What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

Crítico Perda média: $20,000 Duração típica: 1-3 days

Exploração de Aprovação de Token: Como Golpistas Drenam Carteiras Web3

Uma exploração de aprovação de token é um golpe Web3 sofisticado em que invasores manipulam usuários para assinarem digitalmente uma transação de contrato inteligente que concede permissão ilimitada para transferir tokens específicos de sua carteira. Diferentemente de hacking tradicional, este ataque exige consentimento explícito do usuário—mas as vítimas não entendem o que estão autorizando. Uma vez aprovado, os golpistas executam transações de drenagem que transferem tokens para endereços controlados pelo invasor, frequentemente em poucas horas. O ataque tornou-se cada vez mais prevalente conforme as finanças descentralizadas (DeFi) crescem; a empresa de análise de blockchain Chainalysis relatou que o roubo baseado em aprovação aumentou 400% entre 2022 e 2023, com vítimas perdendo coletivamente mais de R$ 1,4 bilhão anualmente. O mecanismo explora um princípio fundamental de design Web3: contratos inteligentes precisam de permissões de aprovação para interagir com tokens do usuário. Golpistas weaponizam isso disfarçando solicitações de aprovação como transações legítimas (afirmando serem cunhagem de NFT, trocas de tokens ou votos de governança) quando na verdade estão concedendo direitos de transferência ilimitada. O que torna isso particularmente perigoso é o atraso de tempo—vítimas podem não perceber que suas carteiras foram comprometidas até dias ou semanas depois, momento em que os tokens já foram transferidos para serviços de mixagem e exchanges, tornando a recuperação quase impossível.

Táticas comuns Como identificar Como se proteger Casos reais Perguntas frequentes Onde denunciar

Táticas comuns

• Phishing com interfaces dApp enganosas: Golpistas criam aplicativos descentralizados falsos que espelham plataformas legítimas (OpenSea, Uniswap, Aave), mas redirecionam usuários para contratos inteligentes maliciosos que solicitam aprovações de token em vez de executar a função alegada.
• Engenharia social via Discord/Telegram: Invasores publicam links falsificados em servidores de comunidades Web3, alegando drops de NFT exclusivos, airdrops de governança ou oportunidades de farm de rendimento que requerem conexão de carteira e aprovação de token.
• Extensões de navegador de carteira comprometidas: Extensões maliciosas de Chrome ou Firefox se passam por ferramentas MetaMask ou de gerenciamento de carteira, injetando solicitações de aprovação falsa em interações legítimas de dApp sem conhecimento do usuário.
• Exploração da confusão do usuário sobre mecânicas de aprovação: Golpistas aproveitam o fato de que a maioria dos usuários não entende a diferença entre aprovação de transação (assinar uma ação única) e aprovação de token (conceder acesso futuro ilimitado), incorporando linguagem técnica que soa real em suas solicitações.
• Campanhas de pesca de raridade de NFT: Invasores criam plataformas falsas de negociação de NFT ou lançamentos oferecendo coleções raras, exigindo que usuários aprovem tokens para reivindicar ou licitar, depois drenam carteiras imediatamente após a aprovação ser concedida.
• Manipulação enganosa de UI/UX: dApps de golpe exibem descrições de transação vagas ('Confirmar Troca', 'Ativar Trading') enquanto ocultam a quantidade de aprovação real, frequentemente configurando allowance ilimitada (type(uint256).max) no código.

Como identificar

Você é solicitado a aprovar um token específico, mas o dApp afirma oferecer um serviço não relacionado (como uma cunhagem de NFT solicitando aprovação para um token de governança que você não possui).
A solicitação de aprovação mostra uma quantidade de allowance unusualmente alta ou 'ilimitada' (exibida como um número muito grande ou MAX nos detalhes da transação).
A URL da transação ou domínio do dApp é ligeiramente digitado incorretamente em comparação com a versão legítima (por exemplo, 'uniswapp.org' em vez de 'uniswap.org').
Você recebe uma tela de confirmação de transação que não declara claramente o que você está aprovando ou não corresponde à ação que você pretendia realizar.
O saldo da sua carteira diminui repentinamente para tokens que você não transferiu explicitamente, frequentemente notado ao verificar o histórico da carteira e ver transações que você não iniciou.
Um dApp legítimo ou carteira pede repetidamente que você re-aprove o mesmo token, o que deveria ser necessário apenas uma vez, a menos que o allowance tenha sido totalmente consumido.

Como se proteger

Sempre verifique domínios de dApp digitando-os diretamente em seu navegador em vez de clicar em links de mídia social, Discord ou emails—use uma ferramenta de verificação de domínio blockchain como Revoke.cash para confirmar URLs.
Use um serviço de monitoramento de aprovação de token como Revoke.cash ou a aba Approvals do Etherscan para auditar regularmente todas as aprovações de token ativas em sua carteira e revogar permissões para serviços que você não usa mais.
Aprove apenas o valor específico que você precisa para uma única transação em vez de allowance ilimitada; a maioria dos dApps legítimos permite que usuários insiram valores de aprovação personalizados.
Ative ferramentas de simulação de transação como Tenderly ou o recurso Simulation do Etherscan antes de assinar qualquer transação para ver exatamente o que acontecerá (quais tokens se moverão e para onde).
Mantenha tokens que você não está negociando ativamente em carteiras de armazenamento a frio separadas (carteiras de hardware como Ledger ou Trezor) que nunca se conectam a dApps, isolando a exposição a ativos de alto valor.
Pratique a estratégia de 'carteira em camadas': use uma carteira com pequenos valores para interação e teste de dApp, e mantenha uma carteira segura separada para participações de longo prazo, reduzindo a perda potencial de um endereço comprometido.

Casos reais

Um usuário vê uma postagem no Twitter promovendo um airdrop exclusivo do Ethereum L2 com recompensas garantidas. Ele clica no link, conecta sua carteira MetaMask e vê um botão chamado 'Reivindicar Airdrop'. Antes de processar, o dApp solicita permissão para mover seus tokens USDC (necessário para a reivindicação, ou assim acreditam). O usuário aprova o allowance ilimitado. Em 6 horas, todo seu saldo de R$ 90.000 em USDC é transferido para um endereço do invasor. O airdrop era falso; a solicitação de aprovação era o verdadeiro ataque.

Um moderador do Discord em uma comunidade popular de NFT compartilha um link para um 'marketplace de NFT verificado' oferecendo acesso antecipado a uma coleção de primeira linha. Usuários conectando suas carteiras são solicitados a aprovar seu ETH para negociação. A UI mostra uma única transação, mas escondido no código do contrato está uma aprovação ilimitada para um token diferente (frequentemente um token de governança valioso que os membros possuem). Dois dias depois, vítimas descobrem que seus tokens de governança Uniswap foram drenados, totalizando R$ 125.000 entre o grupo afetado.

Um investidor recebe um email de phishing afirmando que sua posição de empréstimo Aave requer ação imediata devido a 'ajustes de liquidez'. O email vincula-se ao que parece ser a interface real de Aave (erro menor de digitação de domínio). Fazer login e 'confirmar' o ajuste dispara uma solicitação de aprovação de token que usuários assumem ser manutenção rotineira. O invasor então drena silenciosamente tokens aprovados ao longo da semana seguinte, momento em que a vítima parou de monitorar essa carteira, descobrindo a perda de R$ 170.000 apenas durante uma revisão trimestral do portfólio.

Perguntas frequentes

Qual é a diferença entre aprovar uma transação e aprovar um token?

Uma aprovação de transação assina uma ação única e específica (como trocar 10 USDC por ETH). Uma aprovação de token concede permissão a um contrato inteligente para mover QUALQUER quantidade daquele token de sua carteira, múltiplas vezes, até que você a revogue. Golpistas exploram essa confusão fazendo usuários acreditarem que estão assinando uma transação única quando na verdade estão dando acesso ilimitado.

Posso recuperar tokens depois que foram drenados?

A recuperação é extremamente difícil uma vez que tokens são transferidos. Transações de blockchain são irreversíveis, e invasores rapidamente movem tokens através de mixadores (Tornado Cash) ou para exchanges descentralizadas. Sua única opção é contatar a exchange receptora se você identificar para onde os tokens foram vendidos, mas isso raramente resulta em recuperação. Prevenção através de gerenciamento de aprovação é muito mais eficaz do que tentativas de recuperação.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), exploração de aprovação de token: como golpistas drenam carteiras web3 is described at https://scamlens.org/pt/encyclopedia/token-approval-exploit.

https://scamlens.org/pt/encyclopedia/token-approval-exploit

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API