Case Intake · Open 24/7
Machine translation. Professional review pending.
Home / Glossary
§ — · Glossary

Crypto-fraud terms,
defined plainly.

25 terms victims, investigators, and curious readers run into across crypto-recovery work. One-sentence definition first, context underneath. Every term has a permanent anchor link, so /glossary/#pig-butchering (and the others) point at the same definition forever.

A

Address poisoning

# address-poisoning
Um golpe direcionado a carteiras que insere no histórico de transações da vítima um endereço falso, que imita os primeiros e os últimos caracteres de um endereço usado recentemente por ela, na expectativa de que ela copie e cole o endereço errado em um envio futuro.
O atacante envia uma transação minúscula (muitas vezes de valor zero) a partir de uma carteira recém-criada, cujo endereço começa e termina com os mesmos caracteres de uma contraparte legítima para a qual a vítima envia fundos com regularidade. O endereço falso passa, então, a aparecer no histórico da carteira da vítima. Na próxima vez que a vítima copiar um endereço do histórico, em vez de copiá-lo da contraparte real, ela pode copiar o endereço sósia e enviar os fundos ao atacante. Verifique sempre o endereço completo, e não apenas os primeiros e últimos caracteres.

Approval phishing

# approval-phishing
Also: malicious approval · token approval phishing
Um ataque de wallet em que a vítima assina uma transação `setApprovalForAll` ou um `approve` ilimitado em um dApp falsificado, concedendo ao contrato do atacante permissão para mover tokens específicos para fora da wallet a qualquer momento futuro.
A assinatura parece rotineira e a vítima presume que está aprovando uma única negociação ou mint. Na realidade, ela está dando a um contrato controlado pelo atacante autoridade contínua para transferir tokens da wallet. O esvaziamento pode acontecer segundos depois ou semanas depois, muitas vezes após a vítima já ter esquecido a aprovação. Defesa: inspecione cada assinatura em busca de chamadas `approve` / `setApprovalForAll`, prefira assinaturas de uso único sempre que possível e audite e revogue periodicamente as aprovações ativas pelo Revoke.cash ou pelo próprio gerenciador de aprovações da wallet.

Atribuição de bridge

# bridge-attribution
A técnica forense de rastrear fundos roubados através de uma bridge cross-chain ao cruzar o depósito on-chain na rede de origem com o saque correspondente na rede de destino, apesar de as identidades das wallets serem diferentes.
Os operadores rotineiramente movem fundos roubados por meio de bridges (THORChain, LayerZero, Wormhole, Stargate) para obscurecer o rastro e para converter entre redes que a infraestrutura de lavagem favorece. A atribuição de bridge mapeia a transação de depósito de origem ao seu espelho na rede de destino ao cruzar horário do bloco, valor e registros de eventos do contrato da bridge. É assim que um rastreamento continua de Bitcoin para Ethereum e para Solana sem perder o fio.
C

Carteira multi-sig

# multi-sig-wallet
Uma carteira que exige assinaturas de várias chaves privadas (por exemplo, 2 de 3 ou 3 de 5) para autorizar qualquer transação de saída, o que significa que uma única chave comprometida não consegue esvaziar a carteira.
A configuração multi-sig é o padrão para a custódia institucional de criptomoedas e para indivíduos que mantêm saldos elevados. Implementações comuns: Gnosis Safe (redes EVM), Casa e Unchained (Bitcoin). Compensação: o multi-sig reduz drasticamente o risco de ponto único de falha, mas acrescenta atrito a cada transação e depende do armazenamento seguro de várias chaves, o que por si só se torna o problema de segurança.

CEX vs DEX

# cex-vs-dex
Uma corretora centralizada (CEX) faz a custódia dos fundos dos usuários e opera sob autoridade regulatória; uma corretora descentralizada (DEX) é um contrato inteligente que troca tokens diretamente entre wallets, sem custodiante e sem equipe de compliance para a qual escalar uma denúncia de fraude.
A distinção importa para a recuperação: fundos roubados que chegam a uma CEX às vezes podem ser congelados via escalonamento de compliance, porque a corretora controla os fundos e responde a um regulador. Fundos que se movem apenas por trocas em DEX não podem ser congelados, pois não há operador para o qual escalar, apenas um contrato inteligente imutável. O trabalho de recuperação, portanto, prioriza identificar pontos de depósito em CEX na trilha de lavagem; uma vez que os fundos voltam a entrar no ecossistema da CEX, o escalonamento torna-se possível novamente.

CoinJoin

# coinjoin
Uma técnica de privacidade em que vários usuários de Bitcoin combinam suas transações em uma única transação com múltiplas entradas e múltiplas saídas, de modo que um observador externo não consiga identificar qual entrada corresponde a qual saída.
O CoinJoin não é, por si só, uma ferramenta de fraude: usuários preocupados com privacidade o utilizam de forma legítima, mas os operadores recorrem a ele rotineiramente para romper o rastro on-chain entre os fundos roubados e a wallet onde eles acabam parando. Os conjuntos de saídas de um CoinJoin podem, em alguns casos, ser desmesclados por meio de heurísticas estatísticas (análise de padrões de CoinJoin), mas a taxa de sucesso depende do tamanho da mistura e da paciência do analista. Wasabi Wallet e Whirlpool são as duas implementações mais comuns.
See also: mixer · demixing · peel chain

Cold wallet vs hot wallet

# cold-wallet-hot-wallet
Uma cold wallet armazena a chave privada offline (dispositivo de hardware ou papel); uma hot wallet a armazena em software conectado à internet. A cold wallet é materialmente mais segura contra a maioria dos ataques de drenagem de wallet e de phishing.
A distinção entre hot e cold diz respeito à superfície de ataque. As hot wallets assinam transações automaticamente quando você clica em um dApp, o que é conveniente, mas expõe você a solicitações de assinatura maliciosas e a malware de substituição de área de transferência. As cold wallets exigem confirmação física no dispositivo para cada assinatura, o que frustra a maioria das tentativas de phishing de aprovação e de envenenamento de endereço. Para quantias relevantes, a recomendação padrão é o armazenamento em cold wallet, mantendo uma hot wallet apenas para pequenos saldos operacionais.

Compliance hold (vs withdrawal-block extortion)

# compliance-hold
Uma retenção de compliance legítima é um congelamento de fundos determinado por regulador em uma exchange durante a análise de AML/KYC, descontado do saldo já existente e sem exigir nenhum pagamento por parte do usuário; já a extorsão por bloqueio de saque é uma retenção falsa que exige que o usuário pague uma taxa adicional antes de qualquer liberação.
Retenções de compliance reais: estão documentadas nos termos da exchange, são comunicadas por mensagens dentro da própria plataforma, enviadas pela equipe de compliance identificada, e nunca exigem que o usuário transfira dinheiro novo. Extorsão por bloqueio de saque: inventada na hora ("taxa de regularização tributária", "depósito antilavagem de dinheiro", "pagamento para upgrade de nível"), exige novos recursos e gera um novo pedido de taxa após cada pagamento. Qualquer processo de "compliance" que exija que você deposite mais é a variante de extorsão, por mais oficial que pareça a linguagem usada.
D

Demixing

# demixing
A análise forense on-chain que tenta reconstruir quais entradas de CoinJoin correspondem a quais saídas, restaurando o vínculo entre remetente e destinatário que a mistura foi projetada para ocultar.
O demixing utiliza uma combinação de análise de tempo, análise de valores, heurísticas de agrupamento de endereços e assinaturas de padrões específicas do Wasabi/Whirlpool. É probabilístico, não determinístico: um demix bem-sucedido retorna um conjunto de vínculos prováveis ponderados por confiança, em vez de uma resposta única. Fundos que passam especificamente pelo Tornado Cash são muito mais difíceis de submeter a demixing do que aqueles processados por protocolos CoinJoin, razão pela qual fundos roteados pelo Tornado costumam ser o limite realista de recuperação.
See also: coinjoin · mixer

Drainer-as-a-service (DaaS)

# drainer-as-a-service
Also: DaaS · wallet drainer kit
Um modelo de assinatura em que uma equipe de desenvolvimento cria e mantém um contrato inteligente de drenagem de wallet e um painel administrativo, e então o aluga para afiliados que operam os sites de phishing de front-end e dividem os lucros com os desenvolvedores.
O DaaS transformou as drenagens de wallet, antes um crime sob medida que exigia habilidade com contratos inteligentes, em um kit pronto para uso que qualquer phisher pode alugar. Os kits mais citados (Pink, Inferno, Angel, MS) respondem, em conjunto, por uma parcela substancial de todas as drenagens de wallet reportadas. Do lado da recuperação: os contratos de drenagem on-chain são reutilizados em centenas de campanhas, de modo que o agrupamento (clustering) de wallets ligadas a drenagens de DaaS costuma render evidências utilizáveis em maior volume do que o incidente individual aparenta justificar.

Dusting attack

# dusting-attack
Um ataque de privacidade no qual o atacante envia quantias minúsculas de criptomoeda para muitos endereços que deseja desanonimizar e, em seguida, observa se a poeira é gasta junto com as outras moedas do destinatário, confirmando que os endereços pertencem à mesma wallet.
Uma vez confirmado que dois endereços compartilham a mesma wallet, o atacante pode correlacionar a atividade da wallet com sinais de identidade off-chain (depósitos em exchanges conhecidas, menção em uma publicação pública, etc.) para desanonimizar o proprietário. O dusting raramente é o objetivo final; em geral, alimenta uma campanha subsequente de phishing ou extorsão direcionada ao proprietário identificado da wallet. Defesa: não gaste UTXOs recebidos como poeira de forma descuidada; muitas wallets agora permitem marcar e isolar a poeira suspeita recebida.
G

Golpe de recuperação

# recovery-scam
Also: second-stage scam
Um golpe que tem como alvo vítimas anteriores de fraude com criptomoedas, contatando-as sem solicitação prévia com ofertas de "recuperação" e exigindo pagamento sem nenhum escopo de trabalho por escrito, nunca entregando qualquer recuperação real e muitas vezes drenando dinheiro adicional ao longo de várias etapas.
Golpistas de recuperação coletam dados de contato de bancos de dados públicos de denúncias de golpes, postagens em redes sociais e fóruns sobre o tema de recuperação. Eles contatam as vítimas sem solicitação prévia, citam credenciais que não conseguem comprovar ("em parceria com o FBI", "autorizado pela FCA"), alegam já ter localizado os fundos e exigem uma "taxa de congelamento de ativos" ou "taxa de protocolo" sem entregas específicas e por escrito. Empresas legítimas de recuperação não fazem contato sem solicitação, avaliam o caso antes de cobrar e emitem um escopo de trabalho por escrito com um valor fixo de honorários que lista exatamente o que a taxa cobre. O IC3 do FBI alerta explicitamente sobre o padrão de contato sem solicitação somado a taxa sem escopo definido.

Golpe de saída em pool de liquidez

# liquidity-pool-exit-scam
Also: rug pull
Um golpe no qual os desenvolvedores de um token criam um pool de liquidez em uma DEX, atraem depósitos e então sacam toda a liquidez pareada de uma só vez, deixando os detentores com tokens sem valor que não podem ser vendidos.
A montagem se parece com o lançamento normal de um token DeFi: um novo token pareado contra ETH ou uma stablecoin em um pool no estilo Uniswap. Os desenvolvedores mantêm o controle dos tokens de LP (ou nunca os bloqueiam) e os retiram no pico de liquidez. Sinais de alerta comuns: equipe anônima, ausência de auditoria, período de bloqueio de liquidez inferior a 30 dias ou totalmente inexistente, carteiras de fundadores com alocações desproporcionais de tokens. A recuperação raramente é realista, pois os operadores eram anônimos desde o início e os fundos normalmente fluem direto para mixers.
M

Mixer (criptomoeda)

# mixer
Also: tumbler
Serviço ou contrato inteligente que agrupa criptomoedas de muitos depositantes e paga quantias equivalentes para endereços novos, rompendo o vínculo on-chain entre as wallets de origem e de destino.
O Tornado Cash (Ethereum) é o exemplo mais citado; Sinbad, ChipMixer e Wasabi/Whirlpool são equivalentes comuns no Bitcoin. Os mixers são amplamente utilizados por operadores de fraudes com criptomoedas para lavar fundos roubados, razão pela qual vários foram sancionados pela OFAC e por outros reguladores. A recuperação é muito mais difícil depois que os fundos entram em um verdadeiro mixer do que após passarem por uma exchange comum: no caso específico do Tornado Cash, a recuperação costuma ser impossível sem a cooperação do operador.
See also: demixing · coinjoin · peel chain
P

Pacote de evidências

# evidence-pack
O dossiê estruturado que uma empresa de investigações reúne para um caso de recuperação: rastreamento de hash de transação, análise de clusters de wallets, atribuição de contraparte, capturas de tela e comunicações de apoio, e uma recomendação de caminho de recuperação, organizado conforme o padrão que um regulador ou tribunal aceitará.
Um pacote de evidências defensável está ancorado em hashes de transação e alturas de bloco específicos: cada afirmação contida nele deve ser reproduzível a partir dos dados públicos da blockchain. Ele inclui os dados de origem (grafo bruto de transações), a interpretação do analista e a classificação de confiança atribuída a cada atribuição. A diferença fundamental entre uma empresa de recuperação real e um golpe de recuperação é se ela produz ou não um pacote de evidências: empresas reais produzem, golpistas oferecem garantias vagas.

Peel chain

# peel-chain
Um padrão de lavagem de dinheiro no qual uma grande quantidade de criptomoeda é movimentada por uma sequência de wallets, com uma pequena fração desviada para uma exchange ou ponto de saque a cada salto, enquanto o grosso do valor segue adiante.
As peel chains são projetadas para fragmentar uma única transação suspeita de grande valor em muitas transações pequenas que ficam abaixo dos limites de AML por depósito nas exchanges receptoras. Em geral, abrangem centenas de endereços intermediários e podem levar semanas para se completar. O desmonte de uma peel chain é uma técnica forense on-chain específica: cada "desvio" (peel) segue um padrão reconhecível (entrada grande, saída pequena para uma exchange, saída de troco grande que se torna a entrada seguinte) que permite ao analista rastrear o que, à primeira vista, parecem ser transações não relacionadas.

Permit2 phishing

# permit2-phishing
Uma variante de phishing que explora o padrão de assinatura `Permit2` da Uniswap, na qual a vítima assina uma mensagem off-chain que o atacante depois submete on-chain para drenar tokens aprovados, sem gas nem rastro on-chain até que o roubo de fato aconteça.
O Permit2 foi projetado para permitir que os usuários aprovem o gasto de tokens por meio de uma única assinatura, em vez de pagar gas por uma transação `approve` separada. A desvantagem: a assinatura off-chain fica invisível até que o atacante decida executá-la, o que torna mais difícil detectá-la ou revogá-la antes do roubo. As interfaces das wallets estão se atualizando ao interpretar as assinaturas Permit2 e mostrar o que elas autorizam, mas, em 2026, muitas wallets ainda exibem a assinatura como um "dado tipado EIP-712" opaco: leia com atenção cada caixa de diálogo de assinatura.

Pig butchering (sha zhu pan)

# pig-butchering
Also: sha zhu pan · romance-into-investment scam
Um golpe que dura meses e transforma um relacionamento amoroso em investimento, no qual o operador constrói confiança emocional com o alvo ao longo de semanas e depois apresenta uma plataforma de negociação falsa que exibe ganhos fabricados até que o alvo deposite dinheiro suficiente para valer a pena ser extraído.
O termo é uma tradução do chinês 殺豬盤 ("matar o porco"), referindo-se ao padrão de "engordar" a vítima com a construção de um relacionamento antes da extração. O contato começa fora de qualquer contexto de investimento (aplicativos de namoro, LinkedIn, abordagens com pretexto de número discado por engano) e o investimento é "descoberto" em vez de oferecido. Pig butchering é a categoria de maior prejuízo isolado em fraudes com cripto no mundo todo. Guia dedicado da CryptoLeek: /scams/romance/.
R

Rug pull

# rug-pull
Um golpe de saída de pool de liquidez no DeFi, em que os fundadores do token retiram de uma só vez toda a liquidez pareada de um pool de DEX, deixando os detentores com tokens sem valor que não podem ser vendidos por nada.
Consulte `liquidity-pool-exit-scam` para entender o mecanismo. O termo é coloquial e costuma ser usado de forma ampla para descrever qualquer projeto DeFi em que os fundadores desaparecem com os fundos dos usuários, incluindo variantes mais elaboradas como ataques de governança, contratos atualizáveis maliciosos e saques de cofres com bloqueio temporal que drenam o cofre. Seja a retirada clássica de liquidez ou um ataque de governança, o perfil forense on-chain é o mesmo: rastrear as wallets dos fundadores, identificar quaisquer pontos de saída para CEX e escalar quando possível.
S

Self-custody vs custodial

# self-custody-vs-custody
Na autocustódia você controla a chave privada e a plataforma não pode movimentar seus fundos; em configurações de custódia (a maioria das corretoras, aplicativos de corretagem, gestores de fundos) a plataforma detém a chave e você detém um direito de crédito contra a plataforma, ou seja, seu "saldo" fica exposto à solvência e à conduta da plataforma.
Essa distinção é a origem da máxima "not your keys, not your coins" (sem suas chaves, sem suas moedas). As configurações de custódia são convenientes e oferecem suporte ao cliente; a autocustódia exige que você gerencie seu próprio backup, segurança e conformidade. Grande parte das perdas com criptomoedas envolve plataformas custodiantes que ficam insolventes, sofrem invasões ou se recusam a processar saques. Para posições de longo prazo, a recomendação padrão é a autocustódia em uma cold wallet, com o uso de custódia limitado às operações ativas de negociação.

SIM swap (contexto cripto)

# sim-swap
Um ataque no qual o invasor usa engenharia social para convencer a operadora de telefonia da vítima a transferir o número de telefone dela para um SIM controlado pelo invasor, e então usa códigos de 2FA enviados por SMS para assumir o controle das contas de exchange e do e-mail da vítima.
O SIM swap é a rota não relacionada a phishing mais citada para invadir uma conta de exchange de criptomoedas. O invasor pode ter obtido os dados da vítima a partir de um vazamento de dados anterior, de engenharia social ou de um funcionário corrompido da operadora. Defesa: não use SMS como segundo fator em nenhuma conta que mantenha criptomoedas ou que controle uma delas. Use TOTP (Google Authenticator, Authy) ou tokens de hardware (YubiKey). As operadoras de telefonia estão passando a permitir cada vez mais a configuração de um PIN de portabilidade (port-out); use-o.
See also: wallet drain

Sweeper bot

# sweeper-bot
Um programa automatizado que monitora uma wallet comprometida (aquela cuja chave privada o operador agora conhece) e envia instantaneamente quaisquer fundos recebidos para um endereço controlado pelo atacante, tornando a wallet permanentemente inutilizável para a vítima.
Quando uma vítima descobre que sua wallet está comprometida, às vezes tenta "salvar" os fundos enviando ETH para cobrir o gas de uma transação de resgate. O sweeper bot faz front-running e captura os fundos de gas no momento em que chegam, impedindo o resgate. Defesa: não envie nada para uma wallet comprometida; em vez disso, migre quaisquer fundos recebidos na origem, ou use transações privadas via Flashbots para coordenar o resgate com prioridade maior do que o bot consegue igualar.
See also: wallet drain
W

Wallet clustering

# wallet-clustering
Técnica forense on-chain que agrupa múltiplos endereços de criptomoedas em "clusters" que se acredita serem controlados pelo mesmo operador, usando heurísticas de entrada compartilhada, padrões de gasto comum e impressões digitais comportamentais.
Uma única operação de fraude geralmente controla de dezenas a milhares de endereços, cada um usado brevemente antes de ser descartado. Algoritmos de clustering identificam quais endereços se comportam como uma só wallet, por exemplo por serem gastos em conjunto em uma única transação (o que prova que compartilham um controlador). Um clustering eficaz é o que torna a recuperação viável: permite ao analista seguir a maior parte dos fundos mesmo quando o operador cria constantemente novos endereços "frescos" para recebê-los.

Wallet drain

# wallet-drain
Also: drainer attack
Um ataque no qual um operador obtém o direito de mover tokens para fora da wallet de uma vítima, geralmente por meio de uma aprovação de token maliciosa ou de uma chave privada roubada, e transfere o saldo da wallet para um endereço sob seu controle.
Os wallet drains diferem das fraudes em plataformas de investimento porque não há plataforma à qual recorrer; a perda ocorre diretamente da wallet de autocustódia da vítima. Os dois vetores mais comuns são (1) o phishing de aprovação (a vítima assina uma transação maliciosa de aprovação de token em um dApp falsificado) e (2) o comprometimento da seed phrase (a vítima insere sua frase de recuperação em um site de phishing que se passa pelo suporte da wallet). A recuperação é possível quando os fundos drenados chegam a uma CEX regulamentada antes de serem lavados; é menos provável quando vão diretamente para um mixer. Guia dedicado da CryptoLeek: /scams/wallet-drain/.

Withdrawal-block extortion

# withdrawal-block
Also: frozen-withdrawal scam · release-fee scam
O padrão de extração de segunda fase no qual uma plataforma de negociação fraudulenta se recusa a liberar os fundos "ganhos" da vítima até que ela pague taxas crescentes: liberação fiscal, verificação de AML, upgrades de nível de conta, nenhuma das quais libera coisa alguma.
Quase todo golpe de plataforma de investimento falsa conduz a um bloqueio de saque assim que a vítima deposita o suficiente para valer a pena extrair dela. As taxas soam plausíveis (elas tomam emprestada a linguagem de procedimentos reais de compliance) e a interface da plataforma continua a exibir o saldo da vítima como se ele fosse real. Cada taxa paga gera um novo pedido de taxa. O principal foi extraído muito antes de tudo isso: o bloqueio de saque existe puramente para extrair dinheiro adicional. Guia dedicado da CryptoLeek: /scams/withdrawal-block/.