A carregar preços…
Zipp Zipp Anunciar
Criar conta Iniciar sessão

As 10 burlas cripto mais comuns (e como evitá-las)

As burlas cripto reutilizam os mesmos dez manuais ano após ano — rug pulls, kits de phishing, burlas românticas, suporte falso, airdrops falsos, SIM swaps. Aprenda a reconhecer cada uma antes de lhe custar dinheiro.

security Zipp · 9 min de leitura ·
As 10 burlas cripto mais comuns (e como evitá-las)

Por que isto importa

A maior parte das perdas em cripto não vem de crashes nem exploits de smart contracts. Vem de burlas. Os padrões são antigos, a tecnologia fica ligeiramente mais polida a cada ano e as defesas são gratuitas — mas continua a ser preciso reconhecer a forma de um ataque antes de responder. Ler os dez padrões abaixo é uma das horas com maior retorno que pode passar em cripto, porque cada padrão que internaliza é uma classe inteira de perdas a que deixa de ser vulnerável.

Nada disto é conselho financeiro. É um mapa prático de como o dinheiro é mesmo roubado em cripto e que hábitos param a maioria. Muito também se aplica a como guardar cripto em segurança — reconhecer burlas e armazenar ativos em segurança são duas faces do mesmo muro.

Os padrões mais comuns

1. Rug pulls

Uma equipa anónima lança um token, hype durante semanas ou meses, recruta fornecedores de liquidez, depois retira toda a liquidez do pool e desaparece. Os tokens passam de 10$ para 0$ em minutos. Variantes: "slow rugs" em que o dev sai de uma posição ao longo de semanas enquanto diz aos holders para continuarem a comprar; "hard rugs" em que o smart contract tem uma porta dos fundos para mintar tokens infinitos e despejar. Comum em chains novas e manias memecoin.

2. Phishing

Email falso, popup falso, página de login falsa a imitar MetaMask, Phantom, Trezor, Ledger, uma exchange maior ou um protocolo DeFi popular. A página pede a seed phrase, a private key ou para assinar uma transação maliciosa. O site geralmente chega via anúncio patrocinado no Google, conta de Twitter sequestrada, post pago no Discord ou resultado de motor de busca que ranqueia acima do domínio real.

3. Burlas românticas ("pig butchering")

Um estranho — muitas vezes numa app de namoro, às vezes via WhatsApp ou Telegram — constrói uma relação de várias semanas ou meses antes de sugerir que se junte a uma plataforma cripto "de alto rendimento" que descobriu. A plataforma parece real, mostra lucros falsos, até deixa levantar pequenas quantias para criar confiança. Depois é encorajado a depositar mais. Quando tenta levantar o saldo maior, dizem-lhe que há "impostos" ou "taxas" a pagar primeiro. Nunca houve levantamentos. É a maior fonte única de roubo cripto por volume em dólares globalmente; o IC3 do FBI reporta milhares de milhões por ano.

4. Suporte falso

Posta no Discord ou Twitter de um projeto a dizer que tem um problema. Um "agente de suporte" envia DM em minutos a oferecer ajuda. Mandam-no para um link de "validator" ou "migration" ou "verification". O link é phishing ou pede a seed phrase. O suporte real nunca envia DM primeiro. Nunca. A maior pista é a rapidez e calidez do tom.

5. Grupos pump-and-dump

Um grupo pago de Telegram ou Discord diz coordenar "sinais de compra" para coins de baixa capitalização. Paga para entrar. Os insiders acumulam, depois sinalizam ao grupo, depois despejam ao grupo enquanto o grupo bombeia o preço. A estrutura literalmente não pode funcionar para os compradores porque quem recebe o sinal mais cedo é quem despeja no pump. Os "grupos pump" são uma forma organizada de roubo.

6. Airdrops e giveaways falsos

Um tweet de uma conta falsa "@elonmusk" ou "@VitalikButerin" anuncia que pode enviar 1 ETH e receber 2 ETH. Um site diz oferecer airdrop grátis a wallets que conectem e "verifiquem". Um email diz que a sua wallet é elegível para X tokens. Conectar a wallet assina uma transação que a esvazia; "verificar" expõe a seed phrase; enviar ETH para o endereço do "giveaway" envia ETH a um ladrão.

7. SIM swaps

Um atacante convence a sua operadora a transferir o seu número para um SIM que controla, muitas vezes via engenharia social a um agente de apoio. Depois usa 2FA por SMS para tomar o seu email, depois as contas de exchange. Defesa: ative proteção anti SIM-swap ou um PIN de port-out com a sua operadora e use 2FA por app (Authy, Aegis, chave hardware) em vez de SMS para tudo o que é importante.

8. Aprovações maliciosas (wallet drainers)

Visita um site que parece legítimo (página de "claim" falsa, DEX falsa, mint NFT falso). O site pede para assinar uma transação. A transação não é um pagamento — é uma aprovação de token ilimitada que deixa o atacante mover os seus tokens da wallet quando quiser. Vê o popup, clica em assinar e os fundos drenam ao longo de minutos ou semanas. Esta categoria é tão generalizada que merece a sua própria página: o que é um wallet drainer.

9. Wallets e apps falsas

As app stores periodicamente alojam versões falsas de Trust Wallet, MetaMask, Exodus, Phantom e outras. A app falsa regista a seed phrase no primeiro uso e envia-a ao atacante. Variantes incluem extensões falsas de Chrome e instaladores falsos de desktop. Descarregue sempre software de wallet do site oficial (ligado das redes verificadas), nunca de resultado de busca, anúncio ou link de chat.

10. Deepfakes e personificação por AI

A categoria mais recente. Vídeo e voz gerados por AI de Elon Musk, Michael Saylor, Vitalik Buterin ou o CEO da sua própria exchange a promover um giveaway "por tempo limitado", uma "migração" de emergência ou uma oportunidade de investimento. Às vezes o deepfake está em livestream fixado numa conta de YouTube sequestrada. A qualidade visual e de áudio agora é boa o suficiente para não conseguir distinguir num clip de 30 segundos. Defesa: qualquer vídeo a promover "envia ETH, recebe ETH" ou ação urgente é burla independentemente de quem pareça dizê-lo.

Bandeiras vermelhas / checklist

Os padrões acima partilham um conjunto pequeno de bandeiras vermelhas. Se vir duas ou mais juntas, trate como burla por defeito:

  • Urgência. "Só 24 horas", "vagas limitadas", "a equipa está a migrar agora". Operações cripto reais raramente dependem de agir em minutos.
  • Contacto não solicitado. Um DM, email ou chamada que não iniciou. Especialmente se oferece ajuda quando acabou de postar sobre um problema.
  • Pede seed phrase ou private key. Nenhuma entidade legítima — wallet, exchange, custodiante, suporte, fabricante de hardware — pedirá. Partilhar é sempre o fim dos fundos.
  • Retornos garantidos. Tudo a prometer rendimento fixo, alto e garantido é burla ou está prestes a ser. Rendimentos reais flutuam e carregam risco visível.
  • Pressão para descarregar software. Especialmente de um contacto de chat, sessão de partilha de ecrã ou link de "suporte".
  • O endereço parece semelhante mas está errado. Verifique sempre os primeiros e últimos 4 caracteres antes de enviar; sequestradores de área de transferência trocam endereços.
  • Escalada para fora de plataforma. Uma conversa que começou numa app de namoro ou chat tenta levar-vos para uma plataforma de investimento ou app que nunca ouviu.
  • Rendimento suspeitamente alto sem gás. Um novo "protocolo DeFi" ou "reclamação de airdrop" a oferecer 10x o que protocolos conhecidos pagam é quase sempre uma armadilha de drenagem.

O que fazer se foi atingido

Se uma wallet está comprometida, cada segundo conta. Manual padrão:

  1. Mova o que pode. Envie os tokens restantes para uma wallet nova (nova seed phrase) imediatamente. O atacante geralmente está a executar scripts; quanto mais rápido mover, mais salva.
  2. Revogue aprovações. Use um serviço como revoke.cash (ou o gestor built-in da sua wallet) na wallet comprometida para revogar cada aprovação ativa. Isto para especificamente a categoria wallet drainer.
  3. Trate a wallet comprometida como queimada para sempre. Se uma seed phrase ficou exposta, nenhuma rotação ajuda — o atacante tem agora e para sempre a wallet. Não volte a mover fundos para lá.
  4. Documente. Capture o site malicioso, o histórico de chat, as transações envolvidas. Vai precisar para qualquer relatório ou reclamação.
  5. Reporte às autoridades locais e à plataforma. Apresente queixa à polícia local, IC3 (EUA), Action Fraud (UK) ou equivalente. Reporte endereços de burlões a firmas de chain analytics (Chainalysis, TRM Labs); podem acabar em blacklist e limitar saídas. A recuperação é rara mas reportar é a única forma.
  6. Cuidado com "burlas de recuperação". Dias depois de ser burlado, vai receber DMs de contas que dizem poder recuperar a cripto roubada por uma taxa. É por si uma burla. Essencialmente não há serviço de recuperação pago legítimo para transferências blockchain irreversíveis.

Como ficar protegido

  • Use hardware wallet para saldos significativos. A maioria das burlas requer ou seed phrase ou assinatura maliciosa; uma hardware wallet protege ambos, sobretudo se ler cada aprovação no ecrã do dispositivo.
  • Divida em "quente" e "frio". Mantenha pequenas quantias na wallet de interação (a que visita sites e assina DeFi). Mantenha saldos significativos numa hardware wallet que nunca se conecta a sites aleatórios.
  • Adicione URLs oficiais aos favoritos. Nunca chegue a wallet, exchange ou protocolo DeFi via busca ou link social. Marque os domínios reais e use o favorito.
  • Use 2FA por app, não SMS. SMS é a superfície de SIM swap. Authy, Aegis, Google Authenticator ou chave hardware (YubiKey, Ledger) são dramaticamente mais seguros.
  • Use password única forte e gestor. Reutilizar a mesma password entre exchanges é como dezenas de contas são drenadas de uma base de dados vazada.
  • Leia cada popup de wallet. Se uma transação pede gastar mais do que pretendia, ou pede aprovação ilimitada, rejeite.
  • Abrande. A defesa mais eficaz é tratar qualquer situação cripto urgente como burla por defeito até verificar por canal independente. "Dormir sobre o assunto" vence mais ataques do que qualquer produto.

Para tratamento mais amplo de custódia segura, ver como guardar cripto em segurança; para a categoria específica de approval-phishing que mais cresceu em 2024-2026, ver o que é um wallet drainer. Nada disto é conselho financeiro. É o manual operativo de burlas que deveria conhecer antes de clicar em "assinar".

Veja os alertas, veja as notícias

A maior parte das campanhas grandes — ondas de wallet drainer, deepfakes de giveaways falsos, personificações falsas de exchanges — aparecem em manchetes de segurança horas antes de chegarem ao público massivo. O Zippfeed acompanha manchetes de segurança e grandes tokens com pontuação de sentimento e importância, para que veja campanhas ativas cedo e saiba que sites ou apps evitar nessa semana — útil quer tenha saldos significativos, explore novos protocolos DeFi ou só queira acompanhar o aspeto dos novos padrões de ataque.

Perguntas frequentes

Qual é a burla cripto mais comum?
Por volume em dólares, as burlas românticas / pig-butchering (relações longas que movem vítimas para plataformas falsas) são a maior categoria única globalmente — milhares de milhões por ano segundo o FBI. Por volume de incidentes, phishing e aprovações maliciosas (wallet drainers) são mais frequentes. Quase cada burla encaixa num de cerca de dez padrões reutilizáveis.
Como se reconhece uma burla cripto?
A maioria partilha um pequeno conjunto de bandeiras vermelhas: urgência, contacto não solicitado, pedido de seed phrase ou private key, retornos altos garantidos, pressão para descarregar software, popups de wallet a pedir aprovação ilimitada. Tratar quaisquer duas juntas como burla por defeito evita a maior parte das perdas. A maior defesa é abrandar.
Pode-se recuperar cripto roubada?
A recuperação é rara. As transações blockchain são irreversíveis, os burlões movem fundos via mixers e bridges depressa, e a polícia tem ferramentas limitadas entre jurisdições. Reportar a autoridades, exchanges e firmas de chain analytics vale a pena — ocasionalmente endereços congelam em exchanges e a recuperação parcial é possível. "Serviços de recuperação" anunciados após uma burla são, por si, quase sempre burlas.
Como protejo a minha cripto de burlas?
Use hardware wallet para saldos significativos, divida fundos entre wallet quente pequena para uso diário e wallet fria para armazenamento, marque URLs oficiais (nunca busca), use 2FA por app ou hardware (nunca SMS), use passwords únicas com gestor, leia cada aprovação e trate tudo o que é urgente como burla até verificação independente. Nada disto é conselho financeiro.

Guias relacionados