para prosseguir". O código real só é ativado quando um humano com uma carteira interage; o bot não o vê. A sandbox, que detecta a maioria das ameaças em um minuto, não encontrou nada no drenador com um prejuízo de seis dígitos.
Daí a conclusão prática: um VirusTotal limpo não garante nada. Um phishing recente atrás do Cloudflare, que consegue distinguir um humano de uma verificação automática, passa pelos scanners sem ser detectado – é para isso que ele foi projetado.
Para Que Tudo Isso?
Não enviei reclamações sobre o bloqueio – para poder mostrar toda a arquitetura e os domínios do drenador por completo. Uma denúncia, de qualquer forma, não mudaria nada: o operador criaria um novo domínio da mesma série "bsc-" em um dia, e a análise ficaria sem a parte prática.
Portanto, se um embaixador educado lhe escrever por mensagem direta com um vídeo e um limite de entrada de 100 dólares – pelo menos você saberá o que está por baixo do capô.
