Contratos inteligentes são a espinha dorsal do Web3, mas também o caminho favorito de golpistas para esvaziar carteiras. Entender as funções que você está assinando pode ser a diferença entre manter ou perder seus ativos digitais.
Os golpes com contratos inteligentes se tornaram a principal ameaça para quem navega no ecossistema Web3. Cada vez que você interage com uma plataforma descentralizada, um marketplace de NFTs ou um protocolo DeFi, sua carteira é solicitada a assinar funções de código — e nem sempre fica claro o que cada uma delas significa.
A boa notícia é que detectar sinais de alerta não exige conhecimento técnico avançado. Requer, principalmente, saber o que cada função faz e em que contexto ela deveria — ou não deveria — aparecer.
Neste artigo, detalhamos as três funções de contrato inteligente mais exploradas por golpistas, com exemplos reais e critérios práticos para identificar uma fraude antes de confirmar qualquer transação. Conteúdo baseado em análise técnica da Ledger Academy.
O que é uma função de contrato inteligente?
Um contrato inteligente é um programa que roda em uma blockchain e executa ações automaticamente quando determinadas condições são atendidas. Dentro desse programa, existem blocos de código chamados funções — cada um responsável por uma ação específica, como transferir um token, conceder permissão de acesso ou registrar uma venda.
Toda vez que você clica em “confirmar” em uma carteira como MetaMask ou em um dispositivo de hardware wallet, você está autorizando a execução de uma dessas funções. O problema é que a interface gráfica — o site, o botão, o texto na tela — pode dizer uma coisa enquanto a função executa outra completamente diferente.
Contratos inteligentes não são inerentemente perigosos. A questão é sempre o contexto: a função que aparece condiz com a ação que você acredita estar realizando?
Engenharia social: o elo mais fraco
Golpistas raramente forçam uma transação. Eles convencem a vítima a assiná-la voluntariamente, criando sites falsos que imitam marketplaces legítimos, anunciando mints gratuitos ou oferecendo benefícios exclusivos. O código malicioso está na função — a armadilha está no contexto fabricado ao redor dela.
Golpes com contratos inteligentes: as 3 funções mais perigosas
A seguir, um guia prático sobre as funções mais frequentemente exploradas em golpes com contratos inteligentes no ecossistema Ethereum e redes compatíveis com EVM.
1. SetApprovalForAll
A função SetApprovalForAll concede a uma plataforma acesso irrestrito a todos os tokens de um determinado contrato inteligente dentro da sua carteira — incluindo tokens futuros que ainda não foram recebidos. É como assinar um cheque em branco.
Em contextos legítimos, essa função aparece quando você lista um NFT para venda em um marketplace. O OpenSea, por exemplo, precisa dessa permissão para mover o NFT para a carteira do comprador no momento da venda. Faz sentido. O perigo começa quando ela aparece em outros contextos.
Listar NFT em marketplace (OpenSea, Blur); interagir com DEX para negociar tokens ERC-20.
Cunhagem de NFT, inscrição em whitelist, airdrop gratuito, qualquer ação que não envolva diretamente venda ou troca de tokens.
- ✔ Listando NFT para venda: você pode ver esta função — ela é esperada.
- ✗ Fazendo mint de NFT: você NÃO deveria ver esta função. Sinal de golpe.
- ✗ Inscrevendo-se em whitelist: você NÃO deveria ver esta função. Sinal de golpe.
- ✗ Reivindicando airdrop gratuito: você NÃO deveria ver esta função. Sinal de golpe.
2. SafeTransferFrom
A função SafeTransferFrom instrui o contrato a transferir um NFT de uma carteira para outra. Em situações legítimas, ela aparece quando você move voluntariamente um ativo entre endereços — por exemplo, ao migrar seus NFTs de uma hot wallet para a segurança de uma carteira física (hardware wallet).
Um caso documentado de exploração desta função foi o site falso “Momoco”, que prometia uma moeda gratuita para holders de determinados NFTs. Ao clicar em “mint”, os usuários não recebiam nada — na verdade, autorizavam a transferência de seus próprios NFTs para a carteira dos golpistas. Centenas de pessoas foram afetadas.
🔎 Como verificar antes de confirmar
Ao ver uma solicitação de SafeTransferFrom, verifique dois pontos: (1) o tipo de interação — se você está fazendo um mint, a função deveria ser “mint”, não uma transferência; (2) a direção da transferência — se o NFT está saindo da sua carteira, você está enviando, não recebendo. Qualquer discrepância é motivo para cancelar imediatamente.
Para quem deseja uma camada extra de proteção, soluções como a hardware wallet exibem os detalhes da transação diretamente no display físico do dispositivo, tornando muito mais difícil para um site malicioso mascarar o que está sendo solicitado.
3. SendEth
A função SendEth é autoexplicativa: instrui sua carteira a enviar Ether para outro endereço. Aparece legitimamente quando você transfere ETH entre suas próprias carteiras ou realiza uma compra em um marketplace.
O golpe clássico com essa função envolve sites de mint falsos. O usuário acredita estar cunhando um NFT, mas a função executada é apenas um envio de ETH para a carteira do golpista. O NFT nunca existiu.
Se você está fazendo mint, a função deve conter “mint”. Ver SendEth em vez disso é uma bandeira vermelha imediata.
Um mint legítimo interage diretamente com o contrato na blockchain, não com uma carteira externa. Endereço de recebimento desconhecido = alerta máximo.
Como se proteger de golpes com contratos inteligentes
Conhecer as funções é o primeiro passo. O segundo é construir hábitos de verificação antes de assinar qualquer transação — independentemente de quão legítima a plataforma pareça.
Para quem quer aprofundar o conhecimento de forma estruturada, o Curso de Segurança e Privacidade da KriptoBR cobre desde fundamentos de autocustódia até a análise de transações suspeitas, com aulas práticas em português.
Para usuários que já possuem carteiras hardware e querem configuração e orientação personalizada, a Consultoria Trezor Expert da KriptoBR oferece suporte individualizado com especialistas certificados, em português.
Leia também: como identificar golpes com criptomoedas — um guia completo sobre os vetores de ataque mais comuns no ecossistema cripto.
A regra de ouro: não confie, verifique
No Web3, a única garantia é o que está escrito na função — não o que o site diz, não o que o influenciador prometeu, não o que o Discord afirma. Antes de confirmar qualquer transação, leia o nome da função, verifique a direção da transferência e questione: essa ação faz sentido para o que estou tentando fazer? Se houver qualquer dúvida, cancele.
- ✔ Verifique o nome da função: ela deve corresponder exatamente à ação que você acredita estar realizando.
- ✔ Confirme a direção da transferência: seus ativos estão saindo ou entrando na carteira?
- ✔ Cheque o endereço de destino: é um contrato conhecido ou uma carteira desconhecida?
- ✗ Nunca assine sob pressão: urgência fabricada (“mint acaba em 5 minutos!”) é técnica clássica de engenharia social.
- ✗ Não confie apenas na interface: sites falsos imitam plataformas legítimas com precisão. A função não mente — o site pode.
📰 Nota editorial
Este artigo foi elaborado com base em análise técnica publicada pela Ledger Academy e em casos documentados de exploração de contratos inteligentes. As funções descritas são padrão no ecossistema Ethereum e redes compatíveis com EVM (Polygon, BNB Chain, Arbitrum, etc.). O KriptoHoje não recomenda nenhuma plataforma ou ativo específico.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com as ferramentas certas
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🔐 O que é autocustódia e por que ela importaEntenda a diferença entre custodiar seus próprios ativos e deixá-los em exchanges — e os riscos de cada abordagem.
🛡️ Hardware wallet: o que é e como funcionaTudo sobre carteiras físicas de criptomoedas: como protegem seus ativos, modelos disponíveis e para quem são indicadas.
🌐 O que é Web3 e como navegar com segurançaUma introdução ao ecossistema descentralizado: carteiras, dApps, NFTs e os cuidados essenciais para iniciantes.