How can I tell if a smart contract is legitimate before signing?

Always verify the contract address on Etherscan or your chain's block explorer, check that it matches the official project documentation (not just social media), and review the contract source code for suspicious functions. Look for transfers to unknown addresses, infinite approvals, or hidden drain mechanisms. If the code is unverified or you don't understand it, ask in legitimate community channels or use AI contract analysis tools, but never sign without understanding what permissions you're granting.

Can my funds be recovered after I sign a malicious smart contract?

Unfortunately, blockchain transactions are permanent and irreversible once confirmed. However, you should immediately revoke all token approvals using Revoke.cash, move any remaining funds to a secure wallet, and report the scam address to blockchain security platforms and the FBI's IC3. Some advanced recovery services can attempt to intercept pending transactions if you act within minutes, but success is extremely rare. Prevention is far more effective than recovery.

Why do legitimate-looking websites trick me into authorizing malicious contracts?

Scammers create pixel-perfect replicas of real DeFi platforms using stolen code and design assets, making them nearly indistinguishable from the original. They hide malicious smart contract code within seemingly normal transaction requests, exploiting the fact that most users don't read or understand the contract details they're authorizing. MetaMask and other wallets display warnings, but users often click through them without reading because legitimate transactions also generate these warnings.

What should I do immediately if I think I've signed a malicious contract?

First, stop using that wallet for any transactions. Immediately revoke all token approvals by visiting Revoke.cash or Etherscan's token approval page and disconnecting the malicious contract. Move any remaining funds to a secure wallet that has never been connected to the scam dApp. Do not sign any additional transactions from that wallet. Finally, document the scammer's wallet address and contract address, and report the incident to the FBI IC3 website and blockchain security platforms like Etherscan's abuse report feature.

How do I verify if a project announcement is real or a scam?

Treat all unsolicited announcements with extreme skepticism. Visit the official project website directly (type the URL yourself, don't click links) and check their primary verified social media accounts (marked with official blue checkmarks). Legitimate projects announce major updates on their official channels first, never through private messages or obscure links. If you're unsure, ask on the official verified Discord or Telegram, but be cautious of fake support accounts that may try to help you into a scam.

Crítico Perda média: $20,000 Duração típica: 1-7 days

Golpes de Engenharia Social em Contratos Inteligentes

A engenharia social em contratos inteligentes representa uma ameaça em rápida evolução direcionada aos detentores de criptomoedas, particularmente aqueles com conhecimento técnico moderado. Diferentemente de phishing simples, esses golpes exploram a natureza aparentemente legítima das transações blockchain, enganando usuários para que assinem voluntariamente contratos inteligentes que concedem aos golpistas acesso aos seus ativos digitais. O golpe geralmente se desenrola em 1 a 7 dias, com vítimas perdendo uma média de $20.000, embora alvos sofisticados tenham perdido significativamente mais. Os golpistas usam uma combinação de conteúdo gerado por IA, sites de projetos falsos e representação de protocolos DeFi legítimos para criar falsa urgência em torno de airdrops de tokens com prazo limitado, oportunidades de farm de rendimento ou eventos de cunhagem de NFT. De acordo com a firma de segurança blockchain Certik, incidentes de exploração de contratos inteligentes e engenharia social aumentaram 156% em 2023, com perdas superiores a $14 bilhões na categoria mais ampla de golpes DeFi. O que torna essa ameaça particularmente perigosa é que a transação blockchain em si é permanente e irreversível após assinada, e as vítimas muitas vezes não percebem que seus fundos foram comprometidos até dias após a autorização inicial.

Táticas comuns Como identificar Como se proteger Casos reais Perguntas frequentes Onde denunciar

Táticas comuns

• Criar sites réplica convincentes de plataformas DeFi legítimas como Uniswap ou OpenSea, completos com branding roubado e URLs quase idênticas (por exemplo, 'uniswap-swap.net' em vez de 'uniswap.org'), depois inserir código de contrato inteligente malicioso na interface.
• Enviar mensagens direcionadas no Discord ou Telegram representando moderadores de projetos, oferecendo alocações exclusivas de tokens ou acesso antecipado a pré-vendas que exigem conexão de carteira através de um dApp falso, acionando automaticamente assinaturas de aprovação de contrato.
• Gerar vídeos no YouTube ou Twitter spaces elaborados com IA apresentando versões deepfake de influenciadores de criptomoedas promovendo estratégias falsas de farm de rendimento com retornos de 500%+ APY, direcionando visualizadores para contratos de golpe em minutos.
• Usar contratos honeypot que parecem gerar lucros em transações de teste (mostrando pequenos ganhos de $10-50) antes da vítima assinar o contrato de drenagem real, explorando a crença psicológica de que validaram a oportunidade.
• Incorporar código de contrato malicioso dentro de páginas aparentemente legítimas de cunhagem de NFT, onde usuários autorizam limites de gastos de token (geralmente definidos como ilimitados) acreditando que estão apenas pagando taxas de gas, depois drenando suas carteiras semanas depois.
• Conduzir engenharia social reversa hackeando contas legítimas de mídia social de projetos e postando anúncios de saque ou troca de token que direcionam para contratos de golpe, aproveitando a confiança da comunidade estabelecida.

Como identificar

A carteira conectada mostra transações que você nunca iniciou, ou você recebe notificações sobre aprovações de token que não se lembra de autorizar, indicando que um contrato com funções ocultas de drenagem foi executado.
Uma 'oportunidade' recém-descoberta chegou através de mensagem não solicitada de alguém que se afirma ser um gerente de projeto, oferecendo acesso exclusivo que contorna canais públicos normais como sites oficiais.
A URL do site contém erros de digitação leves ou usa extensões de domínio similares mas diferentes (.net em vez de .org, ou inclui hífens em locais incomuns) em comparação com o site oficial do projeto legítimo.
Ao visualizar o contrato em exploradores blockchain como Etherscan, o código-fonte não é verificado, ou as funções do contrato incluem permissões suspeitas como 'transferFrom' com limites ilimitados apesar de afirmar facilitar apenas trocas de token.
A oportunidade promete retornos que são matematicamente impossíveis ou significativamente excedem taxas de mercado (rendimentos de 400%+ APY), combinado com pressão extrema de tempo afirmando que a oferta expira em horas.
O saldo da sua carteira diminui por quantias inesperadas pouco após autorizar o que você acreditava ser uma interação de contrato inofensiva, com registros blockchain mostrando transferências de token para endereços de carteira desconhecidos.

Como se proteger

Sempre navegue para plataformas DeFi digitando a URL oficial completa diretamente no seu navegador ou usando marcadores, nunca clicando em links de mídia social, emails ou mensagens, independentemente da credibilidade da fonte.
Antes de conectar sua carteira a qualquer dApp ou assinar qualquer interação de contrato, visualize o endereço do contrato no Etherscan ou PolygonScan, verifique se ele corresponde à documentação oficial do projeto e verifique se o código-fonte tem transferências para endereços desconhecidos.
Use ferramentas de aprovação de contrato como Revoke.cash ou a página de aprovações de token do Etherscan para limitar permissões de gastos de token a valores específicos ou contagens de transações em vez de conceder aprovações ilimitadas.
Crie carteiras de criptomoeda separadas dedicadas exclusivamente a interações DeFi com fundos limitados, mantendo a maioria das participações em carteiras de hardware seguras ou carteiras de armazenamento dedicadas que nunca se conectam a dApps.
Ative ferramentas de simulação de transações disponíveis através dos recursos de segurança do MetaMask ou serviços independentes como Tenderly para visualizar exatamente o que um contrato inteligente fará antes de assinar, observando transferências não autorizadas de token.
Verifique quaisquer anúncios importantes através de canais oficiais do projeto (website principal, contas Twitter verificadas com marca azul, Discord/Telegram oficial) antes de tomar qualquer ação, e faça referência cruzada em sites independentes de segurança blockchain como CertiK ou Trail of Bits.

Casos reais

Um usuário recebeu uma mensagem no Discord de uma conta exibindo o distintivo de moderador da OpenSea (adquirido através do recurso de verificação paga do Discord) oferecendo acesso antecipado exclusivo a um grande lançamento de NFT. A mensagem continha um link para um site visualmente idêntico ao OpenSea, onde o usuário conectou sua carteira MetaMask para 'confirmar elegibilidade.' A página de conexão exibiu uma solicitação de aprovação de token para 'gerenciamento de taxa de gas', que o usuário assinou sem ler os detalhes do contrato. Dentro de seis horas, a carteira do usuário foi drenada de 15 ETH (aproximadamente $27.000 na época) pois o contrato continha uma cláusula de aprovação infinita permitindo que o golpista sacasse todos os tokens ERC-20.

Um comerciante de criptomoedas encontrou um vídeo no YouTube apresentando o que parecia ser um conhecido influenciador de DeFi (na verdade um deepfake gerado usando IA generativa) demonstrando uma nova estratégia de farm de rendimento em um protocolo desconhecido. O vídeo mostrou transações de teste gerando 8 ETH em retornos em 30 minutos. O golpista forneceu uma URL encurtada direcionando para uma interface de contrato. Após a vítima depositar 2 ETH e receber o prometido 8 ETH em sua carteira (financiado por golpista para construir confiança), ela assinou uma segunda autorização de contrato para a 'taxa de saque.' Esse contrato continha uma função de drenagem que imediatamente transferiu todos os 10 ETH e vários outros tokens para uma carteira de golpista, totalizando $32.000 em perdas.

Um membro do grupo Telegram anunciou um airdrop com prazo limitado para um novo token de governança DeFi, afirmando que 10.000 tokens estavam disponíveis para os primeiros 100 membros da comunidade que conectassem suas carteiras e verificassem sua identidade. O processo exigia assinar uma interação de contrato dentro de duas horas. A vítima navegou para o site fornecido, conectou sua carteira e assinou o que parecia ser um contrato de reivindicação de token padrão. Desconhecido pela vítima, o contrato incluía código oculto que monitorava a carteira em busca de tokens aprovados e os transferia automaticamente para o endereço do golpista. Nos próximos três dias, conforme a vítima conduzia atividade DeFi normal e interagia com protocolos legítimos, várias transferências não autorizadas ocorreram, resultando finalmente em perdas de $18.500 em vários tokens.

Perguntas frequentes

Como posso saber se um contrato inteligente é legítimo antes de assinar?

Sempre verifique o endereço do contrato no Etherscan ou no explorador de blocos da sua cadeia, verifique se corresponde à documentação oficial do projeto (não apenas mídia social) e revise o código-fonte do contrato para funções suspeitas. Procure por transferências para endereços desconhecidos, aprovações infinitas ou mecanismos ocultos de drenagem. Se o código não for verificado ou você não o entender, pergunte em canais comunitários legítimos ou use ferramentas de análise de contrato com IA, mas nunca assine sem entender que permissões você está concedendo.

Meus fundos podem ser recuperados após assinar um contrato inteligente malicioso?

Infelizmente, as transações blockchain são permanentes e irreversíveis após confirmação. No entanto, você deve revogar imediatamente todas as aprovações de token usando Revoke.cash, mover quaisquer fundos restantes para uma carteira segura e relatar o endereço do golpe às plataformas de segurança blockchain e ao IC3 do FBI. Alguns serviços avançados de recuperação podem tentar interceptar transações pendentes se você agir dentro de minutos, mas o sucesso é extremamente raro. A prevenção é muito mais eficaz do que a recuperação.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), golpes de engenharia social em contratos inteligentes is described at https://scamlens.org/pt/encyclopedia/smart-contract-social-engineering.

https://scamlens.org/pt/encyclopedia/smart-contract-social-engineering

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API