nfelizmente, os golpes (scams) com tokens falsos são uma realidade no ecossistema e estão cada vez mais frequentes. Nesse tipo de fraude com criptomoedas, os golpistas criam versões não autorizadas de tokens e stablecoins populares, como USDC ou USDT, com o objetivo de enganar os usuários e roubar seus fundos.
Para entender por que isso acontece, vale a pena esclarecer algo importante. Os tokens são criptoativos que não possuem uma rede nativa — ao contrário das moedas (coins) —, mas são criados e implantados nas blockchains por meio de contratos inteligentes (smart contracts). O funcionamento deles é definido nesses contratos: quantos existem, quem os emite, em qual rede operam, etc. Nesse sentido, praticamente todas as stablecoins são um tipo de token.
Como qualquer pessoa pode criar um contrato inteligente em uma blockchain, golpistas lançam imitações de tokens para tentar enganar os usuários. A melhor forma de proteger seus ativos digitais contra esse tipo de ameaça é aprender a distinguir um token falso de um genuíno.
Neste artigo, ensinamos:
- Como verificar os contratos inteligentes oficiais de USDC (Circle) e USDT (Tether).
- Como encontrar o endereço do contrato de uma operação e identificar se ele pertence a um contrato inteligente oficial ou não.
- Como reconhecer tokens fraudulentos para evitar golpes com esse tipo de criptomoeda.
- Se você já sabe usar um explorador de blockchain e encontrar o endereço do contrato inteligente de uma transação, pode ir direto para a seção “Em resumo”, onde encontrará uma tabela comparativa e um checklist para identificar mais facilmente um token falso.
A primeira abordagem do golpista
Em golpes com tokens falsos, é muito comum que os golpistas tentem entrar em contato com você. Podem fazer isso por e-mail ou redes sociais como WhatsApp ou Telegram, seja por mensagem direta ou em grupos. Eles usam vários tipos de táticas, que vão desde fingir ser do suporte de uma exchange te alertando sobre um token falso, até alguém dizendo que te enviou tokens por engano, que querem te incluir no airdrop de um projeto novo, que você ganhou um prêmio ou simplesmente que estão distribuindo tokens.
Cuidado: se alguém te oferecer tokens de graça, provavelmente é golpe. Se, além disso, pedirem que você pague as taxas de gás ou alguma outra comissão adiantada, com certeza é. Seja qual for o cenário, é importante que você sempre verifique se o token em questão é real ou falso.
E se por acaso você estiver vendendo um produto e forem te pagar com tokens, certifique-se sempre de que está recebendo tokens reais antes de liberar a venda.
A verificação definitiva é o contrato inteligente oficial
No mundo cripto, o contrato inteligente (smart contract) é a identificação oficial e imutável de um token. Um token falso pode ter um nome muito parecido com o real para tentar te enganar, mas sempre terá um endereço de contrato inteligente diferente do oficial.
Para verificar os contratos inteligentes de tokens e stablecoins como USDC e USDT, a única fonte de informação totalmente confiável são os sites de seus emissores:
USD Coin (USDC): emitida pela Circle
Assim como várias stablecoins, o USDC opera em muitas redes. A Circle, sua criadora, mantém uma lista centralizada e de fácil acesso com os endereços dos contratos inteligentes de USDC para cada uma das blockchains em que este token opera.
Como verificar um contrato oficial com as informações da Circle:
- Clique no link dos endereços de contratos oficiais de USDC da Circle.
- Procure a rede blockchain onde seu token está (por exemplo: Avalanche, Ethereum, Polygon ou Solana)
- Compare o endereço do contrato do token que você recebeu com o que aparece no site da Circle. Eles devem coincidir exatamente. Não importa se aparecem letras maiúsculas ou minúsculas; se todos os caracteres coincidirem na mesma ordem, é o mesmo endereço.
- Se os endereços não coincidirem, é um token falso! Não tente enviá-lo nem interagir com ele, pois certamente se trata de uma tentativa de golpe cripto.
USDT (Tether): emitida pela Tether
A Tether, pioneira no mercado de stablecoins, também opera em múltiplas redes e fornece um recurso oficial para a verificação de cada um dos contratos inteligentes.
Como usar as informações da Tether:
- Clique no link oficial de Transparência da Tether.
- Nesta página, você encontrará uma seção para cada stablecoin emitida pela Tether. Na aba correspondente a USDT, você verá uma lista das blockchains em que a stablecoin opera. Para consultar o contrato oficial de cada rede, clique no botão Details (detalhes) na blockchain que deseja verificar.
- Encontrar o contrato na página da Tether pode parecer menos intuitivo do que na da Circle. O que é exibido como endereço do contrato é, na verdade, o endereço web (URL) que leva à página do contrato oficial do token dentro de um explorador de blockchain*. A parte final dessa URL corresponde ao endereço do contrato inteligente.
Exemplo do endereço de contrato fornecido para USDT na Avalanche:
https://snowtrace.io/token/0x9702230a8ea53601f5cd2dc00fdbc13d4df4a8c
O endereço do contrato é: 0x9702230a8ea53601f5cd2dc00fdbc13d4df4a8c7
- Compare o endereço do seu token com o endereço oficial. Lembre-se: não importa se o endereço aparece em maiúsculas ou minúsculas; se todos os caracteres coincidirem na mesma ordem, é o mesmo endereço. Se não coincidirem, é um token falso!
Como encontrar o endereço do contrato de um token de uma operação específica
Outra ferramenta muito útil são os exploradores de blockchain, como SnowScan, Etherscan, Arbiscan, etc. Nessas páginas, você pode consultar os dados das operações e endereços que deseja verificar e compará-los com os contratos oficiais. Atenção: cada explorador de blockchain é focado em uma rede específica; por exemplo, Etherscan para Ethereum e SnowScan ou Snowtrace para Avalanche.
Exemplo de um token real vs. um falso
Digamos que, em um dia qualquer, você receba na sua carteira (wallet) um suposto token USDC e não saiba quem o enviou. Como você pode verificar se é um token falso ou verdadeiro?
A primeira coisa a fazer é ir à seção de Atividade/Transações da sua carteira e buscar a transação desse token. Copie o hash da transação (Transaction Hash) e cole-o na barra de busca do explorador de blockchain onde a operação foi realizada (ex: SnowScan para Avalanche ou Etherscan para Ethereum). Nota: Algumas carteiras permitem acessar o explorador de blockchain para consultar a operação diretamente da tela da transação.
Como vimos anteriormente, alguns tokens podem transitar em muitas redes. Neste caso, veremos exemplos de transações de USDC na C-Chain da Avalanche.
TOKEN REAL
A seguir, mostramos os resultados de um hash de transação (Transaction Hash) de um token USDC real na rede Avalanche:: https://snowscan.xyz/tx/0x9fc5cefa70afe6aa88bf9c16e893c190e0dc14ed01f5ad786ddbffd52dca7674
A parte mais importante para verificar se é um token real é a seção Interacted With (To). Esta seção mostra o endereço do contrato do token que te enviaram. Após o endereço do contrato, você pode ver que, entre parênteses, é exibido o nome do criador do contrato + o ticker + a palavra “token” → (Circle: USDC Token).
Na seção ERC-20 Tokens Transferred, é exibido no final da linha o logotipo e o nome oficial do token + o ticker; neste caso: USD Coin (USDC).
Se você clicar no endereço do contrato, será levado à seguinte página:
https://snowscan.xyz/address/0xb97ef9ef8734c71904d8002f8b6bc66dd9c48a6e
Esta página mostra as informações do contrato inteligente de USDC na Avalanche. No canto superior esquerdo, podemos ver o endereço do contrato da Circle.
Além disso, onde diz More Info (mais informações), podemos ver os dados do criador do contrato (Circle) e há quanto tempo ele foi criado (3 anos e 359 dias). Em Token Tracker, é indicado o nome completo do token (USD Coin) e seu ticker (USDC), bem como o valor por unidade ($0.9998), que, no caso de stablecoins atreladas ao dólar americano, deve ser praticamente 1 dólar.
Outro ponto importante é a frequência das transações, que você verá na coluna Age (ou Time). Um token legítimo tem um volume muito alto, o que significa que sempre há atividade recente e constante. Aqui, podemos ver que múltiplas operações ocorreram ao mesmo tempo (há apenas 7 segundos).
Se compararmos o endereço do contrato inteligente mostrado na página do SnowScan que acabamos de ver com o contrato inteligente para USDC na Avalanche publicado na página oficial da Circle (os criadores do USDC) mostrado abaixo, veremos que eles coincidem:
TOKEN FALSO
Agora, vamos ver as mesmas telas, mas de um hash de transação de um token USDC falso: https://snowscan.xyz/tx/0xc8c2544057a4047adfb436dbe4e95a16d3c7d6d642a3c603aa12faab9f03db6d
Na seção Interacted With (To), é exibido o endereço de um contrato, mas não há indicações de que corresponda ao token USDC. Neste caso, o criador do contrato se autodenomina “Fake-Phishing1311869”, mas isso não quer dizer que a tentativa de golpe será sempre tão óbvia.
Você também pode ver que, na seção ERC-20 Tokens Transferred, aparece como nome do token “ERC-20: USDC (USDC)”, diferentemente do token real da primeira imagem, onde é exibido “USC Coin (USDC)” e inclui o logotipo.
Se você clicar no endereço do contrato, será levado à seguinte página:
No canto superior esquerdo, podemos ver o endereço do contrato inteligente da transação que vimos na tela anterior.
Na seção More Info, quem aparece como Contract Creator (criador do contrato) não é a Circle, mas sim “Fake_Phishing1311870”. As informações correspondentes ao token não incluem logotipo nem preço e, embora o ticker seja exibido igual ao do token real “(USDC)”, o nome do token não está correto. Deveria ser USD Coin e não ERC-20: USDC.
Quanto à frequência das transações mostrada na coluna Age (ou Time), podemos ver que muitos dias se passaram desde a última operação e há até dias de diferença entre as transações. Como vimos antes, tokens reais têm atividade muito frequente, o que não acontece aqui.
Se compararmos este contrato com o contrato publicado pela Circle para USDC na Avalanche, podemos ver que o endereço não coincide. Não é garantia que os exploradores de blockchain tenham identificado os endereços utilizados em fraudes, como aconteceu neste caso. Por isso, sempre é necessário verificar se os endereços coincidem.
O que você deve fazer se receber um token falso
Temos boas notícias: se alguém enviar um token falso para sua carteira Bitso, ele não aparecerá na sua conta. A Bitso detecta os tokens falsos e os isola para que você não corra nenhum risco. Os tokens falsos enviados para contas da Bitso nunca serão devolvidos aos emissores nem depositados nas contas dos destinatários.
No entanto, se alguém que não seja de sua total confiança disser que te enviou um token e você nunca o recebeu, o mais provável é que tenha sido uma tentativa de golpe cripto.
E se você suspeitar que recebeu um token falso (em uma carteira de autocustódia), siga estas pautas de segurança:
- NUNCA tente vender ou transferir o token falso. O golpe muitas vezes consiste em te convencer de que o token tem valor. Se você tentar interagir com o token, é provável que peçam para você enviar uma taxa no token nativo da rede (ex: ETH na Ethereum), que acabará nas mãos dos golpistas.
- IGNORE e, se possível, OCULTE o token na sua carteira. Trate-o como se fosse spam. Você não pode perder seus fundos a menos que interaja com o contrato inteligente do token falso.
- NUNCA aceite nem responda a chamadas, mensagens diretas ou e-mails de "suporte" que alegam "te ajudar" a recuperar ou vender seus tokens. O mais provável é que sejam os golpistas tentando um segundo ataque. A equipe da Bitso nunca pedirá suas chaves privadas nem que envie fundos para um endereço para liberar um token.
Lembre-se: se o contrato inteligente não for o oficial, o token NÃO é legítimo e NÃO tem o respaldo do emissor.
Aqui você pode ver um resumo deste artigo e o checklist para identificar esse tipo de situação: