LIVE
BTC $—| ETH $—| BNB $—| SOL $—| XRP $— · · · BITAIGEN · · · | | | | · · · BITAIGEN · · ·
Scam de Autorizações em Soft Wallets 2024: 1000 USDT Sumidos
Guia #soft wallet scam#Trust Wallet#MetaMask#USDT fraude#autorização de token

Scam de Autorizações em Soft Wallets 2024: 1000 USDT Sumidos

Bitaigen Research Bitaigen Research 19 min de leitura

Descubra como fraudadores exploram permissões em Trust Wallet e MetaMask para drenar USDT, veja o caso de 1000 USDT desaparecidos e aprenda a proteger seus ativos.

Title: Soft Wallet (Autorizações) Scam 2024 – Como 1000 USDT Sumiram e o que Trust Wallet / MetaMask Usuários Precisam Saber

Nos últimos meses, um número crescente de usuários de carteiras “soft”, como Trust Wallet e MetaMask, tem relatado perdas inesperadas de tokens após aprovarem permissões em sites falsos. Um caso recente, analisado no vídeo “软钱包授权诈骗揭秘:1000U消失!Trust Wallet/MetaMask用户必看”, mostrou que 1000 USDT foram drenados em poucos minutos, sem que a vítima tenha revelado sua seed‑phrase. Este guia lista os pontos críticos desse tipo de golpe, detalha cada etapa do ataque e oferece medidas práticas para evitar que seu patrimônio seja comprometido.

Principais pontos a observar

  • 1. O que é a “autorização ilimitada” (Unlimited Allowance).
  • 2. Como o golpista cria um site/DApp falso.
  • 3. O momento da conexão da carteira e o que realmente acontece.
  • 4. Por que o botão “Aprovar” pode ser fatal.
  • 5. Como identificar sinais de phishing antes de clicar.
  • 6. Estratégias para limitar permissões e revogar aprovações.
  • 7. O que fazer imediatamente após perceber o roubo.
  • 8. Ferramentas de monitoramento e auditoria de contratos.

A seguir, cada um desses tópicos é expandido com exemplos práticos e instruções passo a passo.

1. O que é a “autorização ilimitada” (Unlimited Allowance)

Em contratos inteligentes, a função `approve(address spender, uint256 amount)` permite que um terceiro (o “spender”) gaste até *amount* tokens da sua carteira. Quando o campo *amount* recebe o valor máximo possível (2^256‑1), o contrato tem permissão ilimitada para movimentar todos os tokens daquele padrão (por exemplo, USDT) sempre que desejar. Essa capacidade é legítima para alguns serviços (ex.: exchanges descentralizadas), mas quando usada por um contrato malicioso, abre a porta para o roubo total do saldo.

Importante: A aprovação ilimitada não exige a seed‑phrase nem a chave privada; basta que o usuário clique em “Confirmar” na janela da carteira.

2. Como o golpista cria um site/DApp falso

Os fraudadores geralmente seguem um roteiro bem ensaiado:

  1. Domínio parecido – Registram URLs que imitam sites populares (ex.: trustwallet-airdrop.com).
  2. Landing page atraente – Prometem “airdrop grátis”, “liquidez garantida” ou “upgrade de segurança”.
  3. Código malicioso – Inserem uma chamada à função approve com o parâmetro *amount* definido como ilimitado.
  4. Redirecionamento – Após a aprovação, o contrato imediatamente executa a transferência dos tokens para a carteira do atacante.

Essas páginas são hospedadas em servidores de baixa reputação e muitas vezes desaparecem logo após o ataque, dificultando a rastreabilidade.

3. O momento da conexão da carteira e o que realmente acontece

Quando o usuário clica em “Connect Wallet”, a extensão (MetaMask) ou a aplicação móvel (Trust Wallet) estabelece um link de leitura‑escrita com o site. Até aqui, não há risco imediato, pois a conexão apenas permite que o DApp veja o endereço público e o saldo.

O perigo surge quando o site solicita uma ação de escrita, como “Claim Airdrop” ou “Start Mining”. Nesse ponto, a carteira exibe uma janela de assinatura contendo:

  • Endereço do contrato que receberá a permissão.
  • Quantidade de tokens a ser aprovada (geralmente mostrada como “Unlimited”).
  • Taxa de gas estimada.

Se o usuário não analisar esses detalhes, o clique em “Confirmar” concede ao contrato malicioso controle total sobre os tokens selecionados.

4. Por que o botão “Aprovar” pode ser fatal

Muitos usuários associam a palavra “Aprovar” a uma simples autorização de leitura, como acontece ao aceitar os termos de um serviço. No contexto de blockchain, porém, aprovar significa “conceder permissão de gasto”. Quando a quantidade é “Unlimited”, o contrato pode:

  • Transferir todo o saldo imediatamente.
  • Repetir a operação quantas vezes quiser, sem necessidade de novas aprovações.

No caso analisado no vídeo, a vítima aprovou USDT na rede BSC. Em menos de 5 minutos, o contrato enviou 1000 USDT para a carteira do atacante, e a transação foi confirmada em blocos sucessivos, tornando o roubo irreversível.

5. Como identificar sinais de phishing antes de clicar

Sinal  |  Descrição

URL suspeita  |  Domínios que substituem letras (ex.: “trus7wallet.com”) ou usam extensões incomuns (.xyz, .top).

Pressão por tempo  |  Mensagens que dizem “Aproveite agora, oferta por 10 minutos”.

Solicitação de aprovação ilimitada  |  Qualquer contrato que peça “Unlimited” ou um número muito alto (≥ 10^30).

Falta de auditoria  |  Ausência de links para audit reports ou de informações de desenvolvedor.

Erros de linguagem  |  Texto em português ou inglês com gramática incorreta, típico de sites de phishing.

Ao notar qualquer um desses indícios, feche a aba imediatamente e verifique a legitimidade do serviço em canais oficiais (Telegram, Discord, site institucional).

6. Estratégias para limitar permissões e revogar aprovações

  1. Sempre usar “Amount” limitado – Defina o valor que realmente será usado, nunca “Unlimited”.
  2. Revogar permissões periodicamente – Ferramentas como https://revoke.cash ou o próprio Token Approvals da MetaMask permitem cancelar aprovações antigas.
  3. Utilizar contratos “proxy” – Algumas DApps oferecem a opção de “spending limit per transaction”.
  4. Desconectar a carteira – Após concluir a operação, clique em “Disconnect” na interface do DApp.

Passo a passo para revogar via Revoke.cash:

  1. Acesse https://revoke.cash em um navegador seguro.
  2. Conecte sua carteira (MetaMask ou Trust Wallet).
  3. A lista exibirá todos os contratos que têm permissão para gastar seus tokens.
  4. Clique em “Revoke” ao lado do contrato suspeito e confirme a transação.

A revogação consome uma pequena taxa de gas, mas elimina a possibilidade de saque futuro.

7. O que fazer imediatamente após perceber o roubo

  • Não entre em pânico – As transações blockchain são imutáveis, mas ainda é possível rastrear o fluxo dos fundos.
  • Capture screenshots da janela de aprovação e da transação na blockchain (explorador como https://bscscan.com).
  • Denuncie o endereço do contrato nos canais oficiais da Exchange ou do projeto (Telegram, Discord).
  • Faça um reporte à plataforma de monitoramento de fraudes (ex.: https://www.blockchain.com/scam-report).
  • Considere mudar de carteira – Gere uma nova seed‑phrase e transfira apenas os fundos que ainda não foram comprometidos.

Embora a recuperação de tokens seja rara, a documentação detalhada pode ajudar autoridades ou equipes de investigação a bloquear contas associadas ao endereço do atacante.

8. Ferramentas de monitoramento e auditoria de contratos

  • Etherscan / BscScan – Permite visualizar todas as transações e verificar se o contrato tem código fonte verificado.
  • Token Approvals (MetaMask) – Integração direta que mostra permissões ativas.
  • MyEtherWallet (MEW) – “Contract Interaction” – Para analisar funções disponíveis em um contrato antes de interagir.
  • DeFi Safety – Lista projetos auditados e indica riscos de permissões excessivas.

Manter esses recursos à mão ajuda a validar a legitimidade de um DApp antes de conceder qualquer aprovação.

Perguntas Frequentes

Q1: Se eu aprovar um token com “Unlimited”, ainda posso revogar a permissão depois?

Sim. A revogação pode ser feita a qualquer momento usando ferramentas como Revoke.cash ou a própria interface da sua carteira. Basta enviar uma transação de revogação, que também exige taxa de gas.

Q2: Por que alguns projetos legítimos pedem aprovação ilimitada?

Alguns protocolos de liquidez ou staking precisam mover tokens automaticamente (ex.: recompensas de farming). Nesses casos, o contrato costuma ser auditado e a comunidade confia na equipe. Sempre verifique se o endereço do contrato corresponde ao oficial antes de aprovar.

Q3: Existe alguma forma de impedir que um contrato malicioso gaste meus tokens mesmo após eu ter aprovado?

Não há como “bloquear” um contrato depois que a aprovação foi confirmada, exceto revogando a permissão. Portanto, a prevenção – limitar o valor aprovado e revisar o contrato antes de confirmar – é a única defesa eficaz.

Leitura adicional

  • Guia oficial da MetaMask sobre “Token Approvals”https://metamask.io/token-approvals.
  • Artigo da Trust Wallet sobre segurança de DAppshttps://trustwallet.com/blog/security.
  • Relatório de auditoria da BSCScan sobre contratos maliciososhttps://bscscan.com/contracts.

Ao adotar as práticas descritas neste artigo, você reduz drasticamente o risco de perder seus ativos por meio de autorizações indevidas. Mantenha sempre a atenção nos detalhes das transações, revogue permissões desnecessárias e utilize apenas DApps verificados. Segurança no universo cripto depende, sobretudo, da sua vigilância constante.

Plataformas Recomendadas

Procurando uma exchange confiável para operar?

  • Binance — A maior exchange de criptomoedas do mundo, com mais de 350 pares de negociação. Cadastre-se aqui com o código B2345 para descontos nas taxas
  • OKX — Plataforma profissional de derivativos e carteira Web3 integrada. Cadastre-se aqui com o código B2345 para benefícios de novo usuário
Cadastre-se na Binance – Menor taxa possível邀请码 B2345 · Taxa spot a partir de 0,075%
APK ChinaVer mais →

Fonte: 加密星球-CryptoPlanet

Bitaigen Research
Sobre o autor
Bitaigen Research

A equipe editorial do Bitaigen cobre notícias blockchain, análise de mercado e tutoriais de exchanges.

Junte-se ao nosso Telegram Discutir este artigo
Telegram →

Assinar Bitaigen

Notícias cripto semanais e análise de preço do Bitcoin direto no seu e-mail

🔒 Respeitamos sua privacidade. Sem spam, jamais.

⚠️ Aviso de risco: Os preços das criptomoedas são muito voláteis. Este artigo não é aconselhamento de investimento.

Artigos relacionados

MetaMask 2024: Guia para Instalar e Usar Criptomoedas

MetaMask 2024: Guia para Instalar e Usar Criptomoedas

Descubra como instalar a MetaMask, criar e proteger sua carteira, e enviar ou receber cripto em 2024, com dicas práticas de segurança e gerenciamento.

 Como configurar a carteira MetaMask em 2024 – Guia rápido

Como configurar a carteira MetaMask em 2024 – Guia rápido

Aprenda passo a passo a instalar, criar e proteger sua carteira MetaMask em 2024. Guia para iniciantes com download, configuração, Ethereum e dicas de segurança.

 Como instalar MetaMask em 2026 – Guia passo a passo

Como instalar MetaMask em 2026 – Guia passo a passo

Aprenda a instalar a extensão MetaMask em 2026 de forma segura e rápida. Baixe do site oficial, configure sua senha, proteja a Secret Recovery Phrase e comece a usar sua carteira criptográfica em minu

 Restaurar MetaMask com Seed Phrase ou Private Key – 2024

Restaurar MetaMask com Seed Phrase ou Private Key – 2024

Aprenda a recuperar sua carteira MetaMask com a seed phrase ou chave privada. Guia completo e atualizado para 2024, perfeito para iniciantes em criptomoedas.