Bitget App
Trade smarter
Comprar criptomoedasMercadosTradingFuturosBotsEarnCopy
Produtos Earn
Bitget Earn
Gestão integral de investimentos e finanças
Poupança
Obtenha lucros diários com os seus tokens parados
On-chain Elite
Ganhe todos os dias com o On-chain Elite
Earn On-chain
Rendimento garantido tanto em bear como bull markets
Empréstimos de criptomoedas
Empréstimos rápidos com ativos cripto
Empréstimo de conta-chave
Customized loans to meet your unique needs
Shark Fin
Capital garantido e retornos mais elevados
Smart Trend
Adivinhe a tendência e ganhe retornos maiores
Investimento duplo
Lucre com compras em baixa e vendas em alta
Gestão de património
Aumente o seu património com a nossa equipa de topo de gestão de ativos
Campanhas
Área BGB
Abundância de recompensas de BGB
Investimento automático spot+
Crie rendimentos adicionais no Earn para o seu bot de investimento automático.
Launchpool
Bloqueie para descobrir novos tokens promissores
PoolX
Bloqueie e receba airdrops de novos tokens
HodlerYield
Hold your assets and watch them grow
Programa TraderPro da Bitget
Lucre como um profissional com o copy trading de futuros. Replique as transações em tempo real dos traders de elite que segue com apenas um clique.
Visão geral
Introdução ao copy trading da Bitget e às suas vantagens
Copie o que lhe convém
Copy trading de futuros
Siga os melhores especialistas em trading de futuros do mundo
Copy trading spot
Siga os melhores especialistas em trading spot do mundo
Centro de estratégias
Copie os melhores bots e faça trading de forma mais inteligente
Segurança
Alerta de segurança da Web3 - Aprovações maliciosas

Alerta de segurança da Web3 - Aprovações maliciosas

Iniciante
2025-06-03 | 5m

O que é um esquema de aprovação maliciosa?

As aprovações maliciosas são um dos esquemas mais difundidos, perigosos e prejudiciais na Web3, que afetam inúmeros utilizadores.

Na Web3, sempre que o utilizador interage com um smart contract, é-lhe frequentemente pedido que conceda determinadas permissões através da assinatura de uma transação. Os exemplos incluem:

● Aprovação de uma DApp para aceder aos seus tokens (por exemplo, aprovação ERC-20).

● Conceder permissão a um contrato para transferir os seus NFT (setApprovalForAll).

● Realização de ações on-chain que parecem inofensivas, como o início de sessão ou a verificação.

Os esquemas de aprovação maliciosa tiram partido destas ações, induzindo-o a dar permissão a um contrato malicioso para transferir os seus ativos.

Características principais

1. Enganar os utilizadores para que concedam permissões que acarretam riscos

Os burlões disfarçam-se com DApps legítimas, airdrops ou projetos de NFT. Induzem-no a carregar em "Aprovar", mas, na realidade, está a autorizar ações como [approve] (acesso a token) ou [setApprovalForAll] (acesso a NFT) para um contrato malicioso.

2. Os seus ativos são retirados sem uma transferência

Não iniciou uma transferência - apenas clicou em "Confirmar". Mas assim que o burlão obtém aprovação, pode recorrer a funções on-chain para esvaziar a sua carteira a qualquer altura, sem precisar de mais aprovação ou assinatura da sua parte.

3. As aprovações são frequentemente ilimitadas

A maioria dos contratos fraudulentos solicita a aprovação do valor máximo possível (2^256 - 1), dando-lhes acesso ilimitado e permanente aos seus ativos.

4. O contrato não tem outra função

Os contratos fraudulentos são passivos, não roubam fundos ativamente por si próprios. Tudo depende da sua vontade de assinar a aprovação, o que os ajuda a contornar os avisos e a deteção de fraudes tradicionais.

5. Pedidos de assinatura enganosos

Os avisos da carteira para aprovação são muitas vezes confusos - ou demasiado complexos ou demasiado simplificados - tornando difícil analisar o que está a assinar. A maioria dos utilizadores assume que se trata "apenas de uma autorização" e carrega em "Confirmar" sem se aperceber do grave risco envolvido.

Cenários comuns

1. Páginas falsas de airdrop ou cunhagem de NFT

A página pode anunciar campanhas de "airdrops por tempo limitado" ou "cunhagem grátis". Carregar no botão aciona um pedido de aprovação para o seu USDT (Approve) ou NFT (SetApprovalForAll) - uma vez aprovado, os burlões podem retirar os seus ativos a qualquer momento.

2. Plataformas DEX ou de swap falsas

O utilizador liga a sua Bitget Wallet a uma DEX falsa e tenta fazer swap de USDC por um novo token. O website não inicia efetivamente um swap - apenas o leva a carregar em "Approve USDC". Uma vez feito isso, os seus fundos são roubados através de um contrato malicioso.

3. Plataformas falsas de staking, farming ou gaming

É-lhe pedido que "faça staking de tokens" ou "comece a jogar" numa aplicação DeFi/GameFi. O website pede a aprovação do token/NFT. Toda a plataforma é uma fachada para contratos maliciosos que roubam os seus ativos depois de autorizados.

4. Frontends pirateados de projetos legítimos

Os hackers comprometem websites de projetos fiáveis ou desviam registos DNS, introduzindo scripts maliciosos para trocar o contrato real por um contrato de phishing. Os utilizadores pensam que estão a interagir com uma aplicação legítima, mas na realidade estão a conceder acesso aos atacantes.

5. Apoio ao cliente ou documentos de ajuda falsos

Pede-se ajuda numa comunidade e um falso "agente de apoio" ou "apoio ao cliente" envia um link. O link conduz a uma página de apoio falsa que lhe pede para autorizar um contrato sob o pretexto de "resolver o seu problema" - mas na realidade é uma armadilha.

Como funciona

O princípio fundamental das aprovações maliciosas pode ser resumido numa frase:

Explorar a ignorância do utilizador sobre o funcionamento das permissões on-chain. Ao induzi-lo a conceder aprovações, os burlões ganham o controlo dos seus ativos e roubam-nos sem o seu conhecimento.

Princípios técnicos

Eis o fluxo de trabalho típico de um esquema de aprovação malicioso:

1. O burlão implementa um contrato malicioso (mas não inicia diretamente as transferências).

2. O utilizador é induzido a carregar em [approve] (para tokens) ou [setApprovalForAll] (para NFT).

3. A aprovação é concedida, mas os ativos permanecem na carteira - por enquanto.

4. Os burlões utilizam então [transferFrom()] ou funções semelhantes para transferir fundos para a sua própria carteira.

5. Uma vez que a transação é tecnicamente válida (aprovada pelo utilizador), as carteiras e as blockchains não a bloqueiam.

Medidas de segurança da Bitget Wallet

● Alertas de sites de phishing: se visitar um website suspeito, a Bitget Wallet mostrará um aviso para evitar que aprove inadvertidamente um contrato malicioso.

● Deteção de risco de contrato incorporada: a Bitget Wallet inclui uma ferramenta que analisa as suas aprovações existentes. Pode rever e revogar proativamente permissões de elevado risco ou desatualizadas para manter os seus ativos seguros.

Melhores práticas para se proteger

Esteja atento a estes sinais de alerta para identificar potenciais tentativas de aprovação maliciosas:

● A DApp não tem qualquer funcionalidade real - apenas um pedido para aprovar algo.

● Pede acesso a ativos críticos (USDT, ETH, NFT).

● A aprovação não tem limite (approve (uint256 max)).

● A janela pop-up de assinatura da sua carteira mostra o seguinte: SetApprovalForAll: true.

● O website não tem um aspeto profissional ou imita um projeto conhecido.

● Nunca carregue em links aleatórios nem aprove nada das mensagens diretas do Telegram, respostas do Twitter ou outras fontes não verificadas.

Considerações finais

Se não compreender, não assine. Se não se tratar de uma transação, pense duas vezes antes de carregar.

Para os utilizadores comuns, a aprovação de permissões de smart contracts deve ser feita com extrema cautela. Adote sempre uma mentalidade de segurança em primeiro lugar: "aprovação = transferência de fundos". Examine e verifique novamente todas as autorizações contratuais antes de as assinar.

Artigos relacionados:

Alerta de segurança Web3 - Falsificação de SMS

Alerta de segurança Web3 - Payzero

Alerta de segurança Web3 - Tokens de elevado risco

Alerta de segurança Web3 - Apps falsas

Alerta de segurança Web3 - Aprovações maliciosas

Alerta de segurança Web3 - Aplicações falsasArmadilhas comuns no grid trading spot e como evitá-las: dicas para um trading mais seguro
Compartilhar
link_icon
Como vender PIA Bitget listou o PI - Compre ou venda PI rapidamente na Bitget!
Fazer trading agora
Recomendado
Temos todas as suas moedas favoritas!
Compre, detenha e venda criptomoedas populares, como BTC, ETH, SOL, DOGE, SHIB, PEPE... e por aí fora! Registe-se e faça trading para receber um pacote de boas-vindas de novo utilizador de 6.200 USDT!
Fazer trading agora
Trade smarter
Trade smarter
Descarregar a app
Empresa
Sobre a Bitget Entre em contacto connosco Comunidade Carreiras Parceria com a LALIGA Parceria com Messi 2022–2024 Blockchain4Youth Blockchain4Her Kit de imprensa Bitget Blog Centro de comunicados Proof of Reserves Fundo de proteção Bitget Token (BGB) Links recíprocos Mapa do site
Produtos
Comprar criptomoedas Spot Futuros Margem Bots Earn API Carteira OTC Fiat
Copy trading
Copy trading spot Copy trading de futuros Copy trading com bots TraderPro
Serviços
Enviar sugestão Centro de ajuda Verificar os canais oficiais Inscrição para listagem Serviços VIP Programa de afiliados Serviços institucionais Custódia de ativos Descarregar dados Campanhas Programa de convites Tabela de taxas API de declaração de impostos
Termos legais
Pedido de execução da lei Pedido regulamentar Licença regulatória Políticas AML/CFT Política de privacidade Termos de uso Advertência de risco Regras ST
Ferramentas
Centro de apps do Telegram Centro de apps do Discord Diretório cripto Wiki Cripto Widgets de cripto Calendário de eventos Calendário de ICO Glossário de cripto Calculadora de lucros Biblioteca de airdrops ETF de Bitcoin Comparação de capitalização de mercado
Comprar criptomoedas
Categorias Calculadora Comprar Bitcoin Comprar ETH Comprar DOGE Comprar XRP Comprar BGB Comprar SHIB Preços das criptomoedas Preço da Bitcoin Preço do Ethereum Preço do BRC-20
Trade smarter
Descarregar a app
© 2025 Bitget
Privacidade·Termos·Risco