O Que São os Bots de Varredura

Bots de varredura são programas automatizados que monitoram a atividade em blockchains para “varrer” imediatamente ativos de um endereço-alvo no momento em que fundos se tornam disponíveis. No contexto da segurança em criptomoedas, esses bots são normalmente usados por atacantes que já possuem a chave privada da vítima ou uma aprovação de token poderosa. Eles se baseiam em velocidade, automação e visibilidade do mempool para drenar fundos antes que a vítima consiga reagir.

Neste artigo, explicamos como esses bots funcionam, por que são tão eficazes, os padrões de ataque que você deve conhecer e como se proteger de forma prática.

Como Funcionam os Bots de Varredura

• Monitoramento do mempool: Em blockchains públicos como o Ethereum, transações pendentes ficam em um mempool acessível publicamente antes de serem incluídas em um bloco. Atacantes operam bots que observam essas transações, especialmente em carteiras comprometidas ou que concederam aprovações. Ao detectar qualquer atividade que possa ser explorada, o bot envia imediatamente uma transação concorrente com taxas superiores para ser confirmada antes da transação da vítima. Para entender melhor transações pendentes e o mempool, veja a documentação do Ethereum.

• Manipulação de taxas e prioridade (gas): Desde a introdução do EIP-1559 no Ethereum, as transações incluem uma taxa de prioridade (gorjeta) para incentivar os construtores de bloco. Bots de varredura ajustam dinamicamente essas taxas para superar transações legítimas ou até empacotar transações privadas, garantindo sua inclusão. Visão geral do EIP-1559.

• Técnicas de MEV: Certos comportamentos de bots de varredura se sobrepõem a estratégias de “valor máximo extraível” (MEV), nas quais bots reordenam, inserem ou substituem transações para capturar valor. Nem toda MEV é maliciosa, mas bots de varredura operados por atacantes utilizam táticas semelhantes, como antecipar aprovações ou movimentações e correr contra a vítima. MEV explicado e Documentação da Flashbots.

Em resumo, se um bot tiver qualquer permissão para gastar a partir do seu endereço — como uma chave privada, uma aprovação ilimitada ou uma assinatura válida — ele ficará vigiando o endereço e retirará os fundos assim que detectá-los.

Vetores Comuns de Ataque Usados por Bots de Varredura

• Chaves ou seeds comprometidas: Se sua chave privada ou frase-seed for exposta, seu endereço se torna um “alvo quente” para atacantes. Qualquer depósito subsequente pode ser varrido em questão de segundos.

• Aprovações tóxicas em tokens ERC‑20 e NFTs:

  • Aprovações ilimitadas: Muitos aplicativos DeFi pedem aprovações “ilimitadas”, permitindo que um contrato gaste qualquer valor dos seus tokens sem nova permissão. Atacantes exploram esse tipo de permissão, muitas vezes induzindo você a aprovar contratos maliciosos ou reutilizar aprovações antigas.
  • setApprovalForAll em NFTs: Uma única assinatura pode autorizar um contrato malicioso a transferir todos os seus NFTs.
  • Assinaturas Permit (EIP‑2612): Alguns sites mal-intencionados solicitam “permissões” que parecem inofensivas, mas na verdade autorizam futuras movimentações dos seus fundos. EIP‑2612 (permit).

• Phishing e drainer-as-a-service: Ataques que usam dApps falsos ou airdrops enganosos para induzir você a assinar transações ou mensagens que configuram aprovações prejudiciais. Também podem induzir a importação de seeds em carteiras inseguras. Para diminuir o risco de phishing, veja as orientações da CISA.

• Envenenamento de endereço: Atacantes enviam transferências de valor 0 a partir de endereços com aparência semelhante para “envenenar” seu histórico de transações, esperando que você copie um endereço errado futuramente. Embora isso não permita varredura direta, costuma ser o primeiro passo para desvios que levam ao roubo. O que é front-running em cripto.

Por Que Bots de Varredura São Tão Eficientes

• Velocidade: Bots monitoram e reagem 24/7, enviando transações com gorjetas agressivas instantaneamente.
• Transparência: O mempool público e o estado das aprovações são facilmente acessíveis.
• Automação: Atacantes mantêm listas de endereços comprometidos e os exploram sistematicamente em múltiplas blockchains.
• Baixo atrito: Uma única aprovação maliciosa ou chave vazada pode ser usada repetidamente para acessar seus fundos.

Tendências Atuais para Ficar de Olho em 2025

• Transações privadas e RPCs com proteção: Mais usuários estão utilizando relays privados para enviar transações sem que elas apareçam no mempool público. Embora isso reduza o risco de front-running, atacantes também podem usar esses canais, então é fundamental entender seu funcionamento — especialmente ao tentar resgatar fundos de carteiras comprometidas. Documentação da Flashbots.

• Abstração de contas e controles de gasto: Carteiras inteligentes que utilizam ERC‑4337 podem implementar limites diários, chaves temporárias e permissões específicas que reduzem o risco de varredura mesmo se o dispositivo for comprometido, pois as aprovações podem ser limitadas diretamente pela carteira. Visão geral do ERC‑4337.

• Novos padrões de assinatura: Propostas como o EIP‑7702 buscam melhorar a segurança e funcionalidade das contas. Esteja atento a como novos padrões afetam as aprovações e atualize seus hábitos de segurança. EIP‑7702.

Como Se Proteger

• Minimize aprovações

  • Prefira aprovações limitadas (ex.: apenas o necessário) em vez de ilimitadas.
  • Revise e revogue permissões arriscadas regularmente:
    • Use o verificador de aprovações da Etherscan. Token Approval Checker.
    • Revoque aprovações em diversas blockchains com ferramentas como o Revoke.cash.

• Faça assinaturas com segurança

  • Leia com atenção os detalhes de aprovação antes de confirmar.
  • Evite assinar mensagens "permit" sem confiar plenamente no dApp e entender os parâmetros como expiração, nonce e destinatário.
  • Desative assinaturas cegas sempre que possível para poder revisar o contrato.

• Use transações privadas quando necessário

  • Ao mover fundos de um endereço potencialmente comprometido, envie via RPC com proteção ou relays privados, para evitar exposição no mempool. Documentação da Flashbots.

• Separe domínios de risco

  • Mantenha seus investimentos de longo prazo separados das carteiras ativas em DeFi.
  • Considere usar carteiras inteligentes com limites diários ou políticas de controle (via abstração de conta). ERC‑4337

• Defenda-se contra phishing

  • Verifique URLs, contratos e aprovações antes de assinar.
  • Use extensões de segurança e listas de sites confiáveis, e jamais importe seeds em aplicativos desconhecidos. Veja as práticas recomendadas da CISA.

O Que Fazer Se Sua Carteira Já Foi Comprometida

Se você suspeita que um bot esteja monitorando seu endereço:

• Não envie fundos diretamente para carteiras comprometidas: Isso só acelera o roubo.
• Use canais privados: Se possível, envie uma transação privada que combine o envio e retirada de fundos no mesmo bloco, sem aparecer no mempool. Isso normalmente exige ferramentas específicas ou assistência profissional. Flashbots docs.
• Revogue aprovações primeiro: Se o risco for uma aprovação (e não uma chave exposta), tente revogá-la por meio de um relay privado. Depois disso, seus ativos podem ser movimentados com mais segurança. Token Approval Checker e Revoke.cash.
• Migre para um novo endereço: Gere uma carteira nova, verifique seu ambiente e só mova fundos quando tiver certeza de que não há aprovações vigentes que permitam acesso ao atacante.

Todos os Bots de Varredura São “Ruins”?

Nem todos os bots que competem nas transações são maliciosos. Muitos bots MEV realizam arbitragem ou liquidações que mantêm os mercados eficientes. O que diferencia os bots de ataque é o uso de chaves roubadas ou aprovações abusivas para movimentar fundos sem autorização legítima. Ferramentas como monitoramento de mempool, manipulação de taxas e ordenamento de transações podem ser utilizadas tanto para propósitos bons quanto maus. Proteger-se depende de controlar quem pode gastar seus ativos — não apenas quem pode ver suas transações.

Um Aviso Sobre Carteiras Físicas (Hardware Wallets)

Carteiras físicas reduzem consideravelmente o risco ao manter as chaves privadas fora da internet e exigir confirmação física para ações críticas. Ao usar uma carteira como a OneKey, você se beneficia de:

• Armazenamento offline e revisão clara de assinaturas: Detalhes da transação, incluindo quem receberá e o valor aprovado, são exibidos antes da assinatura, ajudando a evitar permissões maliciosas.
• Código aberto e suporte multi-chain: Isso permite gerenciar aprovações de ERC‑20 e permissões de NFTs em várias redes, reforçando sua segurança.
• Configuração segura e suporte a senhas adicionais: Mesmo que o computador esteja infectado, um dispositivo bem configurado impede acesso à chave privada.

Bots de varredura dependem de chaves expostas e aprovações negligentes. Utilizar um dispositivo offline e revisar cuidadosamente as permissões reduz drasticamente as chances de ser afetado. Se você busca fortalecer sua segurança, considere adicionar uma carteira física como a OneKey à sua rotina e revisar periodicamente suas aprovações.

Principais Aprendizados

• Bots de varredura drenam fundos instantaneamente de carteiras comprometidas ou com permissões excessivas usando visibilidade do mempool e taxas agressivas. Transações no Ethereum e EIP‑1559.
• Os maiores riscos são chaves vazadas, aprovações ilimitadas, assinaturas "permit" e phishing. Revise e revogue permissões com frequência. Token Approval Checker e Revoke.cash.
• Em 2025, fluxos privados e carteiras com abstração de conta estão crescendo, oferecendo proteção e controle de gastos mais refinados. Flashbots docs e Visão geral do ERC‑4337.
• Carteiras físicas como a OneKey, combinadas com boas práticas de assinatura e controle de permissões, oferecem excelente proteção contra bots de varredura no uso diário de criptoativos.