Verificar o contrato de um token significa obter o endereço no site ou nas redes sociais do próprio projeto, depois confirmar num explorador de blocos que o responsável pela implementação, a oferta e o código fonte parecem legítimos, depois simular uma venda num simulador de DEX, e por fim verificar os maiores detentores e o bloqueio de liquidez. Nenhuma ferramenta isolada apanha todas as burlas, pelo que os passos têm de ser executados em conjunto. Trate qualquer token que falhe mesmo um único passo como não vale a pena comprar, e nunca cole um endereço de contrato que encontrou numa resposta ou num grupo do Telegram.
Pontos-chave
- Copie sempre o endereço do contrato a partir do site oficial do projeto, nunca de um chat, resposta ou anúncio de pesquisa.
- Um explorador de blocos indica-lhe quando o contrato foi implementado, quem o implementou e se o código fonte está verificado, mas não lhe diz se a equipa o vai alterar mais tarde.
- Um simulador de honeypot tenta realizar uma venda de teste; se falhar, o token é invendável por conceção.
- A concentração nos maiores detentores e a oferta desbloqueada revelam quem pode de facto despejar tokens no mercado.
- Nenhuma lista de verificação está completa: esquemas de insiders, atualizações pós-lançamento e carteiras de equipas comprometidas continuam a escapar apenas à análise do contrato.
Por que razão a verificação de tokens importa mais do que ler gráficos
A maioria das pessoas que perde dinheiro com um token novo não interpretou mal o gráfico. Compraram o token errado. Os motores de busca, os grupos do Telegram e os bots de respostas estão inundados de tickers parecidos, e um único carácter errado num endereço colado envia os fundos para um contrato do qual o comprador nunca conseguirá vender. O padrão é tão comum que as empresas de análise de cadeia já o classificam como a maior categoria de perdas dos investidores de retalho em 2024 e 2025, à frente das liquidações e à frente das ordens stop falhadas.
A boa notícia é que a verificação não exige conhecimentos de segurança. Exige paciência e disponibilidade para saltar uma negociação quando uma verificação falha. A má notícia é que cada passo tem um modo de falha real, e saltar apenas um deles deixa uma brecha por onde um atacante tem todo o gosto em passar. A lista abaixo é o mínimo que os traders de DEX experientes realmente executam, pela ordem em que o fazem.
O que pode correr mal: o panorama de risco antes de começar
Existem quatro formas de burla que uma lista de verificação de contratos é construída para apanhar, e uma quinta que nenhuma lista apanha de todo. Conhecer a diferença é o que separa um comprador ocasional de alguém que protege os seus fundos.
A burla do copia e cola. Um token com o mesmo nome e ticker de um projeto legítimo é implementado poucas horas antes de um lançamento muito promovido. O endereço é publicado em respostas, no Telegram e em anúncios pagos nos motores de busca. A compra funciona, o preço mexese durante dez minutos, e depois as vendas revertem. O contrato é um honeypot, a liquidez pertence a um único endereço, e o responsável pela implementação tem um longo historial de esquemas idênticos.
O contrato com cunhagem oculta. Um token é lançado com uma oferta justa, funciona durante algumas semanas, e a equipa cunha um novo lote enorme no momento em que o volume dispara. Os novos tokens vão para a pool, o preço colapsa para zero, e os detentores originais descobrem que a equipa pode imprimir oferta à vontade. O contrato tinha uma função de cunhagem desde o início; ninguém leu o código fonte.
O despejo através da carteira bloqueada da equipa. Um token é lançado com os tokens da equipa bloqueados num contrato de vesting. O fornecedor do bloqueio é comprometido, ou o desbloqueio é uma multi-assinatura controlada pela equipa, ou a data de desbloqueio foi mal interpretada. A equipa vende na primeira subida real e o gráfico nunca recupera.
O responsável pela implementação comprometido. Um projeto legítimo é lançado, ganha tração, e a hot wallet de um membro da equipa sofre phishing. O atacante usa os privilégios de implementação para chamar funções sensíveis, frequentemente pausando negociações, alterando taxas ou retirando liquidez. O contrato é exatamente aquilo que a equipa escreveu; nunca foi seguro confiar numa hot key.
O que nenhuma lista de verificação apanha: uma equipa honesta que simplesmente fica sem dinheiro, é pressionada pelos market makers, ou decide deixar de apoiar o projeto. A verificação protege-o do contrato. Não o protege de um mau negócio.
Passo 1: obter o endereço a partir da fonte oficial do projeto
A primeira regra da verificação de contratos é que não se verifica um contrato sem ter um endereço fiável para o confrontar. Resultados de pesquisa, respostas no X, mensagens fixadas no Telegram e anúncios no Discord que não venham de um membro da equipa principal não são fontes fiáveis, porque podem ser editados, falsificados ou comprados. O endereço de partida deve vir de um de três sítios: o site principal do projeto, um domínio que a equipa controla desde antes do lançamento do token, ou uma página de explorador de blocos para a qual a equipa faça link a partir desse domínio.
Abre o site do projeto num separador novo. Escreve o domínio à mão, não sigas uma ligação. Procura uma página de 'token', 'contrato' ou 'trocar'. O endereço que lá estiver é o teu ponto de partida. Se o site não apresentar um endereço de contrato, isso é, por si só, um sinal de alerta: os projetos legítimos quase sempre disponibilizam o endereço num local óbvio. Se um anúncio de pesquisa for o único sítio onde aparece um contrato, trata o projeto inteiro como suspeito.
Assim que tiveres o endereço, copia-o com cuidado. Cada endereço no estilo Ethereum tem 42 caracteres e começa por 0x. Basta um carácter errado para a transação ir parar a um contrato que provavelmente devolve um erro, mas um erro de digitação que acerte num contrato real controlado por um atacante reencaminha os teus fundos diretamente para um ladrão. Muitas carteiras já avisam quando se trata de contratos desconhecidos, mas o aviso surge depois de teres assinado, não antes. Considera os teus próprios olhos como a primeira linha de defesa.
Passo 2: ler a página do contrato num explorador de blocos
Leva o endereço para o Etherscan, BscScan, Solscan ou qualquer outro explorador adequado à cadeia em questão. A página do contrato é onde acontece a primeira ronda de verificação a sério. Procura cinco elementos, e basta que um deles falhe para justificares desistir.
Estado do contrato. O separador deve dizer 'Contract' e não apenas 'Address'. Se não for um contrato, o ativo não é o tipo de token que se pode negociar numa DEX normal. Algumas cadeias e algumas plataformas de lançamento utilizam implementações não padronizadas que não interagem com o agregador que pretendes usar.
Código-fonte verificado. O separador do contrato deve mostrar um visto verde e a etiqueta 'Contract Source Code Verified'. Verificado significa que quem o publicou disponibilizou o código-fonte e que o bytecode corresponde. Não verificado não significa automaticamente que se trata de uma fraude, mas significa que não podes ler o que o código faz, e o resto desta lista depende de conseguires lê-lo.
Carteira do responsável pela publicação. Abre o endereço de publicação. Observa o histórico. Esta carteira já publicou outros dez tokens, todos eles com rug pulls? Já publicou cem contratos copiados e colados? Nunca tinha publicado um contrato? Qualquer um destes três cenários é um sinal de alerta. Uma equipa que lança um projeto a sério costuma ter um publicador com um número reduzido de contratos, frequentemente ligado a multisigs conhecidas ou a fábricas de implementação, como helpers de Create2.
Data e idade da publicação. Um contrato publicado no próprio dia em que está a ser promovido é um sinal de risco elevado. Contratos mais antigos com historial on-chain não são seguros por defeito, mas a ausência de historial é um forte aviso.
Padrões de token e casas decimais. Confirma que o token é ERC-20 (ou o equivalente na cadeia de destino), confirma que as casas decimais correspondem ao que o projeto diz e confirma que o supply total coincide com os números publicados. Um token que, em silêncio, funcione com 9 casas decimais em vez de 18 vai apresentar preços 1.000.000.000 vezes superiores ao que deveria, e vários tokens fraudulentos já usaram este truque para fazer uma microcap parecer uma pechincha.
Passo 3: simular uma venda com um verificador de honeypot
Assim que a página do contrato parecer limpa, o passo seguinte é perceber se realmente consegues vender. Muitos contratos fraudulentos aceitam compras e rejeitam vendas, ou cobram uma taxa punitiva à saída, ou recorrem a uma função de lista negra que a equipa pode acionar na primeira venda. Nada disto é visível no Etherscan. Tens de tentar a venda num ambiente isolado.
Ferramentas como honeypot.is, token-sniffer e o scanner da de.fi executam uma compra e uma venda simuladas contra o contrato em tempo real e devolvem o resultado. Cola o endereço do contrato, corre a simulação e procura três resultados: uma venda simulada bem-sucedida com uma taxa razoável (geralmente entre 0 e 5 por cento), uma taxa parcial que corresponda ao que o projeto declara ou um revert na venda. Um revert é um honeypot. Desiste.
Os simuladores de honeypot são úteis, mas é importante ter em conta os seus limites. Executam uma única transação de teste sobre o estado atual do contrato. Um contrato que passe hoje pode ser atualizado amanhã por uma chave de administrador, a equipa pode ativar uma lista negra mesmo antes da primeira venda real, e o contrato pode incluir lógica dependente do tempo que só se ativa com volume real. Considera o simulador um filtro, não uma garantia. Uma aprovação diz-te apenas que o contrato não é um honeypot clássico. Não te garante que seja seguro.
Passo 4: ler os principais detentores e o supply desbloqueado
Mesmo um contrato honesto pode ser gerido por uma equipa que detém a maior parte do supply e despeja assim que entram os primeiros compradores reais. A análise dos detentores apanha isto de uma forma que o contrato, por si só, não consegue. No explorador, abre o separador 'Holders' e observa três números: a percentagem de supply do maior detentor, o peso combinado dos dez maiores detentores e a percentagem detida pelo resto do mercado.
Na maioria dos tokens, os dez maiores detentores não devem controlar mais do que 30 a 40 por cento do supply, depois de excluir a pool de liquidez, o endereço de burn e quaisquer endereços de contrato que claramente correspondam a vesting. Se a maior carteira, sozinha, controlar 20 por cento ou mais e não for um contrato de vesting conhecido, estás perante um ponto único de falha. Se os dez maiores detentores, em conjunto, controlarem mais de 60 por cento, o mercado está a uma venda coordenada de distância do zero.
Depois observa a parcela desbloqueada. Um token pode ter, no papel, uma distribuição saudável de detentores e continuar a ser uma armadilha, porque a equipa detém o restante num contrato cujo desbloqueio acontece em 30 dias. Cruza os principais detentores com o vesting publicado pelo projeto. Se o vesting indica 12 meses e o desbloqueio dispara em 30 dias, a matemática mudou e o gráfico provavelmente também. Os dados de desbloqueios e vesting de tokens são inputs centrais do modelo de sentimento da Zipp, uma vez que um desbloqueio agendado altera a narrativa de supply mesmo quando o preço parece estável.
Passo 5: verificar o pool de liquidez, o bloqueio e os detentores de tokens LP
O contrato em si é apenas metade da história. A outra metade é a liquidez que permite a negociação do token. Na página da DEX, verifique três aspetos: quanto de liquidez existe no pool, quem a disponibilizou e se os tokens LP estão bloqueados.
O tamanho da liquidez é o limite mínimo do que pode ser perdido. Um pool com alguns milhares de dólares em liquidez é um alvo para uma única transação, e uma única transação é tudo o que um atacante precisa para puxar o tapete. A maioria dos traders experientes trata qualquer valor abaixo de cerca de 50.000 dólares em liquidez primária como efetivamente impossível de negociar para a sua escala.
Quem disponibilizou a liquidez é importante porque a equipa pode removê-la. Se a LP foi adicionada por uma única carteira e os tokens LP não estão bloqueados, a equipa pode retirar todo o pool numa única transação. Se a LP foi adicionada por um serviço de bloqueio conhecido, clique para aceder à página do serviço e confirme se o bloqueio cobre a totalidade do valor, se o beneficiário está correto e se a data de desbloqueio é suficientemente distante para cobrir o período de detenção previsto. O soft rug mais comum é um token que parece bloqueado e, depois, desbloqueia silenciosamente 24 horas após o lançamento.
Por fim, observe os detentores dos tokens LP. Um pool em que os tokens LP são detidos por um único endereço, pelo endereço do criador ou por um contrato que o criador controla é um pool que pode ser drenado. Um pool em que a LP está distribuída por vários detentores é mais difícil de atacar, mas um atacante determinado com LP suficiente pode ainda votar para migrar o pool para uma implementação maliciosa. O espaço é hostil e as verificações têm de crescer à medida do tamanho da transação.
Passo 6: cruzar sinais sociais e observar o contexto
Os dados do contrato dizem-lhe o que o código faz e qual é a distribuição on-chain. Não lhe dizem quem está a falar sobre o token, por que razão está a falar dele nem se as contas que o promovem são reais. Uma pequena dose de contexto social apanha uma classe de esquemas que as verificações ao contrato não detetam.
Observe as contas que mencionaram pela primeira vez o endereço do contrato. São contas recentes ou contas com anos de atividade? São pessoas a publicar em contexto ou são contas que apenas publicam um ticker e um endereço de contrato? A discussão é orgânica, com discordâncias e perguntas, ou é apenas elogio unilateral? A promoção coordenada não é prova de esquema, mas a ausência de crítica orgânica é motivo para abrandar.
Procure análises de risco independentes. Se analistas reconhecidos ou empresas de segurança assinalaram o contrato, os alertas são fáceis de encontrar pesquisando o endereço do contrato entre aspas. Se encontrar uma publicação negativa que refira preocupações concretas, dê-lhe peso. O trader de retalho que perdeu dinheiro raramente é a primeira pessoa a notar o problema.
Por fim, faça a verificação básica de que os canais oficiais são realmente os canais oficiais. Um projeto com uma comunidade real tem um longo histórico de publicações no seu próprio Discord, na sua própria conta X e no seu próprio Telegram. Um esquema tem, muitas vezes, um nome de X acabado de criar, um Telegram com poucos seguidores e um site registado nas últimas duas semanas. O contrato on-chain pode ter um ano, mas a equipa e a comunidade podem ser novinhas em folha. Verifique ambos.
O que as verificações ao contrato não conseguem apanhar
Vale a pena ser honesto sobre os limites de todos os passos anteriores. A verificação é um filtro, não uma garantia. As classes de falhas que passam são reais e já custaram dinheiro a sério.
Atualizações pós-lançamento. Muitos contratos são atualizáveis, o que significa que a equipa pode enviar nova lógica a qualquer momento. Um contrato seguro hoje pode tornar-se uma honeypot amanhã. A única mitigação é comprar tokens que sejam explicitamente não atualizáveis ou aceitar o risco de que um projeto que envia atualizações lhe está a pedir que confie na equipa que tem as chaves.
Chaves comprometidas. Uma equipa com uma multisig e carteiras físicas pode mesmo assim ser vítima de phishing. Uma tesouraria pode mesmo assim ser drenada. O contrato é exatamente aquilo que a equipa escreveu, a equipa é exatamente quem diz ser, e os fundos desaparecem na mesma. É por isso que a centralização é, por si só, um fator de risco, separado do código do contrato.
Risco de mercado. Mesmo um token que passe todas as verificações pode ir a zero porque o mercado não o quer. A verificação protege-o de um esquema. Não o protege de uma má negociação.
Como acompanhar os lançamentos de tokens da forma inteligente
Os lançamentos de tokens acontecem depressa e as notícias à volta deles também. Acompanhar quais os contratos seguros, quais estão a ser promovidos e quais estão a ser assinalados é um trabalho a tempo inteiro se o fizer manualmente, e um trabalho perdido se tentar acompanhá-lo pelo telemóvel. A Zippfeed apresenta manchetes relacionadas com tokens com pontuação de sentimento (bullish, neutral ou bearish) e uma classificação de importância, para que possa identificar os lançamentos que estão a receber atenção real e os que estão a ser bombeados por um punhado de contas. Combine esse fluxo com a lista de verificação acima e terá uma forma mais rápida de decidir quais os contratos que valem o tempo necessário para executar as verificações.