Principais Conclusões
A natureza aberta e sem permissão das finanças descentralizadas (DeFi) a torna atraente para golpistas. Saber quais sinais de alerta procurar pode ajudá-lo a tomar decisões mais informadas.
Verificar o propósito de um projeto, a atividade de desenvolvimento e o histórico de auditoria de contratos inteligentes são alguns dos primeiros passos ao avaliar qualquer protocolo DeFi.
Equipes anônimas, participações concentradas em tokens e a ausência de auditorias são bandeiras vermelhas comuns. Nenhum desses fatores isoladamente garante um golpe, mas eles aumentam o risco.
Rug pulls, pedidos de aprovação de tokens falsos e ataques de phishing estão entre as maneiras mais comuns que golpistas roubam fundos no DeFi.
Sempre faça sua própria pesquisa (DYOR) antes de depositar fundos em qualquer protocolo DeFi. Não há uma autoridade central para recuperar fundos perdidos.
Introdução
DeFi introduziu maneiras genuinamente novas de emprestar, emprestar, negociar e ganhar sem depender de intermediários tradicionais. Mas a mesma abertura que a torna inovadora também a torna um alvo para atores mal-intencionados. Qualquer um pode lançar um projeto, e não há guardiões para impedir atividades fraudulentas antes que cheguem aos usuários.
Este guia cobre os principais sinais que você pode verificar ao avaliar um projeto DeFi. Nenhuma dessas verificações é infalível por si só. Mas usá-las juntas pode ajudá-lo a evitar as armadilhas mais óbvias.
Qual é o propósito do projeto?
Uma pergunta básica, mas importante: o que este projeto realmente faz? Muitos novos projetos DeFi são cópias de protocolos existentes sem melhorias significativas. Eles são lançados durante períodos de alta atividade no mercado para atrair atenção, coletar fundos e desaparecer.
Pergunte-se se o projeto resolve um problema real. Ele explica claramente como funciona? Existe um whitepaper, documentação ou um roadmap público? Projetos que não conseguem articular claramente seu valor merecem ser tratados com cautela.
Considere também se o projeto está construindo algo novo ou simplesmente adicionando um token a uma ideia existente. Inovação genuína não é uma garantia de legitimidade, mas a falta dela pode ser uma bandeira amarela.
Atividade de Desenvolvimento e Transparência
Projetos DeFi legítimos são tipicamente de código aberto. Isso significa que você pode ler o código, ou pelo menos verificar se ele existe e está sendo atualizado. A atividade dos desenvolvedores em plataformas como o GitHub é visivelmente pública e pode lhe dar uma noção aproximada se uma equipe está trabalhando ou não.
Commits ativos, documentação clara e um histórico de correção de bugs sugerem uma equipe engajada. Um repositório que foi configurado uma vez e nunca atualizado pode indicar uma operação de curto prazo. Embora essa métrica possa ser manipulada, ainda vale a pena verificar como parte de uma diligência mais ampla.
Auditorias de Contratos Inteligentes
Protocolos DeFi funcionam em contratos inteligentes, que são programas autoexecutáveis em uma blockchain. Se o código contiver vulnerabilidades, atacantes podem explorá-las para drenar fundos. Uma auditoria de contrato inteligente é uma revisão do código por uma empresa de segurança independente para identificar tais fraquezas.
Nem todos os projetos possuem auditorias. Auditorias podem ser caras, e alguns projetos fraudulentos as pulam completamente. Se um projeto foi auditado, verifique qual empresa a realizou, quando foi feita e se as conclusões foram abordadas. Uma auditoria feita por uma entidade desconhecida meses antes do lançamento tem menos peso do que uma auditoria recente de uma empresa reconhecida.
Importante, mesmo uma auditoria limpa não significa que um protocolo é livre de riscos. Novas vulnerabilidades podem surgir após uma auditoria ser concluída, e alguns exploits visam a lógica em vez de erros de código.
Anonimato da Equipe e Responsabilidade
Crypto tem uma longa história de construtores pseudônimos. Satoshi Nakamoto, o criador do Bitcoin, nunca foi identificado. Equipes anônimas não são automaticamente suspeitas, e existem projetos legítimos com fundadores pseudônimos.
No entanto, quando uma equipe é anônima, é mais difícil responsabilizá-los se algo der errado. Um fundador com uma reputação no mundo real tem mais a perder ao executar um golpe. Se a equipe é anônima, procure outros sinais de legitimidade: um histórico de projetos anteriores, engajamento da comunidade e auditorias de terceiros.
Distribuição de Tokens e Tokenomics
Revisar a tokenomics de um projeto significa entender como os tokens são criados, alocados e distribuídos. Um mecanismo comum de golpe envolve insiders do projeto possuindo uma grande parte do suprimento total e vendendo uma vez que o preço do token sobe, fazendo o mercado despencar para todos os outros.
Procure informações públicas sobre a divisão da alocação de tokens. Quanto a equipe possui? Existem cronogramas de vesting ou períodos de bloqueio que impedem vendas imediatas? O token foi distribuído por meio de um processo público justo ou uma pré-venda exclusiva?
Uma oferta altamente concentrada não garante um golpe, mas cria condições em que um pequeno grupo pode afetar significativamente o preço. Se as informações de alocação forem difíceis de encontrar ou deliberadamente vagas, trate isso como um sinal de alerta.
Sinais de Saída de Golpe
Um rug pull acontece quando os desenvolvedores do projeto retiram repentinamente os fundos ou removem a liquidez, deixando os detentores de tokens incapazes de vender. Este é um dos tipos de golpe mais comuns no DeFi.
Muitos novos tokens são lançados em market makers automatizados (AMMs) usando pools de liquidez. Se a equipe está fornecendo a maior parte da liquidez para seu próprio token, ela pode removê-la a qualquer momento, efetivamente destruindo o mercado. Plataformas que verificam bloqueios de liquidez, onde a liquidez não pode ser retirada por um período definido, oferecem uma camada de proteção contra isso.
Em setups de yield farming, golpistas às vezes pedem aos usuários que depositem fundos em contratos antes de drená-los. Retornos anunciados incomumente altos, pressão para agir rapidamente e contratos sem auditorias são sinais comuns desse tipo de esquema.
Golpes de Phishing e Aprovação
Além da fraude explícita por parte das equipes do projeto, usuários individuais são frequentemente alvos de ataques de phishing. Estes geralmente envolvem sites falsos ou contas de mídias sociais que imitam projetos legítimos de DeFi, projetados para roubar credenciais de carteira ou enganar usuários para assinar transações maliciosas.
Uma versão mais direcionada disso é o golpe de aprovação falsa. Quando você interage com um protocolo DeFi, sua carteira pode pedir para você aprovar o contrato a gastar seus tokens. Contratos maliciosos podem solicitar aprovação ilimitada, dando acesso a todos os tokens de um determinado tipo em sua carteira. Sempre revise cuidadosamente os pedidos de aprovação e considere usar ferramentas que permitem revogar aprovações de contratos que você não usa mais.
O envenenamento de endereço é outra tática que ganhou atenção significativa a partir do final de 2022. Ataques enviam pequenas transações de um endereço de carteira que se assemelha muito a um que você já interagiu. Se você copiar um endereço recente do seu histórico de transações sem verificar cuidadosamente, pode acidentalmente enviar fundos para o atacante. Sempre verifique os endereços caractere por caractere antes de enviar.
Empréstimos Rápidos e Manipulação de Oráculos
Alguns ataques visam a mecânica subjacente dos protocolos DeFi em vez de usuários individuais. Ataques de empréstimos rápidos envolvem emprestar grandes quantidades de ativos em uma única transação, usando-os para manipular preços de mercado ou estado do protocolo, e reembolsar o empréstimo antes que o bloco feche. O atacante pode lucrar enquanto o protocolo ou seus usuários sofrem uma perda.
A manipulação de oráculos está relacionada. Protocolos DeFi frequentemente dependem de oráculos de preço para determinar valores de ativos. Se um atacante puder manipular o feed de preços, pode explorar protocolos de empréstimos ou derivativos. Projetos que usam múltiplos oráculos independentes ou médias ponderadas de preços ao longo do tempo são geralmente mais resistentes a esse tipo de ataque.
Esses tipos de ataque são mais relevantes ao avaliar se deve usar um protocolo específico do que ao avaliar se um projeto é um golpe explícito. Um protocolo que não aborda vetores de ataque conhecidos em sua documentação pode ser menos seguro.
FAQ
Quais são os golpes mais comuns em DeFi?
Rug pulls, golpes de saída, ataques de phishing, pedidos de aprovação de tokens falsos e envenenamento de endereço estão entre os tipos mais comuns. Alguns atacantes também exploram vulnerabilidades de contratos inteligentes ou manipulam oráculos de preços para drenar fundos de protocolos.
Como posso verificar se um projeto DeFi foi auditado?
A maioria dos projetos legítimos linka seus relatórios de auditoria em seu site oficial ou documentação. Você também pode verificar diretamente nos sites de grandes empresas de auditoria. Se um relatório de auditoria não estiver disponível ou não puder ser verificado, trate isso como um fator de risco.
É seguro usar um protocolo DeFi com uma equipe anônima?
Equipes anônimas não são automaticamente um golpe. No entanto, elas reduzem a responsabilidade. Procure outros sinais de confiança, como histórico de auditoria, código aberto, períodos de bloqueio para tokens da equipe e um histórico ativo na comunidade. Pese todos esses fatores juntos em vez de confiar em um único.
O que devo verificar antes de aprovar um gasto de token na minha carteira?
Verifique o endereço do contrato contra a documentação oficial do projeto antes de aprovar. Tenha cuidado com solicitações de aprovação ilimitada, que dão permissão a um contrato para gastar todos os tokens de um determinado tipo. Revogue aprovações de contratos que você não usa mais, pois aprovações inativas podem ser exploradas se um contrato for posteriormente comprometido.
Posso recuperar fundos perdidos em um golpe DeFi?
Na maioria dos casos, não. Transações em blockchain são irreversíveis. Fundos enviados para um contrato de golpe ou um endereço errado geralmente não podem ser recuperados. Alguns projetos devolveram voluntariamente fundos roubados, e a aplicação da lei conseguiu rastrear e apreender ativos em certos casos de alto perfil, mas essas são exceções e não a norma.
Pensamentos Finais
Golpes DeFi exploram a mesma abertura que torna as finanças descentralizadas valiosas. A ausência de intermediários significa que não há autoridade a quem recorrer se algo der errado. Desenvolver um hábito consistente de verificar os sinais cobertos neste artigo, desde auditorias e transparência da equipe até distribuição de tokens e pedidos de aprovação, pode reduzir sua exposição aos tipos mais comuns de fraudes.
Nenhuma verificação única é suficiente por si só, e mesmo uma pesquisa cuidadosa não pode eliminar todos os riscos. O cenário DeFi continua a evoluir e as táticas de golpe evoluem ao lado dele. Manter-se informado e abordar novos projetos com um olhar crítico continua sendo uma das formas mais práticas de proteção.
Leituras Adicionais
5 Golpes Comuns de Criptomoeda e Como Evitá-los
O que são Golpes de Airdrop e Como Evitá-los?
Como Analisar Projetos DeFi
O que são Golpes Multisig e Como Evitá-los?
Golpes Comuns de Bitcoin e Como Evitá-los
Isenção de responsabilidade: Este conteúdo é apresentado a você em uma base "como está" para informações gerais e fins educacionais apenas, sem representação ou garantia de qualquer tipo. Não deve ser interpretado como aconselhamento financeiro, legal ou profissional de qualquer tipo, nem é destinado a recomendar a compra de qualquer produto ou serviço específico. Você deve buscar seu próprio aconselhamento de consultores profissionais apropriados. Onde o conteúdo é contribuído por um colaborador de terceiros, observe que as opiniões expressas pertencem ao colaborador de terceiros, e não refletem necessariamente as de Binance Academy. Os preços dos ativos digitais podem ser voláteis. O valor do seu investimento pode cair ou subir e você pode não recuperar o valor investido. Você é o único responsável por suas decisões de investimento e a Binance Academy não se responsabiliza por quaisquer perdas que você possa incorrer. Para mais informações, veja nossos Termos de Uso, Aviso de Risco e Termos da Binance Academy.
