Aprovações de token: como as carteiras são esvaziadas e como revogar permissões
Um guia prático para entender as aprovações de token (Token Approval), como contratos maliciosos esvaziam carteiras, e como revisar e revogar permissões com segurança em redes como a BEP20.
Você já conectou sua carteira a um dApp com um único clique chamado "Approve" e depois esqueceu completamente do assunto? Esse instante passageiro pode ficar aberto por anos, e é uma das formas mais comuns de esvaziar carteiras hoje em dia. Neste guia, explicamos o que é uma "aprovação de token" (Token Approval), como golpistas exploram isso e, o mais importante: como você mesmo pode revisar e revogar suas permissões, passo a passo.
O que significa uma "aprovação de token" (Token Approval)?
Moedas como o USDT na rede BEP20 são tokens que não se movem sozinhos. Quando você quer usá-los em um aplicativo descentralizado — uma troca (swap), um pool de liquidez ou qualquer contrato inteligente — esse contrato precisa de uma permissão prévia para retirar o token da sua carteira. Essa permissão se chama "allowance", e você a concede através de uma transação de "Approve".
O problema é que, por padrão, muitos aplicativos pedem uma permissão ilimitada (Unlimited): basicamente, "permita que este contrato retire qualquer quantidade deste token, a qualquer momento, para sempre". Você assina uma única vez, mas a porta permanece aberta até que você mesmo a feche.
Assinar "Approve" não movimenta seu dinheiro naquele instante, mas concede ao contrato uma chave permanente. O risco não está no valor agora, e sim na permissão aberta que fica para depois.
Como contratos maliciosos esvaziam carteiras?
Contratos de drenagem (Approval Drainers) não "invadem" sua carteira — eles enganam você para que assine a permissão você mesmo. O cenário mais comum:
- Você chega a um site falso que imita uma plataforma conhecida, ou uma mensagem te atrai com uma "recompensa" ou um "airdrop".
- O site pede para conectar sua carteira e depois exibe uma janela de assinatura que parece rotineira.
- Essa assinatura, na verdade, concede uma permissão ilimitada sobre um token que você possui (como USDT ou o token nativo da rede).
- Nada visível acontece, então você acha que deu errado e vai embora.
- Horas ou dias depois, o atacante executa a função
transferFrome retira seu saldo de uma vez ou aos poucos.
O golpe mais perigoso são as assinaturas Permit e Permit2: uma assinatura "fora da cadeia" (off-chain) que não custa taxa de gás nem aparece como transação, mas concede permissão total. É por isso que o pedido pode parecer completamente inofensivo.
Nenhuma plataforma séria pede para você "assinar por uma recompensa" ou reativar uma conta concedendo permissão sobre seus tokens. Qualquer pedido de assinatura em troca de dinheiro grátis é praticamente um sinal de alerta certo.
Sinais de alerta antes de assinar
- O site chegou até você por mensagem privada, anúncio pago, ou uma conta de "suporte" que te procurou primeiro.
- A janela da carteira mostra
ApproveouPermitpara um token que você não pretende negociar agora. - A permissão solicitada é ilimitada, enquanto você precisa apenas de um valor pequeno.
- O contrato beneficiário é um endereço estranho, não verificado, que não aparece como contrato conhecido em um explorador de blockchain.
- Urgência e pressão de tempo: "A oferta termina em minutos".
Como revisar e revogar suas permissões?
A boa notícia é que as permissões podem ser revogadas a qualquer momento, e revogar é simples. A ideia é enviar uma transação que zera o limite permitido.
Passos práticos
- Abra uma ferramenta confiável de revisão de permissões (Revoke Tool) pelo navegador, e digite o endereço manualmente, nunca a partir de um link recebido em mensagem.
- Conecte sua carteira ou, melhor ainda, cole apenas seu endereço público para visualizar sem conectar, e só então execute a revogação depois de confirmar tudo.
- Escolha a rede correta (por exemplo, BNB Smart Chain para tokens BEP20).
- Revise a lista de permissões: cada linha mostra um token, um contrato beneficiário e um limite permitido.
- Procure permissões ilimitadas ou contratos que você não reconhece, e clique em "Revoke".
- Assine a transação de revogação, pague a pequena taxa de gás e aguarde a confirmação.
Toda revogação na blockchain custa uma pequena taxa de gás. Priorize: revogue primeiro as permissões ilimitadas sobre os tokens de maior valor (USDT, tokens da rede).
Formas de revisar suas permissões
| Método | Como funciona | Observação |
|---|---|---|
| Ferramenta de revogação especializada | Mostra todas as permissões e as revoga com um clique | A mais rápida; verifique o endereço do site com atenção |
| Explorador de blockchain | Aba "Token Approvals" no explorador da rede | Confiável e direto dos dados on-chain |
| A própria carteira | Algumas carteiras já trazem uma seção de permissões integrada | Prático se estiver disponível na sua carteira |
Hábitos que te protegem no futuro
- Defina o valor exato: em qualquer "Approve", escolha uma permissão do tamanho que você precisa, não "ilimitada", se o aplicativo permitir.
- Revise periodicamente: confira suas permissões a cada poucas semanas, e depois de interagir com qualquer site novo.
- Separe suas carteiras: uma carteira "de teste", pequena, para interagir com sites novos, e uma carteira "cofre" que você nunca conecta a nenhum dApp.
- Leia a janela de assinatura: entenda o nome da função e o contrato beneficiário antes de clicar; se não entender, não assine.
- Desconfie de assinaturas sem taxa de gás: uma assinatura
Permitpode não custar nada, mas ainda assim conceder permissão total.
Este conteúdo é educativo, voltado a aumentar sua consciência de segurança, e não constitui aconselhamento financeiro, jurídico ou religioso. Ferramentas de revogação e nomes de redes mudam com o tempo, então sempre verifique as fontes oficiais por conta própria antes de conectar sua carteira ou assinar qualquer coisa. A responsabilidade de proteger suas chaves e permissões é exclusivamente sua.
Conclusão
A aprovação de token é uma ferramenta necessária para os aplicativos descentralizados, mas também é a porta dos fundos mais explorada. A regra é simples: conceda apenas o que você precisa, e revogue o que você não usa mais. Torne a revisão de permissões um hábito periódico, como organizar sua carteira, e você fechará a porta mais larga que os golpistas usam antes mesmo que batam nela. Na Paperino, acreditamos que a segurança começa com a consciência: uma única revogação hoje pode proteger todo o seu saldo amanhã.
Artigos relacionados
- Envenenamento de endereço: por que copiar o endereço errado do seu próprio histórico pode custar tudo
- Sequestro de área de transferência: o vírus que troca seu endereço de USDT no momento em que você copia
- Como proteger a frase de recuperação e a chave privada da sua carteira: guia para iniciantes
- O Que É a BNB Smart Chain, a Rede por Trás do Padrão BEP20?
A sorte protege os audazes. Atravessa com coragem — as recompensas são reais.