A carregar preços…

Como verificar o endereço de contrato de um token antes de comprar

A maioria dos esquemas que esvaziam carteiras começa com o endereço de contrato errado. Veja a verificação calma e repetível que apanha copycats, honeypots e deployers falsos em menos de cinco minutos.

Como verificar o endereço de contrato de um token antes de comprar

Porque verificar o endereço de contrato é o hábito mais importante em DeFi

Se só puder aprender um hábito defensivo antes de negociar tokens numa exchange descentralizada, que seja este: nunca confie num endereço de contrato que lhe seja fornecido por alguém que não o próprio projeto, e nunca confie num projeto que não publique um. Todas as outras verificações deste guia são um refinamento desta regra.

A razão pela qual isto é tão importante é que as trocas de tokens numa DEX são finais. Assim que uma transação é confirmada on-chain, a rede não a reverte, a exchange não a reembolsa e o canal de suporte do projeto não o ajudará. Não há serviço de apoio ao cliente ao nível do protocolo. Tudo o que assinar é o que recebe, e tudo o que enviar é o que outra pessoa fica. Esse é todo o design de uma blockchain sem permissões, e é também exatamente porque os burlões a adoram.

Quase todos os incidentes de esvaziamento de carteiras reportados em 2023 e 2024 começaram com um único clique errado. Um trader pesquisou um meme token popular no Google, clicou num anúncio pago, aterrou num clone quase perfeito do site real do projeto, copiou um endereço de contrato que o burlão tinha implementado silenciosamente e colou-o na sua carteira. A troca foi processada. Os tokens apareceram. Depois, a função oculta do contrato impediu o utilizador de vender, ou a liquidez foi retirada, ou uma taxa de transferência desviou noventa por cento do input para a carteira do responsável pela implementação. Os fundos do trader desapareceram num único bloco.

A boa notícia é que quase todas estas armadilhas deixam pistas. Um contrato implementado minutos antes de o pesquisar, uma carteira de implementação sem histórico, um nome de token escrito quase corretamente com um carácter Unicode visualmente semelhante, uma pool de liquidez medida em centenas de dólares e uma recusa total em permitir que os detentores vendam são tudo sinais visíveis on-chain antes de assinar qualquer coisa. O fluxo de verificação de cinco minutos abaixo expõe todos eles.

Os riscos reais de confiar no endereço errado

A armadilha mais comum é o token cópia, por vezes chamado token homógrafo ou impostor. Os burlões implementam um novo contrato que copia o nome, o ticker e o logótipo de um projeto popular e, em seguida, promovem-no através de anúncios pagos nas pesquisas, de bots de resposta no X e de canais de Telegram alugados a bots. O gráfico de preços pode até parecer saudável durante algumas horas, porque o burlão está a comprar o seu próprio token com carteiras novas para criar a ilusão de procura. Assim que chegam compradores reais e a liquidez é suficiente, o responsável pela implementação drena a pool. Este padrão é por vezes chamado rug pull e é responsável pela maioria das perdas com novos tokens na Uniswap, Raydium e PancakeSwap.

A segunda armadilha é o honeypot. Um honeypot é um token cujo contrato permite comprar, mas bloqueia, tributa ou encaminha para um endereço inacessível a função de venda silenciosamente. Vê o preço subir na sua carteira, tenta sair, e a transação é revertida ou devolve apenas uma fração daquilo que depositou. Pior, os contratos honeypot modernos podem permitir que uma pequena venda-teste seja bem-sucedida, embalando o utilizador para que adicione mais capital, e só a venda maior seguinte falha. Ferramentas de análise estática conseguem detetar as variantes mais comuns, mas uma troca-teste minúscula continua a ser a única verificação totalmente fiável.

A terceira armadilha é o soft rug, em que o contrato não é malicioso no sentido técnico, mas a equipa simplesmente o abandona. A liquidez é lentamente drenada através de funções administrativas legítimas, os canais sociais do projeto ficam silenciosos e os detentores ficam com um token que só negoceia contra uma pool que está a desaparecer. Não há nenhum bug explorável para encontrar aqui, e é por isso que os sinais humanos (reputação do responsável pela implementação, transparência da equipa, liquidez bloqueada) são tão importantes como as verificações ao nível do código.

Por fim, existe a variante de envenenamento de endereço, em que um burlão lhe envia uma transferência minúscula a partir de um endereço semelhante a um que já utilizou, na esperança de que copie o errado a partir do seu histórico de transações. Isto não envolve diretamente o token que está prestes a comprar, mas serve para recordar que a própria área de transferência é uma superfície de ataque. Sempre que estiver prestes a colar um endereço de contrato, abrande e leia a string completa, carácter a carácter.

O fluxo de verificação de cinco minutos, passo a passo

Os mesmos cinco passos funcionam para praticamente todos os tokens em qualquer cadeia EVM e na Solana, mudando apenas os nomes das ferramentas. Trate isto como uma lista de verificação que executa em cada token novo, de cada vez, independentemente de como o endereço lhe chegou.

Passo 1: Obtenha o endereço no site verdadeiro do projeto

Abra um novo separador no navegador e escreva o nome do projeto diretamente na barra de endereço, ou siga uma ligação em que confie, como um marcador guardado anteriormente ou uma mensagem fixa no Discord verificado do projeto. Não clique num anúncio do Google. Não clique numa ligação de um resultado de pesquisa a menos que tenha confirmado de forma independente que o domínio é o verdadeiro. Os burlões compram regularmente o primeiro lugar patrocinado para nomes populares de tokens, e a página de destino é um clone pixel-perfect do site verdadeiro com uma única troca: um endereço de contrato diferente.

Assim que estiver no site verdadeiro, procure uma secção explícita de endereço de contrato. Os projetos reputados publicam o seu contrato numa página dedicada, frequentemente com um botão de copiar e um aviso de que este é o único endereço que alguma vez publicarão. Confirme o mesmo endereço em duas fontes diferentes, por exemplo, a página de documentação do projeto e a sua conta oficial do X, antes de confiar nele. Se as duas fontes discordarem, trate ambas como suspeitas e pergunte no canal comunitário verificado do projeto.

Passo 2: Cole o endereço num explorador de blocos

Para um token EVM, cole o endereço no Etherscan, BscScan, PolygonScan ou no explorador da cadeia em que o projeto diz estar. Para um token da Solana, utilize o Solscan. As primeiras coisas a verificar são os aspetos básicos: o contrato existe, quando foi implementado, qual é a carteira do implementador e que nome e símbolo de token é que o contrato apresenta?

A data de implementação é um filtro poderoso. Se o projeto existe há meses, tem um Discord com milhares de membros, e o contrato foi implementado ontem, algo está errado. Do mesmo modo, compare o nome e o símbolo do token mostrados no explorador com o que o projeto anuncia. Os burlões utilizam frequentemente caracteres Unicode parecidos, como um а cirílico em vez de um a latino, para passar despercebidos numa observação rápida. A vista de texto bruto do explorador mostra os caracteres reais.

Passo 3: Inspecione a carteira do implementador

Clique no endereço do implementador no explorador. Se a carteira implementou dezenas de tokens, vários dos quais já foram sinalizados como burlas em sites comunitários, o projeto que tem à sua frente é provavelmente o próximo da série. Uma equipa legítima com um projeto sério ou implementa a partir de uma carteira nova e publica essa carteira como o implementador oficial, ou implementa a partir de uma carteira com um longo historial ligado a membros públicos da equipa. Um implementador anónimo com alta velocidade de lançamentos de baixa liquidez é a assinatura de um burlão em série.

Passo 4: Passe o endereço por scanners de honeypot e de risco

Copie o endereço do contrato e cole-o no TokenSniffer, GoPlus, De.Fi Shield e no painel de simulação de negociação do DexScreener. Cada ferramenta observa o contrato de um ângulo ligeiramente diferente. O TokenSniffer foca-se em padrões de código-fonte e similaridade histórica com burlas. O GoPlus executa uma análise ao vivo de impostos de transferência, funções de lista negra e renúncia de propriedade. O separador de simulação do DexScreener tenta uma compra simulada e uma venda simulada contra a liquidez atual, para que possa ver antecipadamente se a venda irá reverter ou consumir a maior parte do seu input em taxas.

Leia os resultados como uma lista de verificação. Um único aviso não é necessariamente fatal: muitos projetos legítimos cobram um pequeno imposto de transferência, e alguns não renunciam à propriedade porque precisam dela para gerir o pool de liquidez. O que procura é um padrão. Um imposto acima de vinte por cento, uma função de lista negra que visa os maiores detentores, uma função exclusiva do proprietário que pode pausar todas as transferências, e uma chamada externa dentro da lógica de transferência que envia tokens para uma carteira não relacionada são a combinação que diz para se afastar.

Passo 5: Faça uma troca-teste com um valor pequeno antes de aumentar a posição

Mesmo depois de tudo o que foi dito acima, faça a sua primeira negociação pequena. Cinco euros são suficientes para saber se o contrato lhe permite vender de volta, se o impacto no preço é razoável e se os tokens realmente chegam à sua carteira. Se a venda de teste funcionar e os números corresponderem ao que o explorador e o scanner previram, pode aumentar para uma posição maior numa segunda transação. Se algo parecer estranho, perdeu cinco euros e aprendeu uma lição, em vez de cinco mil euros e não ter aprendido nada.

O que "verificado" num explorador de blocos significa na realidade

Um dos erros mais comuns dos iniciantes é tratar o visto verde no Etherscan como um endosso de segurança. Não é. O selo de código verificado no Etherscan significa apenas que o código-fonte do contrato foi carregado e corresponde ao bytecode implementado. Não significa que o código esteja bem escrito, auditado ou seja honesto.

Muitos contratos verificados contêm lógica de honeypot explícita e legível. O proprietário pode chamar uma função que define um imposto global de venda em cem por cento, e desde que essa função esteja no código-fonte verificado, o selo continua verde. A verificação é uma ferramenta de transparência, não uma certificação de segurança. Trate-a como o mínimo de diligência prévia, não o máximo.

Para projetos de maior risco, olhe um nível mais fundo. Uma auditoria real de uma firma reputada (Certik, Trail of Bits, OpenZeppelin, Spearbit) é um sinal mais forte, mas mesmo as auditorias não são uma garantia. As auditorias são revisões pontuais, e a equipa pode implementar um contrato novo, não auditado, depois de a auditoria estar concluída. Os projetos mais credíveis publicam o relatório de auditoria, o hash do commit que foi revisto e um programa de recompensas por bugs com fundos ainda disponíveis.

Como as mesmas verificações funcionam na Solana

Os tokens da Solana vivem num modelo de programa diferente, mas o fluxo de verificação é estruturalmente idêntico. Cole o endereço de mint no Solscan, verifique a data de implementação e a autoridade de atualização, e depois passe o mint pelo RugCheck, um scanner de honeypot construído pela comunidade que analisa extensões de token, autoridade de congelamento, autoridade de mint e concentração de detentores. Os dois indicadores que mais importam na Solana são a autoridade de congelamento e a autoridade de mint. Se qualquer uma delas ainda estiver ativa e for detida por uma única carteira, essa carteira pode congelar o seu saldo ou mintar nova oferta e diluí-lo. Um projeto sério renuncia a ambas as autoridades ou entrega-as a uma multisig com uma lista pública de signatários.

Para a liquidez, o Birdeye e o DexScreener mostram ambos a profundidade do pool e a percentagem da oferta nos dez maiores detentores. Um token em que noventa por cento da oferta está numa única carteira, com o resto dos detentores a dividir os restantes dez por cento, está estruturalmente a uma transação de distância de um rug. O gráfico de distribuição de detentores no Solscan vale os dez segundos que leva a lê-lo.

Um exemplo prático: detetar um $WIF falso

Imagine que vê $WIF em tendência numa rede social e quer comprar algum. O verdadeiro token dogwifhat foi lançado na Solana no final de 2023 e tem um endereço de mint que foi publicado nos canais oficiais do projeto. Um burlão, contudo, implementou um novo mint chamado $WIF com uma autoridade de congelamento, um imposto de venda de cem por cento e uma carteira de implementador que já lançou outros três tokens, todos os quais sofreram rug em menos de quarenta e oito horas.

O passo um apanharia a troca se o endereço viesse do sítio errado. Pesquisar no Google e clicar no primeiro link patrocinado levá-lo-ia a um site clone que lista o mint do burlão. Ir ao site verdadeiro da dogwifhat, ou à publicação fixa do projeto no X, dar-lhe-ia o mint verdadeiro, e os dois não coincidiriam.

Se tivesse ido diretamente ao DexScreener e pesquisado $WIF sem um endereço, a listagem mostraria múltiplos pares e o novo mint estaria visivelmente novinho com um pool minúsculo. Selecioná-lo revelaria a carteira do implementador, que no Solscan mostraria uma série de lançamentos idênticos. Passar o mint pelo RugCheck sinalizaria a autoridade de congelamento e a concentração suspeita nos maiores detentores. Uma troca-teste de alguns euros ou revertia no lado da venda ou enviaria silenciosamente a maior parte do input para uma carteira que não reconhecia.

Qualquer uma dessas verificações teria salvo a negociação. Combinadas, são muito difíceis de falhar. O padrão é o que importa: um sinal pode ser ruído, mas um implementador com um historial, uma autoridade de congelamento, um mint com um dia de existência e uma venda que reverte silenciosamente não são quatro observações independentes. São a mesma história contada de quatro maneiras diferentes.

Transformar isto num hábito repetível

A verificação não é uma competência pontual. Surgem novas cadeias, novos padrões de burla e novas ferramentas de deteção a cada trimestre, e o fluxo de verificação tem de evoluir com elas. Um hábito prático é manter uma única nota no telemóvel com os URLs dos exploradores e scanners em que confia, marcada com a cadeia já no caminho, para que os possa abrir em dois toques sem pesquisar. A fricção de um fluxo limpo e com marcadores é o que o impede de cortar etapas numa negociação que parece urgente.

Também ajuda definir um tempo fixo, por exemplo cinco minutos, como custo de entrada para qualquer novo token. As melhores oportunidades continuarão aí daqui a cinco minutos. As más, por definição, são as que o pressionam a saltar a verificação. Se um interlocutor no Telegram disser que o contrato vai ser listado em breve numa grande exchange e que tem de comprar nos próximos sessenta segundos, isso é um sinal de venda mais forte do que qualquer gráfico.

Como seguir os novos lançamentos de tokens de forma inteligente

São lançados novos tokens a cada minuto em Ethereum, Solana, BNB Chain, Base e numa lista crescente de L2s, e os títulos à volta deles são ainda mais ruidosos do que os próprios lançamentos. A pergunta interessante não é qual token está em tendência, mas sim qual endereço de contrato por trás dessa tendência é o verdadeiro e qual é um imitador. A Zippfeed apresenta notícias de lançamentos de tokens com pontuação de sentimento (bullish, neutral ou bearish) e uma classificação de importância, para que possa ver a história, a pegada on-chain e o humor do mercado numa só vista antes de abrir a sua carteira.

Perguntas frequentes

Basta um visto verde no Etherscan para considerar um token seguro?
Não. O selo de código verificado no Etherscan só significa que o código fonte do contrato foi carregado e corresponde ao bytecode implementado. Não significa que o código seja honesto, auditado ou esteja livre de funções ocultas. Um contrato verificado pode mesmo assim ter uma taxa de venda de cem por cento, uma blacklist que visa os maiores detentores ou uma função de pausa acessível apenas ao owner. Trate o selo como um mínimo de transparência e combine-o com scanners de honeypot, uma análise da carteira do deployer e uma pequena troca de teste antes de aumentar a posição.
Como distinguir um token honeypot de um token normal antes de comprar?
Cole o endereço do contrato no TokenSniffer ou no GoPlus e observe o painel de simulação de negociação no DexScreener. Os honeypots costumam apresentar taxas de transferência muito elevadas, funções exclusivas do owner que podem colocar endereços numa blacklist ou pausar as negociações, e vendas simuladas que revertem ou devolvem muito menos do que a compra simulada. Nenhum desses sinais é fatal por si só, mas um contrato que combina vários é quase sempre uma armadilha. Uma troca de teste muito pequena continua a ser a única verificação totalmente fiável, porque os scammers criam contratos que conseguem contornar qualquer analisador estático.
Devo comprar um token que encontrei através de um anúncio do Google ou de um grupo de Telegram?
Trate ambos como suspeitos por defeito. Os scammers compram o principal espaço patrocinado para nomes de tokens populares e usam canais de Telegram alugados a bots para colar um endereço de contrato parecido. O fluxo mais seguro é ignorar o endereço no anúncio ou na mensagem do grupo, abrir um novo separador, escrever o domínio real do projeto diretamente e copiar o contrato a partir da página oficial do projeto. Se o endereço do anúncio não coincidir com o do site verdadeiro, o anúncio é o esquema. Este artigo é informativo e não constitui aconselhamento financeiro.
Qual é a forma mais rápida de verificar o endereço de mint de um token na Solana?
Cole o mint no Solscan e verifique três coisas: a data de implementação, as autoridades de freeze e de mint, e a concentração de detentores. Um projeto sério renuncia a ambas as autoridades ou entrega-as a uma multisig pública, e os dez maiores detentores não possuirão a maior parte do supply. Passe o mesmo mint pelo RugCheck, que automatiza grande parte dessa análise, e faça por fim uma pequena troca de teste. Se a autoridade de freeze ainda estiver ativa, a autoridade de mint ainda existir, ou os dez maiores detentores concentrarem mais de metade do supply, trate o token como de alto risco.