Carteira sendo drenada? Como revogar aprovações de tokens e salvar o que sobrou
Aprovou um token malicioso ou caiu num airdrop falso? Árvore de decisão, passo a passo de emergência e os erros que mantêm o brasileiro sendo drenado.
| Sua situação | Urgência | Ação |
|---|---|---|
| Ainda tem saldo | Emergência | Desconectar → revogar a aprovação perigosa → varrer para carteira nova |
| Seed / chave vazou | Máxima | Revogar não basta → migrar tudo para carteira nova com seed nova |
| Já drenou tudo | Pós-evento | Aceitar a perda → rastrear → B.O. → não pagar “recuperação” |
| Seu dinheiro está em PIX ou na corretora | Tranquilo | Approval não alcança conta custodiada — o problema é outro |
1. Calma: você ainda tem saldo na carteira ou já zerou? (árvore de decisão)
2. Por que isso NÃO tem a ver com seu PIX nem com a Mercado Bitcoin ou Binance
3. Como você chegou aqui: o airdrop falso no WhatsApp/Telegram e a assinatura que abriu a porteira
4. O que é uma “aprovação de token” (allowance) e por que ela fica viva para sempre
5. Desconectar a carteira NÃO é revogar — o erro que mantém o brasileiro sendo drenado
6. Emergência passo a passo: revogar no Revoke.cash, no explorador ou dentro da carteira
7. Sua seed vazou? Então revogar não resolve — tem que migrar tudo para uma carteira nova
8. Carteira de hardware (Ledger) também assina golpe: por que não é bala de prata
9. O segundo golpe: “serviço de recuperação” no WhatsApp e clones falsos do Revoke.cash
10. Se já drenaram tudo: rastrear na blockchain, registrar B.O. e onde denunciar no Brasil
11. Para onde levar o que sobrou: carteira nova com seed limpa ou corretora confiável
12. Imposto: como tratar a perda por golpe na Receita Federal
13. Prevenção: aprovar valor exato, auditoria periódica e revogar depois de cada dApp
14. Continue protegido: outros perrengues de carteira e transferência (cluster de segurança)
Você acordou com tokens sumindo da MetaMask, ou clicou num airdrop que veio pelo WhatsApp e agora está no pânico. Antes de qualquer coisa: respira. Tem uma pergunta que decide todo o seu plano, e tem uma confusão muito brasileira que precisa morrer logo no começo — a de achar que “drenaram meu PIX”. Vamos separar o que é o quê, parar a sangria e, se já era tarde, rastrear e denunciar do jeito certo.
1. Calma: você ainda tem saldo na carteira ou já zerou? (árvore de decisão)
Respira. Antes de sair clicando em qualquer botão de “revogar”, a primeira pergunta vale ouro, porque ela decide tudo o que vem depois: ainda sobrou alguma coisa na carteira, ou já zerou? A resposta muda completamente o seu plano de ação. Quem ainda tem saldo está numa corrida contra o relógio. Quem já foi drenado por completo está em outra etapa, a de registrar e rastrear.
| Sua situação | Urgência | O que fazer agora |
|---|---|---|
| Ainda tem saldo na carteira | Emergência | Desconectar dos sites → revogar as aprovações perigosas → varrer (sweep) o que sobrou para uma carteira nova com seed nova |
| Desconfia que a seed / chave privada vazou | Máxima | Revogar não resolve. Migre tudo na hora para uma carteira nova — o golpista tem as chaves |
| Já drenaram tudo | Pós-evento | Aceitar a perda → rastrear na blockchain → registrar B.O. → não pagar “serviço de recuperação” |
O resto deste guia destrincha cada uma dessas linhas. Mas tem um detalhe que precisa vir antes de tudo, senão metade dos brasileiros que chegam aqui está se preocupando com a coisa errada.
2. Por que isso NÃO tem a ver com seu PIX nem com a Mercado Bitcoin ou Binance
Quando alguém lê “drenaram minha carteira”, o primeiro pensamento costuma ser: “Meu PIX! Minha conta na Mercado Bitcoin! A Binance Brasil!”. Aqui vai a notícia boa: se o seu dinheiro está em PIX, em conta bancária ou parado dentro de uma corretora, esse tipo de golpe não alcança ele.
O motivo é técnico, mas dá pra explicar fácil. Approval (aprovação de token) é uma coisa que só existe em carteira self-custody — aquelas em que você guarda a frase semente, tipo MetaMask, Trust Wallet, Phantom. Nessas, você assina permissões que dão a um contrato o direito de mexer nos seus tokens.
PIX não é dinheiro on-chain. Ele anda no sistema do Banco Central, com a sua autenticação no app do banco. Drainer nenhum assina um PIX por você. E saldo dentro da Mercado Bitcoin, Foxbit, Bitso ou Binance Brasil é custodiado: a corretora guarda as chaves, e ali simplesmente não existe o conceito de “approval de token” pra você assinar sem querer. A defesa de uma conta dessas é senha forte e 2FA — não é revogar nada.
3. Como você chegou aqui: o airdrop falso no WhatsApp/Telegram e a assinatura que abriu a porteira
Então este guia é pra você que usa MetaMask ou outra carteira self-custody. E quase sempre a história começa do mesmo jeito por aqui.
Cai uma mensagem no WhatsApp ou no Telegram: um “airdrop” de um projeto famoso, um grupo de “sinais” que promete multiplicar, um amigo cuja conta foi clonada mandando um link “imperdível”. Você clica, o site pede pra conectar a carteira, e até aí nada de errado acontece — conectar só mostra seu endereço. O problema é o passo seguinte: aparece uma janela pedindo pra assinar uma transação. Você assina achando que é só “entrar” no site.
Aquela assinatura era uma aprovação ilimitada. Com ela, o contrato do golpista ganhou o direito de tirar aquele token da sua carteira — agora e sempre, até você revogar na mão.
No Brasil isso explodiu. Entre novembro de 2024 e janeiro de 2025, campanhas de phishing por WhatsApp e Telegram dispararam mais de 2.000%, e boa parte mirava justamente usuário de MetaMask atrás de airdrop. Não é azar isolado, é uma indústria.
4. O que é uma “aprovação de token” (allowance) e por que ela fica viva para sempre
Vale entender em trinta segundos o que você assinou, porque isso explica por que “fechar o site” não adianta.
No padrão ERC-20 (a base da maioria dos tokens), existem três funções que importam aqui:
- approve — você autoriza um contrato a mexer numa certa quantidade dos seus tokens.
- allowance — é o “saldo de permissão” que aquele contrato tem sobre você.
- transferFrom — é com isso que o contrato efetivamente puxa os tokens, dentro do limite que você liberou.
O detalhe cruel: essa permissão fica viva para sempre. Ela não expira sozinha, não some quando você fecha o navegador, não cai quando você troca de celular. Só desaparece quando você manda uma transação para zerá-la.
5. Desconectar a carteira NÃO é revogar — o erro que mantém o brasileiro sendo drenado
Esse é o erro que faz o brasileiro continuar sendo drenado mesmo depois de “tomar uma atitude”. A pessoa entra no site, clica em Disconnect (desconectar a carteira) e respira aliviada. Só que desconectar não é revogar.
Pensa assim: desconectar é fechar a janela; revogar é trocar a fechadura. Desconectar só faz o site parar de ver o seu endereço naquela aba. A permissão (allowance) que você assinou continua valendo na blockchain. O contrato malicioso não precisa que você esteja “conectado” — ele já tem a procuração assinada.
| Ação | O que ela faz | Bloqueia o saque dos fundos? |
|---|---|---|
| Desconectar a carteira do site | O site para de ver seu endereço | Não — a aprovação segue ativa |
| Revogar a aprovação | Zera a allowance (transação de valor zero) | Sim, mas só os saques futuros |
| Varrer para carteira nova | Move o que sobrou para um lugar seguro | Sim — única saída se a seed vazou |
Guarde isso: só desconectar é como tirar a chave da porta mas deixar a procuração assinada na mão do ladrão.
6. Emergência passo a passo: revogar no Revoke.cash, no explorador ou dentro da carteira
Agora a parte prática. Existem três caminhos pra revogar, e qualquer um serve. Escolha o que você consegue usar com a cabeça fria.
Caminho 1 — Revoke.cash (o mais usado)
O Revoke.cash é gratuito e de código aberto (dá pra ver o código no GitHub do projeto), cobre mais de 100 redes EVM e ainda Solana, e tem um modo read-only: você cola só o endereço da carteira e ele mostra todas as aprovações sem você precisar assinar nada. Use isso primeiro pra enxergar a bagunça.
| Etapa | O que fazer |
|---|---|
| 1 | Cole seu endereço no Revoke.cash (modo só leitura, sem conectar ainda) |
| 2 | Ordene a lista de aprovações de Mais recente → Mais antiga |
| 3 | Foque nas marcadas Unlimited (ilimitada), recentes e com um “spender” (contrato) que você não reconhece |
| 4 | Conecte a carteira e clique em Revoke na suspeita (vai pagar o gás) |
| 5 | Se desconfia que a seed vazou, varra tudo para uma carteira nova (próxima seção) |
Caminho 2 — pelo explorador (Etherscan, BscScan, Polygonscan)
Cada explorador tem o Token Approval Checker. Você acessa, busca seu endereço, clica em Connect to Web3 e revoga ali mesmo. É o caminho de quem já está acostumado com o explorador da rede.
Caminho 3 — dentro da própria carteira
O MetaMask Portfolio tem revogação embutida para Ethereum, Polygon e BNB Chain. Carteiras de corretora como Binance Web3 Wallet e OKX Wallet também trazem gestão de aprovações própria — a OKX inclusive mostra o histórico inteiro de approvals em muitas redes.
7. Sua seed vazou? Então revogar não resolve — tem que migrar tudo para uma carteira nova
Aqui está a distinção que mais gente erra, e ela define se revogar resolve ou é perda de tempo.
Existem dois cenários bem diferentes:
- Você só assinou uma aprovação maliciosa. O golpista pode mexer naquele token, mas não tem suas chaves. Revogar corta o acesso. Bom.
- Sua seed / chave privada vazou (você digitou a frase em algum site, mandou foto, colou num “suporte”, guardou em nuvem que foi invadida). Aí o golpista É você aos olhos da blockchain. Ele pode assinar qualquer coisa.
Como saber em qual cenário você está? Se em algum momento você digitou a frase de 12/24 palavras fora do app oficial da carteira, trate como vazamento. Na dúvida, trate como vazamento — o custo de migrar é baixo perto do risco de continuar na carteira comprometida.
8. Carteira de hardware (Ledger) também assina golpe: por que não é bala de prata
“Mas eu tenho uma Ledger, estou seguro.” Calma — a carteira de hardware é ótima, mas não é bala de prata.
O que a Ledger (ou Trezor) faz bem é guardar a chave privada offline, longe de malware. Isso protege contra alguém roubar sua seed do computador. O que ela não faz é adivinhar a intenção da transação. Se você aprova uma aprovação maliciosa apertando o botão no aparelho, a Ledger vai assinar ela com a mesma fidelidade com que assinaria uma transação legítima. Ela executa o que você confirma.
Ou seja: hardware wallet protege contra roubo de chave, não contra você ser enganado a assinar. O golpe de aprovação engana justamente o “sim, eu confirmo”. Por isso a regra de ouro continua valendo mesmo com Ledger: leia o que está assinando, e nunca assine “aprovação ilimitada” pra um contrato que você não conhece.
9. O segundo golpe: “serviço de recuperação” no WhatsApp e clones falsos do Revoke.cash
Agora o aviso que pode te salvar de perder o resto. Quem acabou de ser drenado entra em pânico — e pânico é a matéria-prima do segundo golpe.
Funciona assim. Logo depois do ataque, começam a aparecer:
- “Serviços de recuperação” no WhatsApp e no Telegram dizendo “recuperamos seu cripto”. Eles pedem sua seed, sua chave privada, ou uma taxa adiantada. Isso é fraude — é o mesmo golpista (ou outro) faturando duas vezes em cima da sua aflição.
- Clones falsos do Revoke.cash e de carteiras: domínios parecidos, anúncios pagos no Google e no Bing aparecendo em cima quando você busca “revoke”, “MetaMask”, “Ledger”. Você clica achando que é o oficial e assina outra aprovação maliciosa.
- Posts falsos de “segurança” em redes sociais gritando “REVOGUE AGORA POR AQUI” com um link envenenado.
Um exemplo real da escala disso: em janeiro de 2025, uma falsa proposta de governança da Arbitrum circulou no X (Twitter); quem clicava pra “votar” assinava a aprovação de um contrato drenador, e o prejuízo passou de US$ 8 milhões. Eles armam o cenário, e a pressa da vítima faz o resto.
10. Se já drenaram tudo: rastrear na blockchain, registrar B.O. e onde denunciar no Brasil
Se você fez a checagem e a carteira já está zerada, sem gás nem pra revogar — respira de novo. A energia agora vai pra outro lugar.
1. Aceite a perda e pare a sangria emocional. Cripto drenada é, na prática, irreversível: não existe “estorno” na blockchain, e revogar não traz de volta o que já saiu. Reconhecer isso te protege do segundo golpe (o tal “serviço de recuperação”).
2. Rastreie on-chain. Pegue o hash da transação de saída e siga no explorador (Etherscan, BscScan) pra onde os fundos foram. Muitas vezes eles param numa corretora ou num mixer. Esse rastro é o que vale numa denúncia.
3. Registre e denuncie — no Brasil, não nos EUA. O FBI IC3 (ic3.gov) é para vítimas americanas. Aqui você usa:
- Boletim de Ocorrência pela Delegacia Eletrônica do seu estado (online, na maioria dos estados).
- Polícia Federal tem unidades de crimes cibernéticos — registre se o valor justificar.
- Reporte também ao protocolo / projeto afetado e à corretora de destino (se os fundos caíram numa exchange, ela pode congelar a conta de quem recebeu).
- Denuncie a URL de phishing (no navegador, no provedor) pra tirar o site do ar e proteger os próximos.
11. Para onde levar o que sobrou: carteira nova com seed limpa ou corretora confiável
Tirou o que sobrou da carteira comprometida — pra onde levar agora? Existem dois destinos honestos, e dá pra usar os dois.
Opção A — carteira nova com seed limpa. Gere uma carteira do zero, num aparelho sem malware, anote a frase semente no papel (offline) e mande os ativos pra lá. Se a história envolveu seed vazada, esse passo é obrigatório.
Opção B — abrigo numa corretora confiável. Aqui está um ponto que vale ouro e quase ninguém fala: corretora centralizada é custodiada — não existe “approval” lá. Se você manda parte dos fundos pra hot wallet de uma exchange séria, aquele dinheiro fica numa zona que o drainer da sua carteira antiga não alcança, porque ele depende de aprovações on-chain que numa conta custodiada simplesmente não existem.
Não é mágica — corretora tem riscos próprios (você confia a custódia a um terceiro). Mas, pra estancar uma drenagem, mandar o que sobrou pra uma conta custodiada é um abrigo legítimo enquanto você organiza a carteira nova.
Binance
OKX
Bybit
Aviso de afiliados: alguns links são de parceiros. Podemos receber uma comissão sem custo extra para você. Isto não é recomendação de investimento.
No Brasil dá pra reconstruir em reais sem complicação: comprar ou recompor via Mercado Bitcoin ou Binance com PIX e, daí, escolher entre deixar custodiado ou migrar pra uma seed nova. Se quiser revisar do zero como guardar com segurança, o nosso guia de carteiras de cripto cobre quente x fria e frase semente, e o guia de como começar ajuda quem está remontando a base. Quem vai recompor a posição pode seguir o passo a passo de como comprar Bitcoin.
12. Imposto: como tratar a perda por golpe na Receita Federal
Ângulo que quase ninguém pensa no susto, mas que é bem brasileiro: e o imposto? Perder cripto pra golpe tem implicação na Receita Federal.
Operações com cripto entram na sua declaração, e a Receita vem apertando o cerco — adotou o padrão CARF (estrutura internacional de troca de informações sobre criptoativos). Perdas, inclusive perdas por golpes, e ganhos precisam ser tratados de forma honesta na apuração; quando você realiza uma perda, ela pode abater ganhos conforme as regras vigentes. A documentação do rastreio on-chain e o B.O. ajudam a comprovar.
Imposto de cripto tem detalhe e muda de ano pra ano. Para valores relevantes, vale conversar com um contador que entenda de criptoativos — isto aqui é orientação geral, não consultoria tributária.
13. Prevenção: aprovar valor exato, auditoria periódica e revogar depois de cada dApp
Passada a crise, três hábitos simples cortam quase todo o risco daqui pra frente.
- Aprove o valor exato, nunca “ilimitado”. Quando um app pedir aprovação, muitas carteiras deixam você editar para a quantia que vai usar de verdade. Dá um trabalhinho a mais, mas mata o golpe da aprovação infinita.
- Faça auditoria periódica. De vez em quando, jogue seu endereço no Revoke.cash (modo só leitura) e veja o que está aberto. É tipo revisar extrato.
- Revogue depois de usar cada dApp. Terminou de usar aquele site de DeFi? Revogue a aprovação. Permissão que não existe não pode ser explorada.
E o básico que segura 90% dos casos: airdrop bom não chega por WhatsApp nem por Telegram. Link de “grupo VIP” que pede pra conectar e assinar é, quase sempre, a porta do golpe.
14. Continue protegido: outros perrengues de carteira e transferência (cluster de segurança)
Este guia é a primeira peça de uma trilha de segurança de carteira que está crescendo aqui no site. Se você passou por um perrengue de carteira ou de transferência, provavelmente vai querer dar uma olhada nos vizinhos:
- Mandei cripto na rede errada — quando a transferência cai numa rede incompatível.
- Meu saque continua “pendente” — por que trava e o que dá pra fazer.
- Enviei sem o memo / tag — o campo esquecido que some com o depósito.
- Depósito não foi creditado — sumiu no caminho? Por onde rastrear.
- Conta bloqueada / saque congelado — quando a corretora trava tudo.
- Golpes de cripto — o panorama dos esquemas mais comuns.
Aprovação maliciosa, seed exposta, “fui golpeado, dá pra recuperar?” — são todas faces do mesmo problema: a segurança de quem guarda a própria chave. A ideia é cobrir cada uma com a mesma franqueza.
