Como auditar a superficie de ataque da sua carteira de criptomoedas: revogar aprovacoes, usar carteiras burner e fortalecer a seguranca Web3

12 de maio de 2026•15 min de leitura•Segurança

Como auditar a superfície de ataque da sua carteira crypto

A maioria dos utilizadores de criptomoedas pensa que uma carteira hardware ou uma senha forte e suficiente. Nao e. Cada vez que se conecta a um protocolo DeFi ou cria um NFT, deixa um rasto de aprovacoes de tokens - permissoes silenciosas e permanentes que permitem a contratos de terceiros mover os seus fundos sem voltar a perguntar. Este guia leva-o passo a passo pela auditoria completa da superficie de ataque da sua carteira e pelo encerramento das lacunas antes que alguem as explore.

Por que a sua carteira crypto tem uma superficie de ataque (e por que a maioria dos utilizadores nao se apercebe)

Quando se fala de manter criptomoedas seguras, a conversa costuma parar nas frases semente e nas senhas fortes. Isso importa, mas aborda apenas uma camada do problema. A superficie de ataque da sua carteira e significativamente mais ampla e cresce cada vez que interage com a blockchain.

Uma superficie de ataque e o conjunto total de pontos de entrada que um adversario pode explorar para aceder aos seus ativos sem a sua cooperacao. Para uma carteira crypto, essa superficie inclui o dispositivo que usa, as extensoes de navegador que executa, os contratos inteligentes que autorizou, as assinaturas que produziu e os URLs que visitou. Cada interacao deixa um residuo - permissoes, aprovacoes e estados de sessao que persistem muito depois de a transacao original ter sido esquecida.

As aprovacoes de tokens sao a parte mais subestimada dessa superficie. Quando interage com um protocolo DeFi, assina uma transacao ERC-20 approve() que concede a um contrato inteligente o direito de transferir os seus tokens. A maioria dos protocolos solicita um limite ilimitado por defeito - assina uma vez e nao volta a pensar nisso. O contrato retém essa permissao indefinidamente, mesmo que o protocolo seja mais tarde comprometido, abandonado ou substituido por uma versao maliciosa.

A dimensao do problema

A Chainalysis documentou $516,8 milhoes roubados atraves de phishing de aprovacoes em 2022 e $374,6 milhoes em 2023, com mais de $1 biliao subtraido desde maio de 2021. O relatorio do FBI IC3 de 2025 registou $20,8 mil milhoes em perdas totais de cibercrime, dos quais $11 mil milhoes envolveram criptomoedas - 72% dos casos de fraude de investimento incluiam cripto. TRM Labs (2026): fluxos ilegais de cripto atingiram um recorde de $158 mil milhoes em 2025. Chainalysis 2026: burlas crypto totalizaram $17 mil milhoes em 2025, com burlas de personificacao a subir mais de 1.400%.

O mecanismo de phishing de aprovacoes e tecnicamente elegante e devastadoramente eficaz. Ao contrario de um comprometimento de chave privada, um exploit de aprovacao funciona ao nivel do contrato inteligente. O atacante so precisa de uma assinatura sua: a chamada maliciosa approve(). Depois, o contrato drainer chama silenciosamente transferFrom(), movendo os seus tokens para enderecos controlados pelo atacante. A sua chave privada nunca e tocada.

Este guia delinea os cinco passos que cada utilizador de criptomoedas deve dar para reduzir a superficie de ataque da carteira a um nivel gerivel. O processo e pratico, demora menos de uma hora para a maioria das carteiras e nao requer conhecimentos tecnicos alem de ligar uma carteira a um navegador.

Passo 1 - Audite as suas aprovacoes de tokens existentes

Antes de poder fechar as lacunas, precisa de saber o que deixou aberto. O primeiro passo e uma auditoria completa de cada aprovacao de token ativa associada ao seu endereco. A maioria das carteiras nao mostra esta informacao - o dashboard do MetaMask mostra saldos, nao a lista de contratos autorizados a gastá-los.

Tres ferramentas tornam esta auditoria simples:

Etherscan Token Approval Checker (etherscan.io/tokenapprovalchecker) - a referencia on-chain mais utilizada. Ligue a carteira ou cole o seu endereco. A ferramenta consulta a blockchain Ethereum e lista cada contrato com aprovacao ativa, o token aprovado e o valor do limite. Funciona para tokens ERC-20 na mainnet Ethereum.
Revoke.cash - suporte multi-cadeia: Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base, Avalanche e dezenas de outros. Mostra o valor da aprovacao, o momento e o contrato receptor.
MetaMask Portfolio - se usa MetaMask, o separador Portfolio em portfolio.metamask.io inclui um dashboard de aprovacoes em todas as redes ligadas com revogacao a um clique.

Preste atencao a tres categorias de aprovacao:

Aprovacoes ilimitadas - qualquer aprovacao com um numero muito grande (ou "ilimitado") concede controlo total sobre o saldo de tokens. Sao as entradas de maior risco.
Aprovacoes para contratos desconhecidos ou suspeitos - se o endereco do spender nao tem etiqueta Etherscan ou documentacao publica, trate-o como suspeito.
Aprovacoes desatualizadas de protocolos antigos - os protocolos DeFi fecham, mudam ou sao pirateados. Uma aprovacao concedida ha dois anos a um protocolo que ja nao existe continua ativa e exploravel.

O que vai encontrar

Um utilizador ativo de DeFi com 12 meses de historico on-chain tipicamente encontrara entre 20 e 60 aprovacoes ativas. Muitas serao de protocolos que mal se lembra de ter usado. Uma parte significativa sera ilimitada. Esta e a sua superficie de ataque - e ate a auditar, nao pode vê-la.

Tome nota de quais aprovacoes quer conservar (posicoes ativas em protocolos a funcionar) e quais nao tem motivo atual para manter. O passo seguinte e o processo de revogacao.

Passo 2 - Revogue aprovacoes perigosas ou ilimitadas

Revogar uma aprovacao e uma transacao on-chain. Custa gas, demora alguns segundos e remove permanentemente a autorizacao do spender sobre esse token. Nao precisa de fechar posicoes ou retirar fundos primeiro - revogar significa simplesmente que o contrato ja nao pode mover esses tokens em seu nome.

Trabalhe a sua lista de auditoria na seguinte ordem de prioridade:

Prioridade 1: Contratos desconhecidos ou suspeitos com aprovacao ilimitada. Se nao consegue identificar o contrato spender - sem etiqueta Etherscan, sem nome de protocolo reconhecivel - revogue imediatamente.
Prioridade 2: Aprovacoes ilimitadas desatualizadas para protocolos inativos. Mesmo que reconheca o nome do protocolo, se ja nao o usa ativamente, remova a aprovacao.
Prioridade 3: Aprovacoes ilimitadas para tokens de alto valor (ETH, WBTC, stablecoins) com protocolos ativos. Considere definir uma aprovacao finita. O Revoke.cash permite editar o valor do limite.
Prioridade 4: Restantes aprovacoes ilimitadas para protocolos ativos. Agrupe as revogacoes para reduzir custos de gas.

Dica pratica: revogacoes em lote

O Revoke.cash suporta revogacao em lote em algumas redes, permitindo colocar em fila varias revogacoes e enviá-las numa unica sessao de carteira. Use a opcao "Selecionar tudo" e o botao de revogacao em lote onde disponivel.

Uma preocupacao comum e se a revogacao vai quebrar posicoes DeFi ativas. Na maioria dos casos nao vai - a sua posicao no pool de liquidez ou staking persiste on-chain independentemente das aprovacoes. A aprovacao so importa para futuros transferencias de tokens. Em caso de duvida, consulte a documentacao do protocolo.

Torne a revogacao parte da sua rotina: execute a auditoria apos cada sessao DeFi importante e especialmente apos interagir com protocolos novos ou nao auditados.

Passo 3 - A estrategia da carteira burner: isole o seu risco

Mesmo depois de revogar todas as aprovacoes existentes, novas interacoes DeFi criarao novas. A resposta estrutural a este problema e a segmentacao da carteira - especificamente, o uso de uma carteira burner dedicada.

Uma carteira burner e um endereco de carteira hot separado usado exclusivamente para interacoes DeFi, criacao de NFT, reclamacao de airdrops e qualquer outra atividade on-chain. O principio central e simples: a carteira burner contem apenas os fundos minimos necessarios para a transacao imediata. Os seus ativos principais nunca residem no burner.

O principio de isolamento

Se uma aprovacao maliciosa esvaziar a sua carteira burner, o atacante obtem apenas o que foi carregado para essa sessao. A sua carteira principal - guardada num dispositivo hardware, nunca ligada diretamente a dApps - permanece completamente intacta. O burner e concebido para ser descartavel.

Configurar uma carteira burner demora cerca de cinco minutos:

Crie um novo endereco de carteira no MetaMask (ou qualquer outra carteira hot) com uma frase semente unica guardada de forma segura offline.
Financie apenas para a sessao. Antes de cada interacao DeFi, transfira apenas o necessario - gas suficiente mais os tokens para a transacao especifica. Apos a sessao, devolva o valor restante para a carteira principal ou hardware.
Mantenha-a completamente separada da sua identidade principal. Nao ligue o endereco do burner ao seu nome ENS, perfis sociais publicos ou servicos de email.
Descarte-a periodicamente. Crie um novo endereco burner a cada poucos meses ou apos qualquer interacao sobre a qual tenha duvidas.

A carteira hardware e o complemento do burner, nao um substituto. O seu Ledger ou Trezor guarda a maioria do portfolio e nunca se liga diretamente a dApps. A sua superficie de ataque e quase zero.

Passo 4 - Reconheca tentativas de phishing de aprovacoes em tempo real

Revogar aprovacoes antigas elimina a exposicao historica. Reconhecer tentativas de phishing em tempo real previne a criacao de nova exposicao. O phishing de aprovacoes baseia-se em engenharia social para o levar a assinar uma transacao que nao assinaria se compreendesse o que faz.

A mecanica e consistente entre campanhas: a vitima e direcionada para um site malicioso - atraves de uma mensagem Discord, falso anuncio de airdrop, URL de protocolo falsificado ou conta de personificacao no X. O site pede para "ligar a carteira" e depois solicita imediatamente uma aprovacao de transacao que parece de rotina. O alvo clica em confirmar. Desde esse momento, o drainer tem acesso silencioso e ilimitado ao token aprovado.

Operacao Atlantic: aplicacao coordenada da lei

Em marco de 2026, uma operacao conjunta EUA/Reino Unido/Canada - analisada com a blockchain analytics da Elliptic - perturbou uma das maiores redes conhecidas de phishing de aprovacoes. A operacao congelou $12 milhoes, derrubou 120 dominios e identificou mais de 20.000 vitimas representando $45 milhoes em fraudes perturbadas. As burlas de personificacao tinham aumentado mais de 1.400% nos 12 meses anteriores (Chainalysis).

Sinais de aviso de que um pedido de transacao e uma tentativa de phishing:

O pedido de aprovacao aparece imediatamente apos ligar a carteira, antes de ter ocorrido qualquer interacao significativa.
O endereco do spender nos dados da transacao do MetaMask nao tem etiqueta reconhecivel. Um endereco hex sem etiqueta a pedir aprovacao ERC-20 ilimitada requer cautela imediata.
O pedido chegou por mensagem direta - de uma conta de "suporte", "membro da equipa" ou convite nao solicitado para reclamar tokens. Nenhum fluxo de suporte legitimo envolve colar um link em DMs.
O URL e um homoglifo ou typosquat de um protocolo legitimo. Compare o dominio caracter a caracter. Navegue sempre para os protocolos a partir de favoritos ou links oficiais.
A transacao pede para assinar dados off-chain (eth_sign) com payload incomum. Leia o hex completo antes de assinar.

Em caso de duvida, nao assine. O custo de uma oportunidade perdida e sempre inferior ao custo de um esvaziamento por aprovacao.

Passo 5 - Reforce a sua higiene de assinatura

A sua chave privada e tao segura quanto o seu comportamento de assinatura. Mesmo que a sua carteira nunca seja diretamente comprometida, assinar de forma descuidada expoe-o a toda a gama de vetores de ataque Web3 - phishing de aprovacoes, esvaziamentos Permit2, chamadas de delegado maliciosas e ataques de repetição de assinatura. A boa higiene de assinatura e a disciplina de tratar cada pedido de assinatura como potencialmente hostil ate ser verificado em contrario.

Praticas fundamentais de higiene de assinatura:

Leia os dados completos da transacao antes de assinar. O MetaMask mostra um campo de dados hex para cada transacao. Expanda-o. Veja a funcao que esta a ser chamada e o endereco do spender. Se os dados sao ilegíveis e a dApp nao consegue explicar o que esta a assinar, nao assine.
Use uma carteira hardware para qualquer coisa acima do seu limiar pessoal de risco. Um Ledger ou Trezor mostra fisicamente os dados completos da transacao no seu proprio ecra, separado do computador potencialmente comprometido. Para holdings acima de algumas centenas de euros, uma carteira hardware e a atualizacao individual mais eficaz.
Nunca defina aprovacoes ilimitadas quando um valor especifico e suficiente. A maioria dos fluxos de aprovacao tem uma opcao "editar valor". Use-a. Insira o valor exato que esta a depositar em vez de aceitar o valor ilimitado por defeito.
Verifique obsessivamente os URLs das dApps. Antes de ligar a carteira a qualquer protocolo, verifique o URL com a documentacao oficial, a conta Twitter/X verificada e idealmente o repositorio GitHub. Guarde o URL correto nos favoritos apos a primeira visita verificada.
Nunca assine a partir de um link recebido por mensagem direta, email ou notificacao de airdrop nao solicitada. Cada dApp legitima tem um URL publico verificavel. Um link num DM de alguem que nao conhece e por defeito um sinal de alarme.
Compreenda a diferenca entre eth_sign e assinaturas de dados tipificados. eth_sign assina um hash arbitrario - pode autorizar qualquer coisa. As assinaturas de dados tipificados (EIP-712) mostram campos legiveis. Se o MetaMask mostrar um hash em bruto sem contexto, rejeite-o.
Mantenha um ambiente de assinatura limpo. As extensoes de navegador podem injetar codigo malicioso nas paginas web. Mantenha um perfil de navegador separado para interacoes DeFi, com apenas a extensao de carteira instalada.

Contexto FATF e regulatorio

A atualizacao especifica do GAFI (FATF) de 2025 sobre ativos virtuais e VASPs assinalou explicitamente o phishing de aprovacoes e a exploracao de contratos inteligentes como vetores de risco emergentes para a conformidade. O documento do FATF sobre indicadores de alerta de ativos virtuais lista padroes de transacoes incomuns - incluindo aprovacoes rapidas de alto valor seguidas de transferencias imediatas - como sinais que justificam diligencia devida acrescida. A higiene de assinatura alinha-se com os padroes de comportamento que os reguladores usam para distinguir utilizadores legitimos de contas exploradas.

O que fazer imediatamente se a sua carteira foi esvaziada

A velocidade e a unica coisa que importa nos primeiros 30 minutos apos um esvaziamento por aprovacao. As transacoes blockchain sao irreversiveis, mas o pipeline do atacante - converter tokens roubados em stablecoins, rotear atraves de bridges e converter em dinheiro - requer tempo. Cada minuto em que age e um minuto em que pode potencialmente reduzir as perdas.

Nos primeiros 10 minutos:

Transfira imediatamente os ativos restantes para fora da carteira comprometida. Se o esvaziamento foi seletivo, outros tokens podem estar presentes. Mova-os para um endereco novo e limpo.
Nao use o mesmo navegador, computador ou rede se suspeitar de infecao por malware. Passe para um dispositivo limpo antes de continuar.
Revogue todas as aprovacoes restantes do endereco comprometido usando Revoke.cash ou Etherscan num dispositivo limpo.

Dentro da primeira hora:

Documente tudo. Capturas de ecra dos hashes de transacao do esvaziamento, do endereco do contrato malicioso, do URL do site se conhecido, de quaisquer mensagens recebidas e da sequencia exata de eventos.
Reporte ao Centro de Queixas de Crimes na Internet do FBI (IC3) em ic3.gov ou a autoridade nacional de cibercrime (em Portugal: CERT.PT, GNR/Divisao de Ciberterrorismo, ou a PSP). O FBI IC3 registou $11 mil milhoes em perdas relacionadas com cripto em 2025.
Reporte o contrato malicioso a plataformas de analytics blockchain. Envie o endereco do drainer ao sistema de sinalizacao do Etherscan e a Chainabuse.com.
Contacte uma empresa de forense blockchain. Empresas como a Recoveris especializam-se em rastrear ativos digitais roubados entre cadeias, identificar infraestrutura do atacante e construir os pacotes de evidencias necessarios para procedimentos de recuperacao legal. O envolvimento nas primeiras 24-48 horas melhora significativamente a rastreabilidade.

Como e uma recuperacao realista

O rastreamento on-chain pode seguir fundos atraves de bridging e conversao de stablecoins. Se o atacante usar uma exchange centralizada para converter em dinheiro, intimacoes a exchange podem congelar contas - especialmente em jurisdicoes onde o FBI IC3 e a Europol tem acordos de cooperacao ativos. A Operacao Atlantic congelou $12 milhoes em marco de 2026 exatamente atraves desta coordenacao. A recuperacao nao e garantida, mas nao e impossivel - e agir cedo e a diferenca entre um rasto rastreavel e um caso frio.

Apos a resposta imediata, conduza uma revisao completa do incidente: identifique exatamente como a aprovacao maliciosa foi assinada, feche a lacuna de seguranca que o permitiu, audite todas as outras carteiras e considere se contas associadas (email, exchanges, redes sociais) podem tambem estar comprometidas.

Referencias

1.Chainalysis. Targeted Approval Phishing Scams See Explosive Growth. 14 de dezembro de 2023. chainalysis.com
2.Chainalysis. Crypto Scams 2026. Marco 2026. chainalysis.com
3.Elliptic. Inside Operation Atlantic. 16 de marco de 2026. elliptic.co
4.Elliptic. The State of Crypto Scams 2025. Dezembro 2025. elliptic.co
5.FBI IC3. 2025 Internet Crime Report. Abril 2026. ic3.gov
6.FATF. Targeted Update on Virtual Assets and VASPs 2025. Junho 2025. fatf-gafi.org
7.FATF. Virtual Assets: Red Flag Indicators. Setembro 2020. fatf-gafi.org
8.TRM Labs. 2026 Crypto Crime Report. Janeiro 2026. trmlabs.com
9.Ledger Academy. Ethereum Token Approvals Explained. Maio 2024. ledger.com
10.Chainalysis. Crypto Drainers. Outubro 2024. chainalysis.com
11.US Secret Service. Operation Atlantic. Abril 2026. secretservice.gov
12.Etherscan. Token Approval Checker. 2024-presente. etherscan.io
13.MetaMask. How to revoke smart contract allowances. 2024. support.metamask.io

Perguntas frequentes

O que e uma aprovacao de token ERC-20 e por que e perigosa?

Uma aprovacao de token ERC-20 e uma permissao que concede a um contrato inteligente - chamado spender - para transferir tokens do seu endereco em seu nome. Este mecanismo existe para que os protocolos DeFi possam executar swaps e depositos sem exigir a assinatura de cada transferencia individual. O risco surge quando o valor da aprovacao e definido como "ilimitado": o contrato spender pode esvaziar todo o seu saldo de tokens a qualquer momento, sem qualquer acao adicional da sua parte. Um contrato malicioso com aprovacao ilimitada e funcionalmente equivalente a ter acesso direto a esses tokens.

Quanto foi roubado atraves de phishing de aprovacoes?

A Chainalysis documentou $516,8 milhoes roubados atraves de phishing de aprovacoes em 2022 e $374,6 milhoes em 2023, com mais de $1 biliao subtraido desde maio de 2021. O FBI IC3 registou $11 mil milhoes em perdas relacionadas com cripto em 2025. A TRM Labs reportou fluxos ilegais de cripto de $158 mil milhoes em 2025.

Que ferramentas posso usar para revogar aprovacoes de tokens?

As tres principais opcoes sao: Etherscan Token Approval Checker para a mainnet Ethereum; Revoke.cash para suporte multi-cadeia em Ethereum, BNB Chain, Polygon, Arbitrum, Base e muitos outros; e MetaMask Portfolio para utilizadores do MetaMask. Todas sao gratuitas - paga apenas o gas on-chain de cada transacao de revogacao.

O que e uma carteira burner e como me protege?

Uma carteira burner e um endereco hot wallet dedicado usado exclusivamente para interacoes DeFi e NFT. Contem apenas os fundos minimos necessarios. Os seus ativos principais permanecem numa carteira hardware que nunca se liga diretamente a dApps. Mesmo que uma aprovacao maliciosa esvazie o burner, o atacante obtem apenas o que foi carregado para essa sessao. A superficie de ataque do hardware wallet permanece quase zero.

O que devo fazer imediatamente se a minha carteira foi esvaziada?

Aja imediatamente. Primeiro, transfira os ativos restantes para um endereco limpo. Depois revogue todas as aprovacoes pendentes num dispositivo limpo. Documente os hashes de transacao, o endereco do contrato malicioso e o URL do site. Reporte ao FBI IC3 em ic3.gov ou a autoridade nacional de cibercrime. Contacte uma empresa de forense blockchain - o envolvimento nas primeiras 24-48 horas melhora significativamente as hipoteses de rastrear os fundos antes de serem dispersos.

A sua carteira foi esvaziada?

A Recoveris e uma empresa de inteligencia blockchain e recuperacao de ativos digitais com sede em Zug, Suica. A nossa equipa de investigadores forenses e especialistas juridicos trabalha com particulares, instituicoes e forcas policiais para rastrear cripto roubada e prosseguir opcoes de recuperacao legal.

Solicitar uma Avaliacao Confidencial