O recente incidente de phishing $50M USDT ligado a endereços Ethereum semelhantes é um lembrete claro de como pequenas decisões de UX podem ter consequências financeiras enormes. Neste caso, a truncagem de endereços de carteiras, mostrando apenas os primeiros e últimos caracteres, facilitou que atacantes explorassem a confiança humana e o reconhecimento de padrões. Quando dois endereços parecem quase idênticos à primeira vista, os utilizadores muitas vezes assumem que estão a enviar fundos para o destino correto. Este incidente levou, com razão, a comunidade Ethereum a instar os fornecedores de carteiras a repensar a forma como os endereços são exibidos e verificados.

A nível pessoal, acredito que verificar o endereço completo deve ser um hábito inquestionável, especialmente para transações de grande valor. Embora compreenda que longas cadeias hexadecimais sejam difíceis de ler e comparar, confiar apenas em visualizações truncadas ou na semelhança visual é arriscado. Os atacantes sabem disso e geram deliberadamente endereços “vanity” ou semelhantes que imitam os confiáveis. Na minha opinião, a conveniência nunca deve sobrepor-se à segurança em sistemas financeiros—particularmente no crypto, onde as transações são irreversíveis.
Uma das questões centrais aqui é que os humanos não são bons a verificar manualmente cadeias longas, mas muitos designs de carteiras ainda colocam esse peso inteiramente sobre o utilizador. É aqui que ferramentas melhores podem fazer uma diferença real. As carteiras devem, por padrão, exibir endereços completos de forma legível, oferecer funcionalidades fáceis de copiar e comparar, e alertar ativamente os utilizadores quando um endereço se assemelhar demasiado a um que já usaram antes, mas não for uma correspondência exata. Mudanças simples na UX, como destacar caracteres diferentes, poderiam evitar perdas de milhões.
Do ponto de vista da prevenção, há várias camadas que devem trabalhar em conjunto. Primeiro, as proteções ao nível da carteira são essenciais: sem truncamento por padrão, indicações visuais fortes, alertas de semelhança de endereços e telas de confirmação de transação que incentivem uma revisão deliberada. Segundo, as práticas do utilizador são igualmente importantes. Recomendo fortemente fazer uma transação de teste pequena antes de transferir somas elevadas, marcar endereços verificados e nunca confiar em endereços copiados de chats ou redes sociais sem verificação independente.
Para além das carteiras e utilizadores, o ecossistema mais amplo também tem um papel a desempenhar. Padrões como o ENS (Ethereum Name Service) podem reduzir significativamente a dependência de endereços brutos, desde que os utilizadores compreendam como verificar a propriedade e a expiração do ENS. Exchanges, aplicações DeFi e emissores de stablecoins também devem investir mais em educação, explicando claramente técnicas comuns de phishing e reforçando hábitos seguros de transação.
Na minha opinião, a maior lição deste incidente é que a segurança no crypto é tanto uma questão de design e comportamento quanto de criptografia. Truncar endereços pode parecer inofensivo, mas na prática cria uma falsa sensação de certeza. Prevenir incidentes semelhantes requer uma mudança cultural em direção a fluxos de trabalho de transação mais lentos e intencionais, apoiados por carteiras mais inteligentes e utilizadores mais informados. Num ambiente onde um clique pode mover milhões de dólares, cautela não é paranoia; é profissionalismo.
‍#EthereumWarnsonAddressPoisoning