Guia de Segurança: Proteção Contra Golpes e Phishing

Golpistas exploram ativamente o tema de recuperação de SOL, criando serviços falsos para roubar fundos. Saber distinguir ferramentas legítimas de golpes é uma habilidade criticamente importante.

Anatomia de um Ataque de Phishing

Estágio 1: Atrair Vítimas

Golpistas usam vários canais:

Anúncios pagos no Google: Compram anúncios para buscas como "recuperar SOL" ou "cleanup Solana". Seu site aparece acima dos resultados reais marcado como "Anúncio".

Promoção no Twitter/X: Criam contas similares a projetos populares (por exemplo, @SolanaCleanup em vez de @SolanaStatus), compram seguidores e promovem posts.

Spam em Discord/Telegram: Enviam mensagens diretas em chats de crypto: "Ei, ajudei você a recuperar 5 SOL de contas vazias. Confira esta ferramenta!"

Vídeos falsos no YouTube: Tutoriais com contagem alta de visualizações (compradas via bots) e link do site golpista na descrição.

Estágio 2: Criar Ilusão de Legitimidade

Sites de phishing parecem profissionais:

• ✅ Design bonito (frequentemente roubado de projeto real)
• ✅ Certificado HTTPS (cadeado verde no navegador - NÃO é garantia de segurança!)
• ✅ Reviews falsos e contadores ("15.234 usuários recuperaram SOL")
• ✅ Cópia de logos da Solana, Phantom, projetos conhecidos

Estágio 3: Extrair Assinatura

Após conexão da carteira, golpistas solicitam uma destas opções:

"Sign Message" para verificação - você assina texto que parece inofensivo mas na verdade concede permissão para transferir fundos.

"Approve unlimited access" - permissão para smart contract gastar seus tokens sem limite.

"Emergency withdrawal" - supostamente para "salvar fundos", mas na verdade envia tudo para endereço do golpista.

Sinais de Site de Phishing

Bandeiras vermelhas na URL:

• ❌ Erros de digitação no domínio: solchecker.com em vez de solcheckers.com, phatom.app em vez de phantom.app
• ❌ TLDs suspeitos: .xyz, .click, .online (embora nem todos os sites nestes domínios sejam golpes)
• ❌ Números no domínio: solcheckers2024.com, claim-sol-3.net
• ❌ Subdomínios longos: official-claim.solana-recovery.network

Bandeiras vermelhas no comportamento:

• ❌ Requer conexão antes de mostrar resultados - serviços legítimos usam escaneamento Read-Only
• ❌ Promete quantias incríveis: "Você tem 50 SOL para resgatar!" (quando na verdade 0.5 SOL)
• ❌ Pressiona urgência: "Resgate expira em 24 horas!" (rent não tem expiração)
• ❌ Solicita seed phrase - NUNCA digite 12/24 palavras em sites
• ❌ Pede depósito para "ativação" - serviços legítimos cobram taxa do valor recuperado

Bandeiras vermelhas na transação:

Ao confirmar ação na carteira, procure por:

• ❌ Grande dedução de SOL (números vermelhos em vez de verdes)
• ❌ Instruções "Transfer All" ou "Set Authority"
• ❌ Transferência para endereço desconhecido sem menção a "Close Account"
• ❌ Solicitação de "Sign Message" em vez de "Sign Transaction"

Como Verificar Site Antes de Usar

Método 1: Verificar Idade do Domínio

Use serviço whois.com:

• Cole domínio do site
• Olhe "Creation Date" (Data de Criação)

🟢 Site com mais de 1 ano - mais provavelmente legítimo
🟡 Site criado há 1-6 meses - requer atenção
🔴 Site criado há menos de um mês - alto risco de golpe

Método 2: Buscar Menções na Comunidade

Verificar discussões:

• Reddit: busque nome do serviço em r/solana
• Twitter: menções de contas verificadas
• Discord: servidores oficiais da Solana

Método 3: Carteira de Teste

Se estiver em dúvida:

• Crie nova carteira vazia
• Envie 0.01 SOL para ela
• Tente serviço nesta carteira
• Verifique transação no Solscan

Se vir instruções suspeitas - site é golpe, mas você arriscou apenas centavos.

Esta é uma regra fundamental de segurança Web3, cuja violação garantidamente levará à perda de todos os fundos.

O Que é Seed Phrase e Como Funciona

Seed phrase (frase mnemônica) - 12 ou 24 palavras aleatórias das quais sua chave privada é matematicamente gerada.

Explicação técnica:

Seed Phrase → (via algoritmo BIP39) → Master Private Key → Public Key (endereço da carteira)

Quem conhece a seed phrase = quem controla a carteira completamente e para sempre.

Como a Interação com dApp Deve Funcionar

Arquitetura correta (Wallet Standard):

• dApp envia solicitação: "Assine esta transação"
• Extensão da carteira (Phantom/Solflare) mostra detalhes
• Você clica "Aprovar" ou "Rejeitar"
• Carteira assina transação com sua chave privada localmente
• dApp recebe apenas transação assinada, mas NÃO a chave

Ponto chave: Chave privada nunca sai do seu dispositivo.

Esquemas Comuns de Extração de Seed Phrase

Esquema 1: "Sincronização de Carteira"

Site de phishing mostra:

⚠️ Sua carteira está dessincronizada Digite sua frase de recuperação para re-sincronizar [Campo de entrada de 12 palavras]

Verdade: Carteiras não requerem "sincronização" via seed phrase. Este é um conceito completamente fabricado.

Esquema 2: "Verificação para Airdrop"

🎁 Parabéns! Você é elegível para airdrop de 50 SOL Verifique sua carteira para reivindicar: [Digite seed phrase]

Verdade: Airdrops reais requerem apenas conexão de carteira (endereço público), não dados privados.

Esquema 3: "Suporte Técnico Falso"

Golpistas escrevem em mensagens diretas:

Olá, sou do Suporte Phantom. Detectamos atividade suspeita. Por favor, forneça sua frase de recuperação para proteger sua conta.

Verdade: Suporte oficial de carteira NUNCA solicita seed phrase. Esta é a regra #1 em suas FAQs.

Esquema 4: "Migração para Nova Versão"

⚠️ Solana atualizou para v2.0 Migre sua carteira agora para evitar perder fundos [Importar seed phrase antiga]

Verdade: Atualizações de blockchain não requerem migração manual de carteira.

O Que Fazer Se Você Já Digitou Seed Phrase

Ações imediatas (nos primeiros 5 minutos):

• Crie nova carteira em dispositivo limpo (de preferência computador/celular diferente)
• Transfira TODOS os ativos para novo endereço o mais rápido possível:
  • Primeiro SOL
  • Depois tokens líquidos (USDC, moedas populares)
  • NFTs por último (se não houver tempo - sacrifique-os)
• Aumente Priority Fee ao máximo para que suas transações processem mais rápido que os bots dos golpistas

Ações de longo prazo:

• ❌ Carteira antiga considerada comprometida para sempre - mesmo se você evacuou fundos
• ❌ Seed phrase não pode ser "alterada" - está rigidamente vinculada à carteira
• ✅ Use nova carteira para todas as operações futuras
• ✅ Anote nova seed phrase em papel (não digitalmente!)
• ✅ Verifique dispositivo para malware (vírus podem interceptar seed phrases da área de transferência)

Mesmo dApps legítimos podem solicitar permissões excessivas que se tornam vetores de ataque quando a própria aplicação é hackeada.

O Que São Token Approvals

Token Approval (Delegação) - mecanismo permitindo que smart contract gaste seus tokens em seu nome.

Por que é necessário:

Exemplo: Você troca USDC por SOL via DEX.

• Você dá permissão à DEX "gastar X USDC"
• DEX executa troca
• Permissão permanece ativa para trocas futuras

Problema: Se você deu "unlimited approval", DEX pode deduzir qualquer quantidade de USDC a qualquer momento.

Tipos de Permissões Perigosas

Unlimited Allowance:

Approve: USDC Ilimitado Contrato: [endereço DEX]

Contrato pode deduzir saldo completo de token quando quiser.

Permanent Delegate:

Set Authority: Permanent Delegate Delegate: [endereço do Contrato]

Contrato recebe controle permanente sobre conta (característico do Token-2022).

Transfer Authority:

Approve Transfer Authority Tokens: Todos os tokens SPL

Contrato pode transferir qualquer um dos seus tokens sem confirmações adicionais.

Como Verificar Permissões Ativas

Método 1: Via Configurações da Carteira

Phantom:

• Settings → Trusted Apps
• Ver lista de sites conectados
• Clicar "Revoke" nos não utilizados

Solflare:

• Settings → Connected Apps
• Remover conexões antigas

Limitação: Carteiras mostram apenas conexões, não aprovações de tokens.

Método 2: Via Ferramentas Especializadas

Serviços como "Solana Revoke" (similar ao revoke.cash para Ethereum) existem:

• Conectar carteira
• Ver lista de todas as aprovações ativas
• Pode revogar permissões com transação

Método 3: Via Explorador de Blocos

No Solscan:

• Colar endereço da carteira
• Abas → "Token Accounts"
• Clicar no token → "Delegate" (se campo preenchido - permissão ativa existe)

Higiene Regular de Permissões

Frequência recomendada: Uma vez a cada 1-3 meses.

O que revogar:

• ✅ DEXs antigas que você não usa mais
• ✅ dApps de teste que você experimentou uma vez
• ✅ Projetos mortos (site não funciona, sem atividade)
• ✅ Contratos suspeitos com nomes pouco claros

O que manter:

• 🟢 Plataformas ativamente usadas (DEX principal, lending)
• 🟢 Contratos de staking com fundos bloqueados

Proteção Contra Exploits de Protocolos

Mesmo um protocolo DeFi legítimo pode ser hackeado. Se você deu aprovação ilimitada, hackers obtêm acesso aos seus tokens.

Exemplos da história:

• 2022, Slope Wallet: Hack de servidor → vazamento de chave privada → $8M perdidos
• 2023, várias DEXs: Vulnerabilidade de contrato → drenagem de usuários com aprovações ativas

Estratégia de proteção:

• Nunca dê aprovações ilimitadas (se protocolo requer - use quantidades limitadas)
• Revogue permissões imediatamente após uso (se não planeja retornar em breve)
• Use carteira separada para experimentos DeFi (não armazene fundos principais lá)

Detecção precoce de comprometimento pode salvar parte dos seus fundos.

Sinais Precoces (Carteira Ainda Não Drenada)

🔴 Transações desconhecidas no histórico

Você vê transferências de saída que não fez. Especialmente suspeitas:

• Transferências à noite (quando você estava dormindo)
• Valores redondos (10.00 SOL, 100.00 USDC)
• Envios para endereços não familiares

Ação: Evacuação imediata dos fundos restantes.

🔴 Novas permissões (aprovações) sem seu conhecimento

Verifique Trusted Apps nas configurações da carteira. Se vir conexões a sites que não se lembra - possível comprometimento.

🔴 Configurações da carteira alteradas

• RPC endpoint mudou para suspeito
• Adicionados novos "endereços para envio automático"
• Moeda ou idioma de exibição mudou (sinal de acesso de outro país)

🔴 Tokens de aviso estranhos aparecendo

Às vezes hackers white-hat (pesquisadores éticos) enviam tokens com nomes como:

"SUA-CARTEIRA-ESTA-COMPROMETIDA-MOVA-FUNDOS-AGORA"

Isso não é golpe - é tentativa de avisá-lo.

Sinais Tardios (Após Roubo)

❌ Saldo SOL = 0 ou próximo de zero

Exatamente o suficiente restante para uma taxa - assinatura típica de drainer.

❌ Todos os tokens valiosos desapareceram

USDC, USDT, memecoins populares retirados. Apenas tokens ilíquidos permanecem.

❌ NFTs transferidos para endereço desconhecido

NFTs valiosos foram, apenas imagens spam permanecem.

Tipos de Bots Drainer

Drainer lento:

• Retira fundos gradualmente (10-20% por dia)
• Espera que vítima não perceba imediatamente
• Dá tempo para evacuação se detectado

Drainer rápido:

• Esvazia carteira em 1-5 minutos
• Script automatizado, dispara na primeira transferência recebida
• Quase impossível interceptar

Bot sweeper:

• Monitora todas as transações recebidas
• Se você tentar recarregar carteira comprometida - retira instantaneamente
• Torna auto-resgate impossível

Táticas de Evacuação de Carteira Comprometida

Se carteira está comprometida mas fundos ainda não foram retirados:

Plano A: Evacuação via Recuperação de Rent

SOL bloqueado em contas vazias (5-20 SOL) pode permanecer na carteira. Hackers raramente pegam rent pois requer operações complexas.

Estratégia:

• Escanear carteira comprometida via Read-Only
• Preparar transação de retorno de rent
• Recarregar carteira com gás mínimo (0.005 SOL) e SIMULTANEAMENTE enviar transação de retorno
• Especificar Priority Fee alta para que sua transação processe primeiro

Plano B: Jito Bundles (Técnica Avançada)

Jito - infraestrutura MEV da Solana permitindo ordem de transação garantida:

• Criar bundle de duas transações: recarga + retorno de rent
• Enviar via Jito RPC
• Ambas transações entram no bloco simultaneamente

Requer: Habilidades técnicas e compreensão de MEV.

Plano C: Aceitar a Perda

Se menos de 0.1 SOL permanece na carteira, tentativa de evacuação pode custar mais que o resultado.

Antes de comprar, vender ou queimar um token, é crítico verificar seu contrato para sinais de fraude.

O Que RugCheck Verifica

Mint Authority (Direito de Criação de Token):

🟢 Disabled - criador não pode imprimir novos tokens (bom)
🔴 Enabled - criador pode imprimir quantidade infinita, causando queda de preço (ruim)

Freeze Authority (Direito de Congelamento):

🟢 Disabled - ninguém pode congelar seu saldo
🔴 Enabled - criador pode bloquear todas as operações de token

Top Holders (Maiores Detentores):

🟢 Distributed - top-10 possuem <30% do fornecimento
🟡 Concentrated - top-10 possuem 30-60%
🔴 Concentração perigosa - top-3 possuem >70% (risco de dump)

Liquidity Lock:

🟢 Locked - liquidez bloqueada em smart contract por N meses
🔴 Unlocked - criador pode retirar liquidez a qualquer momento (rug pull)

Contract Verification:

🟢 Verified - código fonte publicado e corresponde ao bytecode
🔴 Unverified - impossível verificar o que o contrato faz

Interpretando Classificações

RugCheck Score: Low Risk (0-3 bandeiras)

✅ Pode interagir
Exemplos: USDC, memecoins populares como BONK, WIF

RugCheck Score: Medium Risk (4-6 bandeiras)

⚠️ Requer cautela
Exemplo: Token novo com Mint Authority ativo mas baixa concentração de detentores

RugCheck Score: High Risk (7-10 bandeiras)

🔴 Não recomendado interagir
Exemplo: Freeze Authority ativo + detentor top-1 possui 90%

RugCheck Score: Critical (10+ bandeiras)

🚫 Golpe garantido
Exemplo: Todas as bandeiras vermelhas + contrato não verificado

Aplicação Prática Durante Cleanup

Antes de queimar token spam:

• Clicar "Check RugCheck" na interface da ferramenta de cleanup
• Se você ver Critical ou High Risk - queime com segurança
• Se você ver Low Risk - certifique-se de que é realmente lixo, não token valioso

Antes de comprar token:

• SEMPRE verificar via RugCheck antes da primeira compra
• Se você ver Freeze Authority habilitado - recuse (pode ser congelado após compra)
• Verifique idade do token (tokens novos = risco maior)