Ataques de Approval Drainer no contexto da Hyperliquid

6 de mai. de 2026

  • approval drainer hyperliquid

  • drainer hyperliquid

  • hyperliquid token approval attack

  • ataque de autorização ERC-20

Entre as várias formas de roubo de criptoativos, o Approval Drainer é uma das categorias com menor barreira técnica para o atacante e uma das que mais crescem em escala. Ele não precisa quebrar sua chave privada nem executar um ataque on-chain complexo — basta fazer você “aceitar” uma transação ou assinatura que não entendeu completamente.

Com o lançamento da HyperEVM, as interações on-chain dentro do ecossistema Hyperliquid ficaram mais ricas. Ao mesmo tempo, o risco de ataques Drainer contra usuários da Hyperliquid também aumentou. Este artigo explica como esse tipo de ataque funciona e o que você pode fazer para se proteger.

Relatórios de pesquisa da Chainalysis mostram que kits de Drainer já se tornaram uma cadeia clandestina madura: atacantes conseguem implantar contratos Drainer personalizados a baixo custo e distribuí-los em larga escala por meio de sites de phishing ou DApps maliciosos.

Como funciona um Approval Drainer

Para entender um ataque Drainer, primeiro é preciso entender o mecanismo de autorização, ou approve, dos tokens ERC-20.

O padrão ERC-20 define uma função chamada approve, que permite ao titular de um token autorizar outro endereço — normalmente um contrato inteligente — a transferir seus tokens até um determinado limite. Esse é um dos mecanismos básicos que fazem o DeFi funcionar: quando você troca tokens em uma DEX, geralmente precisa autorizar o contrato da corretora descentralizada a acessar determinado token na sua carteira.

O ataque Drainer explora exatamente esse mecanismo:

  1. O atacante implanta um contrato malicioso, desenhado para transferir ativos em massa assim que recebe autorização.
  2. Por meio de um site falso, airdrop fraudulento ou DApp malicioso, ele induz o usuário a enviar uma transação de approve para esse contrato.
  3. O usuário assina uma transação que parece inofensiva, mas na prática concede ao contrato malicioso permissão para movimentar um token específico — ou, em alguns casos, uma autorização ampla demais.
  4. O contrato malicioso então transfere os tokens da carteira do usuário, muitas vezes na mesma transação ou logo na sequência.

Todo o processo pode acontecer em segundos. E, depois que o approve é confirmado on-chain, o atacante pode executar a transferência a qualquer momento, enquanto a autorização não for revogada.

Riscos específicos no cenário da HyperEVM

A HyperEVM é o ambiente de execução compatível com EVM lançado pela Hyperliquid. Ela permite que contratos inteligentes no padrão Ethereum rodem na cadeia da Hyperliquid. Isso traz para o ecossistema Hyperliquid muitas possibilidades de DeFi, mas também introduz riscos de segurança semelhantes aos do ecossistema Ethereum.

Na HyperEVM, variações de ataques Drainer podem incluir:

  • Páginas de phishing se passando por DApps nativos da HyperEVM, induzindo usuários a autorizar contratos maliciosos.
  • Drainers baseados em assinatura EIP-2612 Permit: em vez de pedir uma transação on-chain, o atacante convence o usuário a assinar uma mensagem off-chain, obtendo autorização de token sem que o usuário precise pagar gas diretamente — o que torna o golpe mais difícil de perceber.
  • Interfaces falsas de protocolos legítimos da HyperEVM, que inserem uma solicitação extra de approve durante uma interação aparentemente normal.

O padrão EIP-712 de assinatura de dados estruturados melhorou a legibilidade das mensagens assinadas, mas muitos usuários ainda não entendem o significado dos campos exibidos. Isso cria uma abertura para Drainers baseados em Permit.

Drainer por assinatura Permit: a variação mais discreta

Um Drainer tradicional baseado em approve aciona uma transação on-chain. Normalmente, a carteira mostra algo como “Token Approval”, e usuários mais experientes podem perceber algo estranho.

Já um Drainer baseado em Permit é mais difícil de identificar:

O usuário vê uma solicitação de “Sign Message”, não uma transação. A janela exibe alguns dados aparentemente formatados, e a pessoa pode achar que se trata de um login, verificação de identidade ou confirmação comum. Então ela clica em confirmar.

Na prática, aquela mensagem assinada pode ser uma autorização Permit compatível com EIP-2612, contendo campos como:

  • spender: o endereço que receberá a autorização, normalmente o contrato malicioso do atacante.
  • value: o valor autorizado, muitas vezes o máximo de U256, ou seja, uma autorização praticamente ilimitada.
  • deadline: o prazo de validade, frequentemente definido para um futuro distante.

Depois que a mensagem é assinada, o atacante só precisa transmiti-la junto com uma chamada transferFrom para movimentar seus tokens. Durante esse processo, ele não precisa usar o seu gas.

Como se proteger de ataques Drainer

1. Entenda cada solicitação antes de assinar

Sempre que a carteira mostrar uma solicitação de assinatura, crie o hábito de parar e entender o que está sendo pedido:

  • Se for uma transação, verifique se o endereço to é o contrato esperado e se o campo data contém uma chamada de approve.
  • Se for uma mensagem para assinar, procure campos como spender, value, deadline ou outros elementos típicos de uma autorização Permit.
  • Se você não entende o que está assinando, não assine.

Essa regra simples evita boa parte dos ataques de engenharia social em cripto.

2. Verifique e revogue autorizações desnecessárias regularmente

Ao acessar o Revoke.cash e conectar sua carteira, você consegue visualizar autorizações on-chain ativas. Qualquer contrato desconhecido ou autorização antiga que você não usa mais deve ser revogada.

Uma boa prática é fazer essa revisão pelo menos uma vez por mês, especialmente depois de interagir com novos DApps.

3. Use autorizações com valor mínimo

Quando um DApp pedir approve, evite aceitar automaticamente a opção de autorização ilimitada, geralmente exibida como “Max” ou “Unlimited”. Sempre que possível, autorize apenas o valor exato necessário para a operação atual.

Assim, mesmo se você interagir com um contrato malicioso, o dano potencial fica limitado ao valor autorizado.

4. Tenha cautela redobrada com DApps da HyperEVM

O ecossistema HyperEVM ainda é relativamente novo. Protocolos não auditados podem conter vulnerabilidades inesperadas, e projetos maliciosos podem tentar se misturar aos legítimos.

Antes de usar qualquer DApp da HyperEVM, verifique:

  • se o projeto possui auditoria;
  • se há reputação real na comunidade;
  • se o link veio de canais oficiais;
  • se o contrato e a interface fazem sentido para a ação que você pretende executar.

A documentação oficial da Hyperliquid é um bom ponto de partida para entender recursos e referências oficiais do ecossistema HyperEVM.

5. Use uma carteira hardware OneKey para confirmação física

A carteira hardware OneKey adiciona uma camada importante de segurança porque mostra na tela do dispositivo informações críticas sobre solicitações de approve, incluindo o endereço autorizado, ou spender, e o valor da autorização. Isso é diferente de confiar apenas no texto exibido pela carteira no navegador.

Mesmo que um script malicioso tente mostrar uma descrição amigável ou enganosa na interface web, você ainda pode conferir no hardware o conteúdo real da transação e rejeitar a solicitação se algo não fizer sentido.

Para assinaturas off-chain do tipo Permit, a OneKey também exibe dados estruturados na tela do dispositivo, reduzindo o risco de confirmar uma mensagem sem entender o que ela autoriza.

Sinais de ataque Drainer e como reagir

Sinal de alertaO que pode significarComo reagir
Pedido de approve antes de uma ação simples, como “claim” de airdropTentativa de obter autorização para movimentar seus tokensNão assine; verifique o contrato e a origem do site
Autorização ilimitada para um contrato desconhecidoPossível Drainer tentando acesso amplo aos seus ativosRecuse e, se já assinou, revogue a autorização imediatamente
Solicitação de “Sign Message” com campos como spender, value ou deadlinePossível Permit maliciosoNão assine se não souber exatamente o que a mensagem faz
Link de DApp recebido por Telegram, Discord ou busca patrocinadaPossível phishingAcesse apenas por canais oficiais ou favoritos verificados
Interface imitando protocolo conhecido, mas com domínio estranhoSite falsoFeche a página e confirme o domínio em fontes oficiais

Perguntas frequentes

Q1: Se eu revogar uma autorização, consigo recuperar tokens que o Drainer já transferiu?

Não. Revogar uma autorização apenas impede transferências futuras. Ela não reverte transferências on-chain já concluídas. Depois que uma transação é confirmada na blockchain, ela não pode ser desfeita.

Q2: Apenas “visualizar” um site suspeito, sem conectar a carteira, é seguro?

Em geral, apenas acessar um site não causa perda de ativos, porque uma transferência exige que você assine uma transação ou mensagem. Ainda assim, sites maliciosos podem tentar explorar vulnerabilidades do navegador ou de extensões. Ao visitar páginas suspeitas, é recomendável usar um navegador separado que não tenha carteiras com ativos.

Q3: Qual é a diferença prática entre uma assinatura EIP-2612 Permit e um approve comum?

Um approve comum é uma transação on-chain e exige pagamento de gas. Já o EIP-2612 Permit é uma mensagem assinada off-chain. Você não paga gas no momento da assinatura, mas, depois de assinada, o atacante pode usá-la on-chain para executar um transferFrom.

Muitos usuários acreditam erroneamente que “assinar uma mensagem não pode causar perda”. Isso não é verdade. Consulte a especificação EIP-2612 para entender melhor esse mecanismo.

Q4: A carteira OneKey consegue bloquear completamente ataques Drainer?

Não existe garantia absoluta. A OneKey reduz significativamente o risco por meio da confirmação física e da exibição de informações críticas no dispositivo, mas a decisão final ainda depende de você confirmar apenas o que entende.

A ferramenta protege o fluxo de operação; o julgamento continua sendo responsabilidade do usuário.

Q5: Quais ações na HyperEVM tendem a ter maior risco de Drainer?

Cenários de maior risco incluem:

  • resgatar “airdrops gratuitos” de origem desconhecida;
  • participar de “liquidity mining” sem reputação clara;
  • usar DApps encontrados por buscadores em vez de favoritos verificados;
  • clicar em links compartilhados em grupos de Telegram ou Discord;
  • interagir com protocolos novos sem auditoria ou histórico público.

Sempre confirme os links e contratos por canais oficiais antes de qualquer interação on-chain.

Conclusão: entenda cada assinatura e valide tudo no hardware

O perigo do Approval Drainer está no fato de que ele transfere o custo do ataque para um erro de julgamento do usuário. Ele não depende necessariamente de uma falha técnica sofisticada; depende de você assinar algo sem entender.

Com a expansão da HyperEVM e o aumento das interações on-chain no ecossistema Hyperliquid, esse tipo de golpe tende a se tornar mais comum e mais refinado.

A defesa mais eficaz é transformar “entender cada assinatura” em hábito e usar uma carteira hardware OneKey para validação física no dispositivo. Revisar autorizações com frequência no Revoke.cash e usar o OneKey Perps para operar Hyperliquid dentro de um fluxo mais controlado e consciente é uma combinação prática para reduzir exposição a Drainers.

Para experimentar, baixe o app da OneKey em onekey.so/download, configure sua carteira com cuidado e use o OneKey Perps como fluxo recomendado para operações na Hyperliquid.

Aviso de risco: este conteúdo é apenas informativo e não constitui aconselhamento financeiro, jurídico ou de investimento. A segurança de ativos on-chain é responsabilidade individual. As medidas descritas reduzem riscos, mas não garantem proteção contra todos os ataques. Mantenha-se atualizado sobre práticas de segurança e trate qualquer solicitação de interação on-chain com cautela.

Proteja sua jornada criptográfica com o OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

A carteira de hardware mais avançada do mundo.

View details for Baixar aplicativoBaixar aplicativo

Baixar aplicativo

Alertas de golpe. Todas as moedas suportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clareza Cripto—A uma chamada de distância.