How can I tell if an NFT marketplace is legitimate?

Always verify the exact URL in your browser's address bar matches the official website (bookmark legitimate sites to avoid typos). Check the project's Twitter account for a blue verification badge (not purchased verification), look for consistent branding and professional website design, and confirm the marketplace has been operating for at least 12-18 months with documented transaction history on blockchain explorers like Etherscan.

What should I do if I've already approved a malicious smart contract?

Immediately revoke the approval using platforms like revoke.cash or etherscan.io's token approval checker. Move any remaining funds and NFTs to a new wallet address created from a fresh seed phrase. Do not send cryptocurrency to this wallet from exchanges or your old wallet, as the scammer may monitor it for activity. Consider the compromised wallet a total loss and cease using it.

Are NFTs on established platforms like OpenSea and Magic Eden safe?

Established platforms provide significantly more protection through smart contract audits, dispute resolution processes, and fraud detection tools. However, individual creators can still list malicious NFTs, so your responsibility is to verify the creator's legitimacy, review the smart contract code if possible, and check the NFT's transaction history. Even on legitimate platforms, due diligence is essential before making purchases.

Can I recover stolen NFTs or cryptocurrency?

Blockchain transactions are irreversible, making recovery extremely difficult. However, you should report the scam to the FBI's Internet Crime Complaint Center (IC3.gov), your country's financial regulator, and the relevant blockchain network's fraud team. If significant sums are involved, consult with a lawyer specializing in cryptocurrency fraud, though legal recovery typically requires identifying the scammer—which is rare without law enforcement resources.

What's the difference between a rugpull and other NFT scams?

A rugpull is a specific type of scam where a project's creators intentionally abandon the project and steal collected funds, usually after building significant hype. Other NFT scams include wallet drains through malicious contracts, marketplace impersonation, and phishing. Rugpulls typically promise a product or utility that was never intended to be delivered, while other scams aim to steal existing assets from your wallet. Both are financial crimes, but rugpulls often involve premeditation and larger sums.

Alto risco Perda média: $5,000 Duração típica: 1-7 days

Golpes em NFT: Como Proteger Seus Ativos Digitais

Golpes em NFT (Token Não-Fungível) emergiram como um dos esquemas de fraude em criptomoedas de crescimento mais rápido, com vítimas perdendo bilhões anualmente. Esses golpes exploram a relativa novidade e complexidade da tecnologia blockchain, mirando tanto em investidores de criptomoedas experientes quanto em iniciantes que buscam entrar no espaço de NFTs. O crescimento rápido do mercado—vendas de NFT ultrapassaram US$ 25 bilhões em 2021—atraiu fraudadores sofisticados que criam marketplaces contrafatos, coleções falsas de NFT e esquemas de engenharia social para roubar carteiras digitais e criptomoedas. O que torna os golpes em NFT particularmente perigosos é sua velocidade: a maioria das vítimas relata perdas entre 1-7 dias após o envolvimento, e a natureza irreversível das transações blockchain significa que os ativos roubados são praticamente impossíveis de recuperar. Os golpes em NFT mais comuns se enquadram em três categorias principais: rugpulls (onde desenvolvedores abandonam projetos após coletar fundos de investidores), personificação de marketplace (versões falsas de OpenSea, Magic Eden e outras plataformas) e drenagem de carteira através de contratos inteligentes maliciosos e phishing. De acordo com a Chainalysis, aproximadamente 14% de todas as perdas por golpes de criptomoedas em 2022 envolveram NFTs, com a vítima média de golpe em NFT perdendo entre US$ 5 mil e US$ 15 mil. Os fraudadores tornaram-se altamente sofisticados, criando réplicas quase perfeitas de plataformas legítimas, contas de mídia social verificadas e comunidades Discord para construir credibilidade falsa. O anonimato das transações blockchain e a falta de supervisão regulatória tornam a perseguição quase impossível, deixando as vítimas com poucos recursos para recuperação.

Táticas comuns Como identificar Como se proteger Casos reais Perguntas frequentes Onde denunciar

Táticas comuns

• Criar sites falsos de marketplace de NFT (OpenSea, Magic Eden, Blur contrafeitos) que parecem idênticos às plataformas legítimas, completos com designs clonados e sistemas de pagamento que redirecionam fundos para carteiras de fraudadores.
• Lançar projetos 'rugpull' onde desenvolvedores prometem coleções exclusivas de NFT, constroem hype através de Discord e Twitter, coletam milhões em compras, depois desaparecem com todos os fundos enquanto abandonam o projeto.
• Personificar criadores verificados de NFT e projetos em mídias sociais, compartilhando links falsos de cunhagem para coleções contrafeitas que drenam carteiras conectadas usando contratos inteligentes maliciosos.
• Criar servidores Discord falsos de 'whitelisting' ou 'allowlist' que exigem que os usuários depositem criptomoedas para 'verificar' sua elegibilidade, com os fundos depositados sendo roubados imediatamente.
• Distribuir golpes de airdrop através de tokens falsos de NFT que aparecem em carteiras, tentando os usuários a interagir com contratos maliciosos que solicitam aprovação de carteira e drenam todos os ativos conectados.
• Realizar ataques de 'floor sweep' onde fraudadores compram seus próprios NFTs a preços inflacionados para estabelecer falsamente avaliações, depois vendem NFTs inúteis para compradores enganados a preços premium.

Como identificar

A URL do site é ligeiramente diferente da plataforma legítima (por exemplo, 'opensea-official.com' em vez de 'opensea.io'), ou usa uma extensão de domínio diferente (.net, .xyz, .io em vez de .io).
As contas de mídia social do projeto foram criadas recentemente, carecem de histórico de engajamento, ou possuem badges de verificação comprados através de serviços de terceiros em vez de ganhos pela plataforma.
As taxas de gas para transações são incomumente altas (500+ Gwei) ou a transação parece estar aprovando gastos ilimitados de tokens para endereços de contrato inteligente desconhecidos.
O projeto de NFT promete retornos garantidos ou usa linguagem de alta pressão como 'oferta por tempo limitado' ou 'apenas 100 spots disponíveis' para apressar sua decisão em horas.
A comunidade Discord ou Telegram contém numerosos erros de digitação em mensagens oficiais, bots que apenas direcionam usuários para links externos, ou canais onde perguntas legítimas são imediatamente deletadas.
O NFT possui histórico de negociação mostrando preços manipulados através de wash trading (a mesma carteira comprando e vendendo repetidamente), ou preços de piso que aumentam irrealisticamente dentro de 24 horas do lançamento.

Como se proteger

Verificar o site oficial e contas de mídia social consultando o repositório GitHub do projeto, histórico de transações blockchain anterior e referência cruzada com fontes estabelecidas de notícias sobre criptomoedas como CoinDesk ou The Block.
Usar carteiras de hardware (Ledger, Trezor) para armazenar NFTs e criptomoedas em vez de carteiras baseadas em navegador ou carteiras de exchange, e conectar carteiras de hardware apenas a marketplaces usando aplicativos oficiais de carteira de hardware.
Revisar cuidadosamente as permissões de contrato inteligente antes de aprovar qualquer transação: nunca aprove gastos ilimitados, aprove apenas o valor exato necessário para a transação, e revogue aprovações não utilizadas em plataformas como Etherscan.
Pesquisar o time do projeto minuciosamente verificando suas identidades reais, checando seu histórico profissional no LinkedIn, revisando projetos anteriores que completaram, e confirmando seu envolvimento através de múltiplas fontes independentes.
Adicionar marketplaces legítimos de NFT aos favoritos (opensea.io, blur.io, magic-eden.com) e sempre acessá-los através de favoritos em vez de clicar em links de mídias sociais, emails ou mensagens Discord.
Ativar autenticação multifator (2FA) em todas as contas de exchange de criptomoedas e carteiras, usar senhas únicas e fortes gerenciadas por um gerenciador de senhas, e nunca compartilhar sua seed phrase ou chaves privadas independentemente das circunstâncias.

Casos reais

Um investidor descobriu um projeto de NFT baseado em Ethereum chamado 'MetaVerse Elite' através de um convite Discord. O projeto tinha 5.000 seguidores, um site com aparência profissional, e prometia acesso antecipado a imóveis digitais exclusivos. Após depositar 2 ETH (US$ 3.400) para cunhar NFTs, o servidor Discord ficou offline, o site tornou-se inacessível, e o contrato foi imediatamente esvaziado de todos os fundos. Toda a operação durou 18 horas.

Uma vítima visitou o que parecia ser o site oficial do OpenSea (na verdade opensea-official.net) depois de clicar em um link que parecia ser um email oficial. Ela conectou sua carteira MetaMask para listar sua coleção existente de NFT para venda. O site malicioso então a solicitou 'verificar' sua carteira, que na verdade iniciou uma transação que aprovou o fraudador para transferir todos os NFTs e saldos de tokens de sua carteira conectada.

Um colecionador de NFT recebeu um airdrop de um novo token chamado 'Genesis Pass' que apareceu em sua carteira. Animado com criptomoeda gratuita, ele clicou no botão 'claim' no site do projeto, que solicitou aprovação do MetaMask. Conceder essa aprovação deu ao contrato inteligente do fraudador permissão para drenar a carteira de ETH, USDC e outros tokens conectados no valor de aproximadamente US$ 8.500, tudo processado em poucos minutos.

Perguntas frequentes

Como posso dizer se um marketplace de NFT é legítimo?

Sempre verifique se a URL exata na barra de endereços do seu navegador corresponde ao site oficial (adicione sites legítimos aos favoritos para evitar erros de digitação). Verifique a conta do Twitter do projeto em busca de um badge de verificação azul (não verificação comprada), procure por branding consistente e design profissional do site, e confirme que o marketplace está operando há pelo menos 12-18 meses com histórico de transação documentado em exploradores blockchain como Etherscan.

O que devo fazer se já aprovei um contrato inteligente malicioso?

Revogue imediatamente a aprovação usando plataformas como revoke.cash ou o verificador de aprovação de tokens do etherscan.io. Mova quaisquer fundos restantes e NFTs para um novo endereço de carteira criado a partir de uma seed phrase nova. Não envie criptomoedas para esta carteira de exchanges ou sua carteira antiga, pois o fraudador pode monitorá-la para atividade. Considere a carteira comprometida uma perda total e deixe de utilizá-la.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), golpes em nft: como proteger seus ativos digitais is described at https://scamlens.org/pt/encyclopedia/nft-scam.

https://scamlens.org/pt/encyclopedia/nft-scam

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API