Um token desconhecido apareceu na minha carteira — é seguro?

Resposta curta

Não faça nada. Especificamente: não clique, não "venda" ou "swap" o token desconhecido, não interaja com qualquer URL reivindicada pelos metadados do token. Tokens desconhecidos aparecendo na sua wallet são um padrão de ataque conhecido — o contrato do token frequentemente tem funções maliciosas de approval ou transfer que drenam wallets quando interagidas. Apenas ignore-os. A maioria das wallets te deixa "esconder" o token da sua interface; essa é a ação certa.

O que está realmente acontecendo

Qualquer um pode deployar um contrato de token ERC-20 no Ethereum ou qualquer chain EVM. O deployer pode mintar tokens para qualquer endereço — incluindo o seu — sem seu consentimento. Etherscan mostra o airdrop no seu histórico de transações. Sua wallet exibe o token porque a wallet apenas lista cada ERC-20 que você recebeu.

Três motivações para o deployer:

Phishing. O nome do token ou metadados embedam uma URL como "claim-100-FREEBIES.com". Clique → página falsa de claim → conectar wallet → assinar approval malicioso → wallet drenada.

Preparação de envenenamento de endereço. O deployer está configurando um ataque futuro estabelecendo uma "interação" falsa com seu endereço. Mais tarde, quando você copia um endereço do histórico, você pode acidentalmente copiar o do atacante parecido.

Wash trading. O atacante cria volume falso enviando tokens entre wallets, depois alega "este token tem volume de trading" em listings suspeitos de DEX.

O que não fazer

Não visite qualquer URL associada com o token. Não tente vender no Uniswap ou qualquer DEX — a função "sell" do contrato pode disparar um approval que drena sua wallet. Não "queime" — isso requer uma transação que custa gas e pode também disparar código malicioso.

Se o token mostra um "valor" não-zero na sua wallet, esse valor é falso — a wallet inferiu do supply reportado do token e de um pool de liquidez falso que o atacante criou. O token não vale nada.

O que fazer

A maioria das wallets suporta "esconder token" — Trust Wallet, MetaMask, Rabby todos têm. Clique no menu de três pontos do token, selecione esconder. O token permanece no histórico on-chain do seu endereço (você não pode mudar isso), mas desaparece da UI da wallet. Essa é toda a ação necessária.

Para prevenção contínua, considere usar Rabby Wallet — seu filtro embutido de scam-token automaticamente esconde a maioria dos scam-tokens conhecidos antes de você vê-los.

Leitura adicional: Ataque de dust, Phishing.