O token que não era de graça

Setembro 2024. Um titular em Fortaleza nota um novo token na barra lateral do MetaMask: "USDT Airdrop Reward — reivindicar 5.000". O Etherscan mostra que o contrato vem distribuindo esse token a milhares de carteiras que têm USDT. A página de claim parece bem feita, e a recompensa projetada é 5.000 USD em USDT real após "verificação".

A página de verificação pede uma assinatura para "comprovar a posse da carteira". A assinatura é uma mensagem EIP-712 typed-data que, ao ser retransmitida, drena todo token aprovado da carteira. Ele tinha aprovado gasto de USDT na Uniswap e na Aave anteriormente. Os dois saldos somem.

O padrão "poeira e isca"

Passo 1: o atacante manda um token sem valor para milhares de carteiras, nomeado para imitar um airdrop real. O token aparece nas UIs de carteira automaticamente. Passo 2: os metadados do contrato apontam para um site de "claim". Passo 3: a página de claim explora as aprovações existentes do visitante para drenar ativos — o token que chegou nunca foi o alvo.

Três regras

  • Tokens não solicitados são isca, não presente. Se um token aparece na sua carteira que você não comprou, fez swap ou recebeu de fonte conhecida, trate como isca de phishing. Não clique no endereço do contrato.
  • Airdrops reais não exigem assinatura com escopo de gasto de tokens. Um claim real é ou uma transação chamando claim(amount, proof) ou — para airdrops retroativos — uma transferência direta que já chegou. Não precisa de assinatura para "verificar posse".
  • Esconda, não interaja. No MetaMask, clique com o botão direito no token de spam e oculte. Não clique no nome, não visite o site, não deixe a curiosidade dirigir o próximo movimento.

A defesa proativa

Audite aprovações todo mês no revoke.cash. A maioria dos titulares carrega 30–80 aprovações antigas de experimentos DeFi passados — cada uma é uma porta aberta. Revogue tudo que você não está usando ativamente. O custo de gas é único; a melhora de segurança é permanente.

Como tokens "poeira" parecem em 2026

Os nomes evoluíram: "BlackRock Bitcoin ETF Claim", "USDC Compensation Pool", "Coinbase Layer-2 Bonus". O padrão é o mesmo — explorar um evento real para fazer o token falso parecer plausível.