A plataforma de segurança blockchain GoPlus emitiu, a 10 de abril, um alerta de emergência, indicando que existe uma vulnerabilidade grave no SDK EngageLab utilizado amplamente para notificações push em dispositivos Android. A falha afeta mais de 50 milhões de utilizadores Android, dos quais cerca de 30 milhões são utilizadores de carteiras de criptomoedas. O atacante pode implementar, nos dispositivos das vítimas, um software malicioso disfarçado de uma aplicação legítima, para roubar as chaves privadas da carteira de criptomoedas e as credenciais de início de sessão.
Princípio técnico da vulnerabilidade: cadeia de ataque entre aplicações com execução silenciosa
(Fonte: GoPlus)
O defeito central desta vulnerabilidade reside no facto de o SDK EngageLab não realizar uma validação de origem suficientemente rigorosa ao tratar o mecanismo de comunicação por Intent do sistema Android. O Intent é um mecanismo legítimo para a troca de comandos entre aplicações Android, mas a implementação do SDK EngageLab permite que comandos provenientes de origens não autorizadas contornem os processos normais de validação, desencadeando a execução de operações sensíveis pela aplicação-alvo.
Cadeia de ataque completa em três passos
Inserção de aplicação maliciosa: o atacante disfarça o software malicioso como uma App legítima, levando a vítima a instalá-la no mesmo dispositivo Android
Injeção de Intent malicioso: a aplicação maliciosa envia, para uma carteira de criptomoedas ou aplicação financeira já integrada com o SDK EngageLab no mesmo dispositivo, um Intent malicioso cuidadosamente construído
Execução de operações com privilégios indevidos: após a aplicação-alvo receber o Intent, executa operações não autorizadas sem o conhecimento do utilizador, incluindo o roubo de chaves privadas da carteira, credenciais de início de sessão e outros dados sensíveis
O maior perigo desta cadeia de ataque está na sua natureza silenciosa: a vítima não precisa de fazer nada proactivamente; basta que, no dispositivo, coexistam uma aplicação maliciosa e uma aplicação que contenha a versão do SDK EngageLab com vulnerabilidade, para que o ataque seja concluído em segundo plano.
Dimensão do impacto: risco de perdas irreversíveis de ativos para utilizadores de cripto
Enquanto componente básico amplamente implantado para notificações push, o SDK EngageLab é integrado em milhares de aplicações Android, o que faz com que a área afetada atinja a escala de 50 milhões de dispositivos. Dentro desse universo, cerca de 30 milhões correspondem a utilizadores de carteiras de criptomoedas.
Se a chave privada da carteira de criptomoedas vazar, o atacante consegue controlar totalmente os ativos on-chain da vítima. Além disso, a característica de irreversibilidade das transações na blockchain significa que perdas deste tipo são praticamente impossíveis de recuperar, com um nível de risco muito superior ao de incidentes comuns de fuga de dados em aplicações normais.
Medidas de resposta urgente: lista de ações imediatas para programadores e utilizadores
Recomendações de segurança por grupos
- Programadores e fornecedores de aplicações
· Verificar imediatamente se o produto integra o SDK EngageLab e confirmar se a versão atual é inferior a 4.5.5
· Atualizar para o SDK EngageLab 4.5.5 ou para uma versão de correção oficial superior (consulte a documentação oficial do EngageLab)
· Republicar a versão atualizada e notificar os utilizadores para concluírem a atualização o mais rapidamente possível
- Utilizadores Android em geral
· Ir imediatamente ao Google Play para atualizar todas as aplicações, dando prioridade às aplicações de carteiras de criptomoedas e financeiras
· Manter-se atento a aplicações descarregadas a partir de fontes desconhecidas ou canais não oficiais e, se necessário, eliminá-las imediatamente
· Se suspeitar que a chave privada já foi exposta, deve criar imediatamente uma nova carteira num dispositivo seguro, transferir os ativos e desativar permanentemente o endereço antigo
Perguntas frequentes
O que é o SDK EngageLab e por que motivo é amplamente integrado em carteiras de criptomoedas?
O SDK EngageLab é um pacote de software de terceiros que fornece funcionalidades de notificações push para Android. Por ser fácil de implementar, é adotado por muitas aplicações. As notificações push são uma funcionalidade padrão em quase todas as aplicações móveis; por isso, o SDK EngageLab está amplamente presente em carteiras de criptomoedas e aplicações financeiras, o que, por sua vez, levou a que a escala do impacto desta vulnerabilidade chegasse a 50 milhões de utilizadores.
Como confirmar se o meu dispositivo é afetado por esta vulnerabilidade?
Se o seu dispositivo Android tiver instalada uma carteira de criptomoedas ou uma aplicação financeira e ainda não tiver sido atualizado para a versão mais recente, existe risco de ser afetado. Recomenda-se que atualize imediatamente todas as aplicações na Google Play Store. Os programadores podem verificar o número da versão do SDK dentro da aplicação para confirmar se está a utilizar uma versão do SDK EngageLab inferior a 4.5.5.
Se a chave privada já tiver vazado, como lidar de forma urgente?
Deve criar imediatamente um endereço de carteira totalmente novo num dispositivo seguro não infetado, transferir todos os ativos da carteira original para o novo endereço e desativar permanentemente o endereço original. Em simultâneo, altere as palavras-passe de início de sessão de todas as plataformas relacionadas e ative a autenticação de dois fatores para a conta, para reduzir o risco de novas invasões adicionais no futuro.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Investigador Independente Decifra Chave ECC de 15 Bits e Vence Recompensa em Bitcoin do Project Eleven
Mensagem da Gate News, 25 de abril — O investigador independente Giancarlo Lelli conseguiu com sucesso decifrar uma chave de encriptação ECC de 15 bits que protege o Bitcoin e recebeu o Prémio Q-Day, além de 1 BTC, do arranque de cibersegurança quântica Project Eleven.
Lelli usou hardware quântico disponível publicamente e uma variante do de Shor's
GateNews1h atrás
Condenado a 70 Meses um Lavador de Cripto da Califórnia, de 22 Anos, por Esquema de $263M Fraude
Mensagem do Gate News, 25 de abril — Evan Tangeman, 22, de Newport Beach, Califórnia, foi condenado a 70 meses de prisão em 24 de abril pelo seu papel na lavagem de $263 milhões obtidos através de um vasto esquema de fraude em criptomoeda. O Tribunal Distrital dos EUA em Washington, D.C., impôs a sentença
GateNews2h atrás
Autoridades da Colômbia e dos EUA Desmantelam Rede de Branqueamento em Cripto Ligada ao CJNG no Valor de $190M
Mensagem do Gate News, 25 de abril — Agências de aplicação da lei da Colômbia e dos EUA desmantelaram em conjunto uma rede transnacional de branqueamento de dinheiro em criptomoedas ligada ao Cartel Jalisco Nova Geração do México (CJNG). A rede transferiu mais de $190 milhões em fundos ilícitos através de canais cripto
GateNews4h atrás
França Reporta 135 Casos de Sequestro Relacionados com Criptomoedas Desde 2023, Incluindo Menores; 75 Detidos
Notícia do Gate, 25 de abril — O gabinete de acusação de crimes organizados de França (PNACO) informou que foram registados 135 casos de sequestro, ou tentativa de sequestro, relacionados com criptomoedas no país desde 2023. Entre os 12 casos atualmente em investigação, 88 indivíduos foram formalmente
GateNews5h atrás
Homem da Califórnia Condenado a 70 Meses por Lavagem de Dinheiro num Esquema de Roubo de $263M Cripto
Mensagem da Gate News, 25 de abril — Um homem de 22 anos de Newport Beach, Califórnia, Evan Tangeman, foi condenado a 70 meses de prisão federal e a 3 anos de liberdade supervisionada pelo seu papel numa rede de criminalidade de engenharia social que operava em vários estados e que roubou mais de $263 milhões em criptomoeda, de acordo com
GateNews8h atrás
41 Raptos de Cripto na França em 3,5 Meses; Durov Atribui a Fugas de Dados
Mensagem do Gate News, 24 de abril — A França registou 41 raptos de detentores de criptomoedas em apenas 3,5 meses de 2026, segundo Pavel Durov, fundador do Telegram, que atribuiu o aumento a fugas de dados generalizadas. Durov destacou numa publicação no X que dados pessoais sensíveis — incluindo informações detidas pelas autoridades fiscais e provenientes de uma grande violação na Agência Francesa para Documentos Seguros — expuseram aproximadamente os nomes, endereços e números de telefone de 19 milhões de pessoas, tornando os detentores de ativos digitais alvos mais fáceis.
As autoridades francesas confirmaram que mais de 40 raptos cripto ou tentativas de rapto foram registados desde janeiro de 2026, assinalando um aumento acentuado face a aproximadamente 30 casos em 2025. Segundo Philippe Chadrys da polícia judiciária de França, o modus operandi e os métodos de seleção variam, com muitas operações dirigidas por redes a operar a partir do estrangeiro. Os incidentes vão de raptos de curto prazo a casos violentos envolvendo tortura e exigências de resgate. Num caso recente, uma mulher e o seu filho de 11 anos foram raptados na Borgonha e mais tarde libertados após uma operação policial de grande escala. Noutro caso em Anglet, os suspeitos raptaram por engano as pessoas erradas antes de serem detidos. Em 2025, o destacado nome do setor cripto David Balland foi raptado e teve o dedo cortado antes de ser resgatado.
Os procuradores franceses já acusaram 88 indivíduos em ligação com raptos relacionados com criptomoedas, incluindo menores em pelo menos uma dúzia de casos. Durov alertou que alargar o acesso do governo a identidades digitais e comunicações encriptadas poderá agravar a situação caso os sistemas sejam comprometidos, embora a sua afirmação de que funcionários fiscais estão a vender diretamente dados permaneça não verificada.
A crise de exposição de dados estende-se para além dos raptos. As organizações de proteção de dados de França reportam milhões de registos comprometidos em múltiplas violações que afetam serviços públicos e empresas privadas. Segundo Seb, presidente da Federação Francesa de Proteção de Dados, a França está a caminho de se tornar o segundo país mais atacado a nível global em 2026, com mais de 300 serviços franceses afetados, 23 milhões de contas comprometidas e mais de 250 milhões de registos de dados expostos. France Titres ANTS, por si só, viu mais de 11,7 milhões de contas expostas, enquanto a Agência Estatal de Pagamentos e Serviços divulgou dados bancários e números de segurança social de milhões de cidadãos franceses.
Os raptos relacionados com criptomoedas seguem tipicamente um padrão: as vítimas são identificadas como detentoras de ativos digitais, são raptadas e pressionadas a transferir fundos sob coação. Ao contrário das contas bancárias tradicionais, as carteiras cripto podem ser acedidas instantaneamente se as chaves privadas ou palavras-passe forem reveladas, o que as torna alvos atrativos para extorsão. Entretanto, o Bitcoin subiu quase 10% nos últimos 30 dias, negociando a US$ 77.601 à hora de fecho, enquanto o Ethereum caiu 5% ao longo da semana, negociando a US$ 2.315.
GateNews12h atrás
