Um influencer perdeu R$1 milhão num airdrop falso. Veja onde a carteira dele foi drenada

Um influencer perdeu R$1 milhão num airdrop falso. Veja onde a carteira dele foi drenada

Um clique bobo na tela de assinatura, poucos segundos depois de conectar a carteira sem problema nenhum, tirou R$1 milhão de um influenciador brasileiro que vive comentando cripto pras redes. Este texto reconstrói esse instante, mostra os limites reais de uma Ledger ou Trezor guardada na gaveta, e fecha com um checklist de menos de 2 minutos pra rodar antes de qualquer clique em ‘claim’.

Atualizado em 13 de julho de 2026
Resumo rápido

Pergunta rápidaResposta direta
Preciso mandar dinheiro antes de reivindicar?Não. Nunca. Se pedir, é golpe.
Preciso digitar minha frase de recuperação?Nunca. Nenhum airdrop legítimo pede isso.
Só conectar a carteira já é perigoso?Não sozinho. O risco real está em assinar depois de conectar.
Carteira de hardware me protege sozinha?Não, se você aprovar sem ler a tela de assinatura.
Tem prazo de “só 2 horas” pra não perder?Quase sempre é golpe. Desconfia e fecha a aba.

Um influenciador com centenas de milhares de seguidores relatou ter perdido cerca de R$1 milhão num golpe de airdrop falso. Se alguém que vive de cripto caiu, é porque esse golpe foi desenhado pra mirar um momento bem específico: aquele em que você assina algo na carteira sem ler direito o que está ali.

Fluxograma de segurança para resgatar um airdrop: conectar a carteira só revela seu endereço e é de baixo risco, mas um pop-up de assinatura é o momento realmente perigoso — leia o que ele realmente diz, dados hexadecimais sem sentido ou uma aprovação ilimitada de um dApp desconhecido significam parar, e um airdrop de verdade nunca pede sua frase de recuperação, fundos antecipados ou uma taxa de gas prévia.
Conectar é de baixo risco. Assinar é o momento em que um drainer realmente ganha — leia antes de clicar.

1. Um influenciador com centenas de milhares de seguidores perdeu R$1 milhão. O que isso te diz?

Imagina a cena: gravação de conteúdo pro Instagram, ou uma live rolando na Twitch, notificação
atrás de notificação chegando no celular, e no meio disso um link cai no direct ou aparece
colado numa resposta de comentário, com aquele empurrãozinho de “psiu, olha isso aqui, saiu
agorinha”. O polegar já sabe de cor o caminho até o botão de confirmar, de tanto repetir o mesmo
gesto todo santo dia gerenciando dez telas ao mesmo tempo. É exatamente esse segundo, o de assinar
sem ler direito o que realmente abriu na tela, que esse golpe de airdrop mira. Tanto faz se quem
manda o link tem 300 seguidores ou 300 mil. O golpe conta é com o piloto automático: aquele hábito
de clicar rápido numa etapa que, das dez telas que você passa o dia gerenciando, era exatamente a
que pedia mais atenção.

O roteiro se repete com a mesma cara de sempre: primeiro um pop-up pedindo pra escolher a
carteira (MetaMask, Trust Wallet, tanto faz qual), depois o site já mostra um saldo bonito e o nome
de um suposto token elegível, e no fim vem uma última janela cheia de texto ou de código cru pedindo
confirmação. É bem nessa reta final, a que a maioria fecha o olho e passa batido só pra voltar logo
pra tela do chat ou da câmera, que o caso que motivou esta matéria aconteceu.

2. O que realmente aconteceu com Augusto Backes (e por que poderia ser qualquer um)

O caso que abre esse texto é o do influenciador brasileiro Augusto Backes, que contou
publicamente ter perdido cerca de R$1 milhão (entre US$180 mil e US$200 mil, a depender da
cotação usada no relato) num golpe ligado a um airdrop falso. Ele tem nome, tem seguidores aos
milhares e vive comentando cripto nas redes todo santo dia. Mesmo assim caiu, e foi ele mesmo quem
veio a público contar, sem esconder o tamanho do prejuízo. Dificilmente alguém expõe uma perda
dessas por vaidade.

Reconstruir aqui cada clique exato que ele deu não seria honesto, generalizar demais os detalhes
de um caso específico vira chute, mas o padrão que se repete nesse tipo de golpe, e que bate com o
que Scam Sniffer, Chainalysis e CertiK documentam ano após ano, costuma seguir sempre a mesma
receita: um site de claim imita um projeto real ou promete algo que está bombando nas redes naquela
semana, a carteira conecta sem esbarrar em nada, e a tela de assinatura passa batido porque parece
só mais um “confirmar” de rotina.

Não dá pra tratar isso como “ele relaxou por um segundo”. Ler sobre cripto o dia
inteiro treina você a reconhecer nome de projeto, ticker, narrativa de mercado; não treina ninguém
pra ler uma tela de assinatura de carteira, que é uma habilidade técnica separada e que a imensa
maioria de quem investe em cripto, influenciador ou não, nunca parou pra aprender de fato. A
seguir, a matéria entra direto nesse mecanismo: o que acontece de verdade no instante em que você
aperta “confirmar”.

3. PIX + grupo de WhatsApp: a combinação que faz esse golpe voar no Brasil

Se você mora no Brasil, provavelmente já recebeu num grupo de WhatsApp (da família, dos
amigos, de um “grupo de investimentos” que alguém te chamou) uma mensagem tipo “saiu um airdrop
novo, é só conectar a carteira e reivindicar”. Aqui mora a primeira particularidade brasileira desse
golpe: ele roda mesmo é no zap-zap do dia a dia, aquele grupo da família, do trabalho, do futebol
de quinta. Lá fora a galera cripto vive mais de Discord e de Telegram; por aqui é o WhatsApp que
carrega esse golpe até você, encaminhado por alguém em quem você confia.

Isso muda a dinâmica de confiança. Num grupo de Telegram de cripto, você já entra desconfiado
por padrão, porque é terreno conhecido de golpista. Num grupo de WhatsApp de amigos ou de
“investimento em grupo”, a mensagem chega filtrada pela confiança de quem te adicionou ou de
quem encaminhou. O golpista não precisa te convencer do zero. Basta que alguém da sua
rede
encaminhe, e o link já chega com a credibilidade de quem mandou.

O segundo ingrediente é o PIX. Uma transferência PIX cai na conta em segundos, 24 horas por
dia, sem o intervalo de “compensação” que um TED ou um boleto ainda têm. Isso é ótimo pra vida
financeira do dia a dia, mas é perfeito pro golpista, porque a pressão de urgência (“só até às
22h”, “restam 40 minutos”) esbarra num meio de pagamento que já cai na hora por natureza. No golpe
de airdrop puro, sem PIX envolvido de fato (já que o roubo acontece pela assinatura da carteira, e
não por depósito), essa mesma lógica de urgência sem pausa aparece na pressa de assinar antes que
“a oportunidade expire”. Não existe uma noite de sono entre o clique e o prejuízo.

Existe arcabouço legal no Brasil pra isso? Existe, mas não foi desenhado pra esse golpe
específico. A Lei 14.478/2022 (o Marco Legal dos Criptoativos) deu ao Banco Central o
papel de regular exchanges e prestadores de serviço de ativos virtuais, as chamadas VASPs, ou
seja, regula quem guarda e movimenta seu cripto de forma centralizada. Um site de claim
falso, hospedado em qualquer lugar do mundo, pedindo uma assinatura de carteira descentralizada,
fica completamente fora do alcance prático dessa regulação. A lei organiza o mercado formal, mas
não impede que um link no WhatsApp drene sua MetaMask.

4. Imposto de renda: o que a Receita Federal já exige de você (e o que ela não resolve)

Tem uma coisa acontecendo junto com esse golpe que quase ninguém comenta: este mês de julho de
2026 é o primeiro em que a Receita Federal exige o envio mensal de dados sobre suas operações com
cripto, chova ou faça sol, golpe ou não. Quem foi drenado por um site de airdrop falso ainda
precisa lidar com essa papelada, e ignorar isso custa dinheiro de verdade, separado do prejuízo do
próprio golpe.

O nome oficial da coisa é DeCripto, criado pela Instrução Normativa RFB nº
2.291/2025
, publicada em 14 de novembro de 2025 pra substituir a velha IN 1.888/2019 que
regia esse assunto desde 2019. O cadastro e as regras gerais já estavam valendo desde o começo do
ano, mas a parte que pega no bolso, o envio mês a mês pelo e-CAC, só começou a valer a partir de
1º de julho deste ano. Quem opera fora do sistema das corretoras brasileiras (exchange
estrangeira, P2P, permuta direta) e some mais de R$35 mil em operações num único mês entra
na obrigação, com prazo até o último dia útil de agosto pra transmitir os dados de julho. O teto
subiu de R$30 mil (valor da antiga IN 1.888/2019) pra R$35 mil, mas isso é o detalhe menor da
história. O que pesa de verdade é o cruzamento: as próprias exchanges brasileiras já são obrigadas
a reportar pra Receita, por CPF, o volume movimentado por cada cliente, e agora esse número bate
automaticamente com o que você (ou deixou de) declarar pelo e-CAC. Na prática, “esquecer” de
transmitir os dados de julho deixou de ser uma aposta segura, porque o sistema acha a diferença
sozinho, sem nenhum auditor precisar abrir seu histórico na mão.

QuemAtraso na entregaErro, omissão ou informação incompleta
Pessoa físicaR$100 por mês1,5% do valor da operação
Empresa (lucro real/presumido)R$1.500 por mês3% do valor da operação
Empresa do Simples NacionalR$500 por mês1,5% do valor da operação

Tem uma saída, porém: quem corrige ou completa a declaração por conta própria, antes de
qualquer notificação ou início de fiscalização, não paga a multa de erro/omissão, e a de atraso
cai pela metade. Vale a pena correr atrás disso antes que a Receita bata à porta primeiro.

A regra de imposto propriamente dita não mudou com o DeCripto: vender cripto (o token caído de
um airdrop entra na carteira com custo de aquisição zerado, então o imposto incide sobre o valor
cheio na hora da venda) paga de 15% a 22,5% conforme a faixa de lucro apurado naquele mês, na
tabela progressiva de sempre.

E é aqui que o golpe de airdrop cria uma dor de cabeça a mais, que quase ninguém prevê: se um
token pousou na sua carteira e, sem seu consentimento real, foi movimentado por um golpista via
aprovação maliciosa (aquele Permit que você assinou sem entender), o sistema de cruzamento pode
registrar essa saída como se você tivesse vendido, gerando cobrança sobre um “lucro” que você
nunca embolsou. Não existe hoje nenhum mecanismo automático da Receita que reverta isso sozinho.
A defesa fica por sua conta: print da transação, hash na blockchain, data e hora, boletim de
ocorrência, tudo isso vira a base pra pedir uma retificação ou justificar formalmente que aquela
saída não foi uma venda sua. Guarde essas provas no minuto em que perceber o golpe, porque
reconstruir isso semanas depois é bem mais difícil.

5. Como funciona um airdrop legítimo (e por que ele nunca pede o que esses golpes pedem)

Volta pro grupo de WhatsApp por um instante: chegou o link, chegou a pressa, e a pergunta que
resolve tudo é uma só, antes de qualquer clique. Um airdrop legítimo quase sempre nasce de um
snapshot: o projeto escolhe uma data (ou várias) que já ficou pra trás e registra ali quem
fez o quê até aquele momento, usou o protocolo, forneceu liquidez, participou de governança, o que
for. A partir do instante em que essa data passa, sua elegibilidade já está decidida pra sempre.
Não existe nada que você faça hoje, amanhã ou daqui a um mês que mude se você tinha ou não direito
àquele airdrop específico. Por isso o relógio correndo na tela do link que chegou no grupo não faz
o menor sentido: quem organiza um airdrop de verdade decidiu tudo há semanas, sem pressa nenhuma,
e reivindicar num prazo apertado nunca foi parte do processo real.

Pra reivindicar de fato, o caminho é sempre o mesmo: você vai até o domínio oficial do
projeto (confirmado pelo site, pela conta verificada nas redes, pela documentação), conecta sua
própria carteira, e assina uma transação de claim que interage com o contrato do próprio projeto.
Você paga o gás dessa transação com o saldo que já está na sua carteira, sem pagamento adiantado
pra “destravar” nada. E em nenhum momento desse processo você precisa digitar sua frase de
recuperação, exportar sua chave privada ou “conectar pra verificar elegibilidade” num site
terceiro que te pede aprovação ilimitada de token.

CritérioAirdrop de verdadeAirdrop falso
Pedido de dinheiroNenhum (o gás sai do seu próprio saldo)Pede “taxa de gás” ou “taxa de liberação” adiantada
Pedido de informaçãoSó o endereço da sua carteira e seu histórico on-chainFrase de recuperação, chave privada ou “conectar pra verificar” com aprovação ilimitada
Onde aconteceDomínio oficial do projeto + contrato listado na documentação/GitHubAnúncio, link de DM ou conta comprometida, domínio parecido mas diferente
PrazoSemanas ou meses pra reivindicar“Expira em 2 horas” ou “só hoje”
O que a assinatura pedeChamada de função de claim específica e legívelAprovação ilimitada (Permit) ou hash ilegível (eth_sign)

6. O instante exato em que sua carteira é drenada: o clique que importa vem depois de conectar

Por que exatamente uma assinatura de carteira consegue drenar tudo, sem que a vítima tenha
clicado em nenhum link estranho de última hora? Entender esse mecanismo muda de vez como você vai
reagir da próxima vez que uma carteira pedir sua assinatura.

Conectar a carteira a um site, isoladamente, é um passo de risco baixo. Quando você
clica em “Connect Wallet” e escolhe a MetaMask, o Trust Wallet ou o que for, o site só recebe
seu endereço público, a mesma informação que qualquer pessoa veria olhando o explorador de blocos.
É chato, sim, porque a partir daí o site sabe seu endereço e pode te rastrear entre visitas, mas
sozinho isso não esvazia carteira nenhuma. O momento real de risco chega na etapa seguinte, quando
aparece um pedido de assinatura. E aí existem diferenças técnicas que mudam tudo:

  • eth_sign: o método mais perigoso de todos. Assina um hash arbitrário de 32 bytes,
    algo que nenhum ser humano consegue ler e verificar o que realmente significa. A própria MetaMask
    exibe um aviso vermelho forte quando um site pede isso, porque na prática esse método permite
    forjar quase qualquer assinatura.
  • personal_sign: assina uma mensagem em texto. Mais legível, mas o conteúdo real da
    autorização pode estar escondido dentro do texto de um jeito que parece inofensivo.
  • EIP-712 / eth_signTypedData_v4: mostra os dados de forma estruturada, tipo um JSON
    organizado em campos. Em teoria dá pra ler cada campo antes de assinar, mas na prática,
    estruturas aninhadas e nomes de campo confusos escondem o que está sendo autorizado.
  • Permit / Permit2: uma assinatura que autoriza outro endereço a movimentar seus tokens
    em nome da sua carteira, muitas vezes sem limite de valor. Isso é usado legitimamente por
    DEXs o tempo todo, e o problema aparece quando um dApp desconhecido pede um Permit ilimitado.
    Segundo a Scam Sniffer, abuso de Permit/Permit2 respondeu por 38% dos golpes acima de US$1
    milhão em 2025
    .
Tipo de assinaturaO que aparece na telaRiscoObservação
Connect (conectar)Só o endereço públicoBaixoNão move fundos, só revela quem você é
eth_signHash de 32 bytes ilegívelAltíssimoMetaMask exibe alerta vermelho; praticamente qualquer coisa pode ser forjada
personal_signMensagem de textoMédioA autorização real pode estar escondida no texto
EIP-712 (typed data)JSON estruturado e legívelMédio (baixo se você realmente ler)Estruturas aninhadas podem esconder o que está sendo aprovado
Permit / Permit2Delegação de gasto do token, muitas vezes ilimitadaAlto38% dos golpes acima de US$1M em 2025 (Scam Sniffer)

Uma novidade de 2025 vale registro: depois que a atualização Pectra do Ethereum trouxe
o EIP-7702, apareceu um vetor de ataque novo em que uma única assinatura pode autorizar a
execução de várias transações maliciosas em sequência, o que torna o “assinei só uma vez” ainda
menos garantia de segurança do que já era antes.

A régua prática: se a tela de assinatura mostra um monte de hex
ilegível, ou pede aprovação “sem limite” pra um contrato de um site que você nunca ouviu falar
antes de ontem, desconfia na hora. Fecha a aba e não assina nada.

7. Carteira de hardware (Ledger/Trezor) não te salva se você não lê a tela antes de aprovar

Tem uma frase que roda solta em grupo de cripto no Brasil: “comprei uma Ledger, agora tô seguro”.
Dá pra entender de onde vem essa confiança, mas ela carrega uma ilusão embutida. A chave privada
ficar isolada dentro do dispositivo é real e importa, sim; só que a Ledger não tem como saber se o
que apareceu na telinha é um claim de airdrop de verdade ou um Permit ilimitado disfarçado de
rotina. Ela sabe fazer uma coisa só: perguntar “confirma?” e obedecer o que você mandar apertando o
botãozinho.

Repara no que muda, na prática, quando o app do computador já mostrou tudo “bonitinho” um segundo
antes: seu cérebro já decidiu que tá tudo certo antes mesmo de a tela do hardware acender. É aí que
o dispositivo físico deixa de funcionar como segunda checagem e vira só um carimbo. Cansaço no fim
do dia, tela pequena demais pra ler um endereço inteiro, a milésima vez apertando o mesmo botão sem
pensar: cada um desses fatores empurra o dedo a confirmar antes do olho terminar de processar a
frase. A chave privada nunca sai do aparelho, e isso de fato barra o golpe mais comum contra
carteira quente, o de computador infectado capturando a chave direto da tela. Só que contra um
Permit ilimitado disfarçado de “confirmar claim”, a Ledger não ajuda em nada: ela aprova o pedido
com a mesma cara neutra que usaria pra aprovar qualquer transação de verdade, porque quem decide
ali é você, no instante em que o polegar toca o botão sem terminar de ler.

O golpista de link no WhatsApp e o grupo que invadiu a Bybit em fevereiro de 2025
exploraram, no fundo, a mesma falha de tela, só que num porte totalmente diferente: o da Bybit é
apontado até hoje como o maior roubo de cripto da história, US$1,5 bilhão em um único golpe.
Os atacantes, atribuídos ao grupo Lazarus/TraderTraitor, comprometeram o computador de um
desenvolvedor da Safe{Wallet} e injetaram JavaScript malicioso bem na tela de assinatura, de um
jeito que fez uma transação maliciosa parecer operação de rotina até pra gente técnica que revisava
a interface com cuidado, porque a própria interface passou a mostrar dados diferentes do que a
transação continha por trás. A categoria de ataque é bem diferente da de um site de claim falso
comum, mas serve pro mesmo aviso: não importa se a carteira é fria ou quente, se você aprovar
uma tela sem checar de verdade o que tá escrito ali, o dinheiro sai do mesmo jeito.

Regra prática pra carteira de hardware: leia o endereço de destino, o valor
e, principalmente, se é uma aprovação (approve/permit) ou uma transferência direta, antes de
apertar o botão físico. Se a tela mostrar dados estranhos, hex longo ou um valor “ilimitado”, não
confirme só porque “é hardware, deve ser seguro”.

8. Os disfarces mais comuns: do ‘clique aqui em 2 horas’ ao token que aparece sozinho na sua carteira

Os golpes de airdrop falso não são todos iguais. Existe um catálogo de disfarces que se
repete, e reconhecer o padrão importa mais do que decorar um golpe específico.

Site de claim falso imitando um TGE real

Quando um projeto sério está prestes a lançar seu token (o chamado TGE, Token
Generation Event), aparecem em paralelo dezenas de anúncios patrocinados e links de phishing
imitando o site oficial, às vezes com domínio quase idêntico (uma letra trocada, um hífen a
mais). Isso aconteceu de forma bem documentada em torno do TGE da Backpack em março de
2026
: horas depois da abertura oficial do claim pra 25% da comunidade, já havia vários sites
copycat de phishing no ar disputando cliques de gente ansiosa pra não perder o prazo.

Conta oficial hackeada anunciando um claim falso

Às vezes o site nem é falso: quem foi invadida é a própria conta oficial do projeto no
Discord, no X ou no Telegram, e o golpe sai publicado como se fosse anúncio oficial. Por isso
“veio da conta verificada do projeto” não garante nada sozinho; vale cruzar com mais de um canal
antes de confiar.

Dusting attack (ataque de poeira)

Um dia você abre a carteira e encontra um token novo lá, que você nunca comprou nem pediu a
ninguém. Isso tem nome: dusting attack. Alguém manda uma quantidade minúscula desse token
pra sua carteira torcendo pra você ficar curioso, entrar no site ligado ao projeto “só pra
conferir o valor” ou tentar vender/trocar esse token em algum lugar, e é justamente esse gesto de
interagir que aciona o contrato malicioso por trás dele. A resposta mais segura aqui dispensa
qualquer curiosidade: deixa o token quieto onde caiu, sem vender, sem trocar, sem ir “só dar uma
olhada”.

Extensão de navegador falsa e app falso

Em setembro/novembro de 2025 circulou uma extensão chamada “Safery: Ethereum Wallet”
que ficou disponível na própria Chrome Web Store oficial por semanas, aparentando ser legítima.
Ela codificava a frase de recuperação da vítima dentro de microtransações na rede Sui (valores
de 0,000001 SUI) pra exfiltrar o dado sem levantar suspeita óbvia. Em dezembro de 2025, a própria
extensão oficial da Trust Wallet foi comprometida via vazamento de segredos no GitHub e
teve uma atualização maliciosa distribuída pelo canal oficial, afetando ao menos 2.500 carteiras
e causando entre US$7 milhões e US$8,5 milhões em perdas. A lição incômoda: estar na loja oficial
não é garantia de que o app é seguro nem de que sempre vai continuar sendo.

Pressão de urgência e escassez

“Só restam 2 horas”, “primeiras 500 carteiras”, “expira à meia-noite”: esse tipo de frase
existe pra desligar seu pensamento crítico. Um airdrop legítimo, baseado em snapshot já
decidido no passado, quase nunca tem essa urgência artificial; a janela de claim costuma durar
semanas.

Pedido de pagamento adiantado

Se em algum momento o site pede que você mande cripto ou dinheiro antes
de liberar o claim, não importa se chamam isso de “taxa de gás”, “taxa de destravamento” ou
qualquer outro nome, é sempre golpe. Sem exceção. Numa reivindicação real, o gás sai do saldo que
já está na sua própria carteira no momento da transação; nunca é um pré-pagamento pra um endereço
de terceiros.

9. Os números de 2025/2026 sem exagero: caiu, mas não sumiu

Bora pros números de 2025 então. Primeiro a parte boa, que existe de verdade: segundo
a Scam Sniffer, as perdas com phishing por assinatura e drenadores de carteira caíram de
US$494 milhões em 2024 para US$83,85 milhões em 2025, uma queda de cerca de 83% em
valor, com o número de vítimas caindo de forma parecida (106.106 vítimas em 2025, também bem
abaixo do ano anterior). Os casos acima de US$1 milhão também caíram de 30 em 2024 pra 11 em
2025. Isso é melhora concreta, puxada por interface mais clara nas carteiras, alertas melhores
e mais gente prestando atenção.

Só que “caiu” não é a mesma coisa que “sumiu”. O maior golpe individual de phishing por
assinatura em 2025 ainda somou US$6,5 milhões, num único incidente em setembro envolvendo
abuso de assinatura tipo Permit. E se você abrir o zoom pra fora dos drenadores de assinatura e
olhar o crime cripto como um todo, o tamanho muda de patamar. No relatório de crime cripto de
2026 (com dados fechados de 2025), a Chainalysis calculou que endereços ligados a atividade
ilícita receberam pelo menos US$154 bilhões ao longo do ano, 162% a mais que em 2024. Boa
parte desse salto vem de um único fator: o valor recebido por entidades sob sanção internacional
disparou 694% no período, então nem todo esse crescimento tem a ver com golpe contra usuário
comum. Ainda assim, a fatia que interessa de perto pra quem lê este artigo também cresceu forte:
golpes e fraudes puros somaram US$17 bilhões em 2025 (a faixa de 2024 ficava entre US$9,9
bilhões e US$12 bilhões, dependendo da metodologia), com prejuízo médio de US$2.764 por
vítima
, 253% acima do ano anterior. E dentro dessa categoria, golpes de personificação (se
passar por outra pessoa, por suporte técnico ou pelo projeto de um airdrop) foram o que mais
cresceu proporcionalmente: alta de 1.400% na mesma comparação.

PeríodoIndicadorNúmeroFonte
2024Perdas totais com drenadores de carteiraUS$494 milhõesScam Sniffer
2025Phishing por assinatura + drenadoresUS$83,85 milhões (106.106 vítimas)Scam Sniffer
2025Golpes e fraudes cripto no totalUS$17 bilhões (média US$2.764/vítima)Chainalysis 2026
1º semestre de 2025Perdas com phishingUS$410 milhões (132 casos)CertiK
2025Carteiras pessoais comprometidas158.000 casos (80.000 vítimas únicas)Chainalysis
2025Perdas via extensão de navegador e carteira pessoalUS$713 milhões (20% do total roubado)Chainalysis
2025Crescimento de golpes de personificação+1.400% ano a anoChainalysis

E o ecossistema de “drenador como serviço” (Drainer-as-a-Service) continua funcionando
como um mercado próprio: quando um drenador famoso sai de cena, outro entra no lugar. O
Inferno Drainer, por exemplo, mesmo após anúncios de “aposentadoria”, voltou a operar. Só
nos seis meses até maio de 2025 esteve ligado a mais de 30 mil vítimas e US$9 milhões em perdas,
com reivindicação própria (não totalmente verificável de forma independente) de mais de US$250
milhões acumulados desde 2024. Já o Pink Drainer, antes de encerrar operações, teria
movimentado mais de US$85 milhões de mais de 21 mil vítimas. O detalhe importante aqui é que
esses “drenadores” não são um hacker trabalhando sozinho. São kits vendidos ou alugados por
comissão pra qualquer golpista de baixa habilidade técnica montar um site convincente em pouco
tempo.

10. Casos reais enquanto você lê isso: de Bybit a Upbit, do FBI Token ao Trust Wallet

Agora os casos de verdade, com data e tudo, ligados direta ou indiretamente a essa mesma história
de assinatura maliciosa e airdrop falso. Nem todo caso da lista abaixo é “clicou num link de
airdrop” no sentido estrito, mas todos mostram o mesmo ponto cego se repetindo.

DataCasoEscalaMecanismo
21/02/2025Hack da Bybit (Lazarus/TraderTraitor)US$1,5 bilhãoInvasão do computador de um dev da Safe{Wallet}, tela de assinatura falsificada
set–nov/2025Extensão falsa “Safery”Frases de recuperação roubadasDisponível na Chrome Web Store oficial por semanas; codificava a seed em microtransações na Sui
até maio/2025Reativação do Inferno Drainer30 mil+ vítimas / US$9 milhões+ em 6 mesesAbuso de Permit2, kit versão 6.6.6
27/11/2025Hack da Upbit (Coreia do Sul)~US$30 milhões / ₩44,5 bilhões (~R$159 milhões, na mesma cotação usada neste artigo)Vazamento pra carteira externa em 54 minutos (04h42–05h36)
24/12/2025Extensão oficial da Trust Wallet comprometidaUS$7–8,5 milhões / 2.500+ carteirasVazamento de segredo no GitHub, atualização maliciosa distribuída como oficial
19/03/2026Alerta oficial do FBI sobre o “FBI Token” falsoSem valor estimadoAirdrop falso do padrão TRC-20 na rede Tron
23/03/2026TGE da Backpack e onda de phishing copycatSem valor estimadoSites falsos surgiram horas após a abertura oficial do claim

O caso da Upbit merece um parágrafo à parte porque mostra como esse tipo de vazamento pode ser
rápido: em 27 de novembro de 2025, entre 4h42 e 5h36 da manhã (54 minutos), a exchange sul-coreana teve cerca de ₩44,5 bilhões, perto de US$30 milhões ou pouco mais de R$159 milhões na
cotação usada neste artigo, transferidos pra uma carteira externa. Somando esse e outros
incidentes ligados a exchanges como Bybit e Bithumb, estimativas de veículos como o TokenPost
apontam prejuízo total relacionado a crime cripto na Coreia do Sul em 2025 na casa de US$3,4
bilhões
. Aqui o problema foi outro: a infraestrutura da própria exchange foi comprometida, um
caso mais parecido com invasão de servidor do que com airdrop falso clicado por um usuário
qualquer. Mesmo assim o ensinamento de fundo é idêntico. O momento de autorização, seja de uma
carteira institucional, seja da sua MetaMask, é o ponto onde tudo se decide.

Já o alerta do FBI sobre o “FBI Token” falso, em março de 2026, é quase irônico: golpistas
criaram um token falso na rede Tron (padrão TRC-20) alegando ligação com o próprio FBI pra
atrair vítimas a um airdrop fraudulento, e a agência precisou emitir um comunicado público
desmentindo qualquer envolvimento.

11. Checklist antes de clicar em ‘claim’: o que checar em menos de 2 minutos

Aqui vai um roteiro prático, dos que você consegue seguir em menos de dois minutos antes de
clicar em qualquer botão de claim:

  1. Confirme o domínio pela fonte oficial. Não confie no link que veio no grupo de
    WhatsApp ou no anúncio. Vá até a conta oficial verificada do projeto (X, documentação, site
    listado no CoinGecko/CoinMarketCap) e confirme o endereço exato do domínio a partir de lá.
  2. Confira o endereço do contrato. Compare o endereço do contrato que aparece na tela
    de assinatura com o que está documentado no GitHub oficial do projeto ou visível num explorador
    de blocos como Etherscan/BscScan. Endereços de contrato não mentem, mesmo que o site minta.
  3. Use uma carteira “descartável” só pra isso. Pra interagir com qualquer site de claim
    que você não conhece a fundo, use uma carteira separada, a chamada burner wallet, com o
    mínimo de fundos possível. Se algo der errado, o prejuízo fica limitado ao que estava naquela
    carteira isolada, não na sua carteira principal com suas economias.
  4. Leia com atenção o que a assinatura pede. Se a tela mostrar um hex ilegível (sinal de
    eth_sign) ou uma aprovação sem limite de valor (Permit/Permit2) pra um contrato desconhecido,
    pare. Se sua carteira mostrar um aviso de risco, não ignore achando que “é só burocracia”.
  5. Revogue a aprovação depois de reivindicar. Mesmo num claim legítimo, é boa prática
    revogar aprovações de token que você não vai mais usar. Veja nosso guia de
    como revogar aprovações de token
    pra fazer isso em poucos minutos.
  6. Desconfie de qualquer prazo curto demais. “2 horas”, “hoje até meia-noite”, “primeiras
    500 carteiras” são gatilho de pressão, isso sim. Um airdrop legítimo, baseado num snapshot que já
    passou, não corre contra o relógio.
Se em algum momento a “verificação de elegibilidade” te pedir pra digitar
sua frase de recuperação de 12 ou 24 palavras, pare tudo. Nenhum airdrop legítimo, em nenhuma
circunstância, precisa disso. Quem pede isso quer roubar sua chave, e é só isso.

12. Existe um jeito estruturalmente mais seguro de participar de airdrops

Existe, sim, um jeito de participar de programas de airdrop que reduz drasticamente esse
risco de assinatura maliciosa: usar os programas de airdrop das próprias corretoras centralizadas
que você já usa pra comprar cripto, ao invés de conectar sua carteira em sites de terceiros
desconhecidos.

Corretoras como a Binance (HODLer Airdrops), a OKX (Jumpstart), a
Bybit (Launchpool), a Gate (Startup), a MEXC (Airdrop+) e a
KuCoin (Spotlight) rodam seus próprios programas de distribuição de token, baseados no
saldo que você já mantém na conta da corretora (um “snapshot” interno de saldo), sem exigir
nenhuma assinatura de carteira nem aprovação de contrato externo. Você não está imune a golpe de
phishing tentando roubar seu login, mas elimina completamente o vetor específico deste artigo,
que é a assinatura maliciosa de uma carteira descentralizada.

Bom airdrop também nasce fora de exchange, direto on-chain, na comunidade de um protocolo, isso
continua verdade. Ainda assim, quem tá começando agora e quer testar a mão sem se expor ao vetor
de risco explicado neste artigo tende a sair na frente começando pelos programas de corretora, que
já fazem a verificação de identidade (KYC) e não pedem nenhuma assinatura de carteira
descentralizada.

Binance

Binance signup QR — scan to open Binance (Cryptonakta referral)Cadastre-se com vantagem →

Código: CRYPTONAKTA
Cadastrando direto no app? Insira CRYPTONAKTA no campo «Código de indicação» no cadastro — assim seu benefício é aplicado.

Bybit

Bybit signup QR — scan to open Bybit (Cryptonakta referral)Cadastre-se com vantagem →

Código: 5ZGKX#0
Cadastrando direto no app? Insira 5ZGKX#0 no campo «Código de indicação» no cadastro — assim seu benefício é aplicado.

OKX

OKX signup QR — scan to open OKX (Cryptonakta referral)Cadastre-se com vantagem →

Código: 46938989
Cadastrando direto no app? Insira 46938989 no campo «Código de indicação» no cadastro — assim seu benefício é aplicado.

Gate.io

Gate.io signup QR — scan to open Gate.io (Cryptonakta referral)Cadastre-se com vantagem →

Código: VFIWUQTAUQ
Cadastrando direto no app? Insira VFIWUQTAUQ no campo «Código de indicação» no cadastro — assim seu benefício é aplicado.

KuCoin

KuCoin signup QR — scan to open KuCoin (Cryptonakta referral)Cadastre-se com vantagem →

Código: CXEM4JP5
Cadastrando direto no app? Insira CXEM4JP5 no campo «Código de indicação» no cadastro — assim seu benefício é aplicado.

MEXC

MEXC signup QR — scan to open MEXC (Cryptonakta referral)Cadastre-se com vantagem →

Código: 43zJH
Cadastrando direto no app? Insira 43zJH no campo «Código de indicação» no cadastro — assim seu benefício é aplicado.

Aviso de afiliados: alguns links são de parceiros. Podemos receber uma comissão sem custo extra para você. Isto não é recomendação de investimento.

13. Glossário rápido pra entender o jargão que o golpista conta que você não entende

Um dos truques mais silenciosos do golpe é usar jargão técnico real pra soar legítimo. Vale
ter esses termos no bolso pra não se sentir “por fora” justamente na hora que importa.

TermoO que significa
Assinatura cega (blind signing)Aprovar uma transação ou mensagem sem
conseguir (ou sem se dar ao trabalho de) ler o que realmente está sendo autorizado, o ponto
central de risco explicado na seção 6.
Permit / Permit2Um padrão de assinatura que autoriza outro endereço a
movimentar tokens da sua carteira, muitas vezes sem limite de valor, sem precisar de uma
transação on-chain separada de “approve”.
Drainer / Drainer-as-a-ServiceKit de código pronto (script malicioso)
que golpistas alugam ou compram pra montar um site de claim falso que esvazia carteiras
automaticamente assim que alguém assina.
SnapshotUm registro histórico do estado da blockchain numa data
específica, usado pra decidir retroativamente quais carteiras tinham direito a um airdrop.
TGE (Token Generation Event)O evento em que o token de um projeto passa
a existir e circular oficialmente pela primeira vez, momento em que golpes copycat costumam
surgir em massa.
Dusting attack (ataque de poeira)Envio de uma quantidade minúscula e não
solicitada de token pra uma carteira, na tentativa de induzir a vítima a interagir com um
contrato malicioso pra “conferir o valor” ou trocar esse token.
Burner wallet (carteira descartável)Uma carteira separada, com fundos
mínimos, usada especificamente pra testar sites ou contratos que ainda não têm confiança
estabelecida.
eth_sign / personal_sign / EIP-712Métodos técnicos diferentes de
assinatura de carteira, com níveis de legibilidade e risco distintos, detalhados na tabela da
seção 6.
Wallet poisoning (envenenamento de endereço)Técnica em que o golpista
cria um endereço parecido com um que você já usou, na esperança de que você copie o endereço
errado do seu próprio histórico de transações num envio futuro.

14. Se você já assinou: o que fazer nas próximas horas

Se você já assinou algo suspeito, ou desconfia que assinou, o relógio importa mais do que o
orgulho ferido. Aqui está a ordem de prioridade:

  1. Revogue todas as aprovações de token imediatamente, usando uma ferramenta como o
    Revoke.cash ou o próprio explorador de blocos da rede envolvida. Isso corta o acesso contínuo
    que um contrato malicioso possa ter à sua carteira. Nosso guia detalhado:
    como revogar aprovações de token.
  2. Se você chegou a digitar sua frase de recuperação em algum site (mesmo que só uma
    vez, mesmo que tenha se arrependido na hora), considere essa carteira comprometida de forma
    permanente. Não adianta só mover os fundos que sobraram, é preciso migrar pra uma carteira
    totalmente nova, gerada num dispositivo limpo. Veja o passo a passo em
    frase de recuperação exposta: o que fazer agora.
  3. Documente tudo antes de fazer qualquer coisa apressada. Print da transação, hash da
    transação (disponível em qualquer explorador de blocos), horário, o link do site que você
    acessou. Isso importa tanto pra um eventual boletim de ocorrência quanto pra qualquer tentativa
    de rastreamento.
  4. Registre um boletim de ocorrência na Polícia Civil (delegacia de crimes cibernéticos,
    onde houver) ou notifique a Polícia Federal se o valor for expressivo ou envolver transferência
    internacional. Isso raramente devolve o dinheiro, mas cria um registro formal que pode importar
    depois, inclusive pra sustentar a parte fiscal explicada na seção 4 deste artigo (a Receita não
    perdoa “ganho” que existiu só entre o token cair na carteira e o golpista drenar tudo).
  5. Avalie, com calma, se existe algum caminho realista de recuperação. Na maioria dos
    casos não existe, e prometer o contrário é, em si, outro tipo de golpe. Existem exceções reais,
    porém, e conhecê-las evita que você gaste dinheiro com quem promete “recuperar 100%”: dá pra recuperar cripto de golpe?
  6. Revise sua rotina de segurança daqui pra frente, incluindo como sua carteira é
    guardada no dia a dia. Nosso guia de carteira de criptomoedas cobre isso
    com mais profundidade.

Uma coisa importante pra fechar: ninguém devia se sentir burro por ter caído nisso. A Chainalysis
contou mais de 80 mil vítimas diferentes de carteira pessoal comprometida só em 2025, e boa parte
delas não era gente que abriu uma exchange pela primeira vez naquela semana, era gente que já
mexia com cripto havia anos. Passar as próximas horas se culpando não desfaz nada; revogar
aprovação, documentar e migrar de carteira, sim, muda o que ainda dá pra mudar.

Perguntas frequentes

Q. Como me cadastro na Binance, passo a passo?
1) Cadastre-se com e-mail ou telefone no site ou app oficial da Binance. 2) Faça a verificação de identidade (KYC). 3) Ative o 2FA por app. 4) Insira o código de indicação CRYPTONAKTA ao se cadastrar para obter um desconto contínuo de 10% nas taxas de trading spot. Onde o depósito fiat direto é limitado, compre uma moeda ou stablecoin numa corretora local e transfira, ou use P2P.
Q. Como me cadastro na Bybit, passo a passo?
1) Cadastre-se com e-mail ou telefone no site ou app oficial da Bybit. 2) Faça a verificação de identidade (KYC). 3) Ative o 2FA por app. 4) Insira o código de indicação 5ZGKX#0 ao se cadastrar para obter uma vantagem nas taxas ao se cadastrar. Onde o depósito fiat direto é limitado, compre uma moeda ou stablecoin numa corretora local e transfira, ou use P2P.
Q. Como me cadastro na Gate.io, passo a passo?
1) Cadastre-se com e-mail ou telefone no site ou app oficial da Gate.io. 2) Faça a verificação de identidade (KYC). 3) Ative o 2FA por app. 4) Insira o código de indicação VFIWUQTAUQ ao se cadastrar para obter um desconto de 10% nas taxas vitalício. Onde o depósito fiat direto é limitado, compre uma moeda ou stablecoin numa corretora local e transfira, ou use P2P.
Q. Preciso mandar dinheiro pra receber um airdrop legítimo?
Não, nunca. Um airdrop legítimo não pede nenhum pagamento adiantado, nem ‘taxa de gás’, nem ‘taxa de liberação’. O gás da transação de claim sai do saldo que já está na sua própria carteira, no momento em que você assina. Qualquer pedido de pagamento antes do claim é golpe, sem exceção.
Q. Só conectar minha carteira num site de airdrop já é perigoso?
Conectar sozinho revela apenas o endereço público da sua carteira, informação que qualquer pessoa já veria num explorador de blocos. O risco sério aparece depois, no pedido de assinatura. É aí que uma aprovação maliciosa (como um Permit ilimitado) pode ser autorizada.
Q. Um airdrop pode pedir minha frase de recuperação (seed phrase)?
Não, nunca, em nenhuma circunstância. Nenhum projeto legítimo, nenhuma ferramenta de ‘verificação de elegibilidade’ séria precisa da sua frase de 12 ou 24 palavras. Pedir isso é roubo direto de chave privada disfarçado de airdrop.
Q. O que é blind signing (assinatura cega) e como eu evito isso?
É quando você aprova uma transação ou mensagem sem realmente conseguir ler o que está sendo autorizado, por exemplo, um hash ilegível de eth_sign. Pra evitar: desconfie de telas com hex sem sentido, leia campo por campo quando a assinatura for estruturada (EIP-712), e nunca aprove ‘porque só quer terminar logo’.
Q. Recebi um token que eu não pedi na minha carteira. É golpe?
Provavelmente é um dusting attack: alguém manda um token indesejado esperando que você interaja com ele (pra ‘conferir o valor’ ou trocar) e assim ative um contrato malicioso. A resposta mais segura é simplesmente ignorar, sem tentar vender, trocar ou ‘investigar’ esse token.
Q. Carteira de hardware (Ledger/Trezor) me protege de golpe de airdrop?
Protege sua chave privada de vazar, mas não te protege se você aprovar o que está na tela sem ler. O dispositivo pergunta ‘confirma?’ e aprova exatamente o que foi pedido, inclusive um Permit ilimitado, se você clicar sim sem checar.
Q. Preciso declarar imposto sobre um airdrop, mesmo se for golpe?
A regra fiscal existe independente do golpe: desde a IN RFB nº 2.291/2025 (que criou o sistema DeCripto), operações mensais acima de R$35.000 precisam ser declaradas pelo e-CAC, e ganho de capital na venda de cripto (incluindo token de airdrop) é tributado de 15% a 22,5%. Se um golpista drenou o token antes de você vender por vontade própria, documentar tudo (print, hash da transação, boletim de ocorrência) é o que sustenta uma retificação junto à Receita depois.
Q. Já assinei algo suspeito num site de airdrop. E agora?
Revogue todas as aprovações de token imediatamente, e se você chegou a digitar sua frase de recuperação em algum momento, trate essa carteira como comprometida e migre pra uma nova. Veja o passo a passo completo na seção 14 deste artigo e nos guias de revogação e de frase exposta linkados acima.
Q. Existe alguma forma mais segura de participar de airdrops?
Sim. Programas de airdrop das próprias corretoras (como Binance HODLer Airdrops, Bybit Launchpool, OKX Jumpstart, Gate Startup, MEXC Airdrop+ e KuCoin Spotlight) usam o saldo que você já mantém na conta, sem exigir assinatura de carteira descentralizada nem aprovação de contrato externo, eliminando o vetor de ataque específico deste artigo.
Este conteúdo é educativo e não constitui aconselhamento financeiro, jurídico ou fiscal. Números e casos citados vêm de fontes públicas (Scam Sniffer, Chainalysis, CertiK, veículos de imprensa) e podem ser revisados por essas fontes com o tempo. Aviso de afiliados: alguns links são de parceiros. Podemos receber uma comissão sem custo extra para você. Isto não é recomendação de investimento.

Veja mais golpes cripto pra reconhecer e se proteger

Padrões editoriaisEditorial cripto independente · honesto, sem hype · não é recomendação de investimento.
🌐 Português