Golpes no mundo das criptomoedas: como funcionam as fraudes em DeFi e como identificá-las antes de perder dinheiro.
Lembro-me de estar navegando pelo Twitter de criptomoedas em uma terça-feira qualquer de abril de 2025 e ver o gráfico da Mantra despencar em tempo real. Dezessete carteiras despejaram 43,6 milhões de tokens OM em exchanges nas horas anteriores e, quando a maioria dos detentores percebeu, o preço já havia despencado 94%, vaporizando US$ 5,5 bilhões em um evento que se desenrolou como um acidente de carro em câmera lenta, visível para todos, mas do qual ninguém conseguia desviar. A equipe da Mantra atribuiu o ocorrido a liquidações forçadas; analistas on-chain apontaram que dezessete carteiras não coordenam depósitos de US$ 227 milhões em exchanges por coincidência. Deixo para vocês tirarem suas próprias conclusões a partir desses fatos.
O que mais afetou a comunidade Mantra foi que nada disso parecia um golpe quando eles estavam investindo. Era uma plataforma de ativos reais, com parcerias concretas e um token listado em grandes corretoras, não uma criptomoeda desconhecida lançada em uma noite de domingo. E esse é exatamente o problema com os golpes de última hora no mundo das criptomoedas: os que causam mais prejuízo são aqueles que pareciam legítimos até o momento em que deixaram de ser. Os golpes perigosos nunca vêm com uma placa dizendo "Vou roubar seu dinheiro".
Entrei no mundo das criptomoedas em 2017 e, desde então, vi esse padrão corroer as economias das pessoas inúmeras vezes. A máquina da propaganda entra em ação, o gráfico dispara, ninguém quer fazer perguntas incômodas sobre a tokenomics porque o preço continua subindo e questionar o projeto parece questionar dinheiro fácil. Aí, uma manhã, você acorda, olha o gráfico e percebe que a equipe despejou tudo enquanto você dormia. O grupo de bate-papo está morto. Ninguém fala nada. Escrevi isso porque muitas pessoas que conheço pessoalmente já caíram nessa armadilha e, em quase todos os casos, os sinais de alerta estavam lá, só que enterrados sob a propaganda e o jargão que ninguém se deu ao trabalho de traduzir para uma linguagem simples.
Como funcionam realmente as manipulações de criptomoedas
Se alguém em um grupo de bate-papo sobre criptomoedas disser "Fui roubado ontem à noite", está dizendo que a equipe por trás de um token ou protocolo no qual essa pessoa investiu dinheiro simplesmente sumiu com tudo. A expressão vem do antigo ditado sobre puxar o tapete debaixo de alguém que está em cima dele: num segundo você está no chão, no segundo seguinte está deitado de costas olhando para o teto, tentando entender o que aconteceu com seus ETH.
Depois de assistir a um número suficiente desses casos, a estratégia deixa de ser surpreendente e passa a ser irritante, porque quase não muda e as pessoas continuam caindo nela mesmo assim.
Uma equipe cria algo que parece legítimo: um site profissional com um cronômetro, um white paper repleto de jargões sobre "revolucionar o DeFi", um roadmap que se estende até 2028, talvez até mesmo uma demonstração funcional em uma testnet que levou um desenvolvedor para criar em um fim de semana. Pode ser um token de governança para um "protocolo DeFi", pode ser uma coleção de 10.000 NFTs com um jogo integrado, pode ser algum mecanismo exótico de yield farming que ninguém entende completamente. Não importa muito o que escolham; a mecânica subjacente é sempre a mesma, copiada e colada do mesmo manual.
O marketing vem a seguir, e com força total. Você verá o projeto aparecer em tópicos do Twitter sobre criptomoedas, em contas que não existiam no mês passado, em grupos do Telegram onde "gerentes de comunidade" disseminam hype sem parar, em servidores do Discord onde moderadores banem qualquer um que pergunte por que o contrato não foi auditado. Criadores de conteúdo do YouTube que venderiam até uma caixa de papelão pelo preço certo começam a postar vídeos sobre como "este projeto pode multiplicar seu investimento por 100 facilmente". A mensagem principal nunca muda: "você ainda está no início", porque induzir FOMO (medo de ficar de fora) em pessoas que viram seus amigos lucrar com a Solana é a melhor tática de vendas em todo o mercado de criptomoedas, e os golpistas sabem disso.
O dinheiro jorra. As pessoas trocam seus ETH ou BNB, conquistados com muito esforço, pelo novo token em exchanges descentralizadas, preenchendo o pool de liquidez. O gráfico sobe porque a pressão de compra é alta e ninguém está vendendo ainda. Nesse ponto, honestamente, o projeto pode parecer idêntico a algo real. Muitos empreendimentos legítimos também tiveram dias iniciais difíceis, e o golpista está contando com essa ambiguidade para impedir que você examine o código do contrato com muita atenção.
Então, tudo acaba, geralmente rápido. A equipe aciona uma função de drenagem no pool de liquidez, ou vende toda a sua alocação de tokens no mercado em questão de minutos, ou um mecanismo de segurança no contrato inteligente é ativado e seu botão de venda para de funcionar. Seja qual for o método escolhido, o resultado é que seus tokens passam de "300% de valorização" para nada no tempo que leva para atualizar a página.
Após o golpe, os rastros começam a desaparecer. Contas em redes sociais são apagadas. O Discord vira uma cidade fantasma. O site fica fora do ar ou, no caso da Defi100, é substituído por uma mensagem provocativa que dizia literalmente "Nós te enganamos". Os fundos roubados são lavados através do Tornado Cash ou transferidos por cinco blockchains diferentes para embaralhar o rastro. A análise forense on-chain às vezes consegue rastrear para onde o dinheiro foi, mas recuperá-lo é uma história bem diferente, e que quase nunca tem um final feliz.
Todo o ciclo pode levar meses (para esquemas elaborados) ou horas (para golpes rápidos com memecoins). Em 2024, a Comparitech registrou aproximadamente 92 golpes confirmados, com US$ 126 milhões roubados. Em 2025, os números explodiram: a DappRadar estimou perdas de quase US$ 6 bilhões com golpes, embora 92% desse valor tenha vindo apenas do incidente com a Mantra.
Tipos de puxões em tapetes: puxões fortes, puxões fracos e tudo o que há entre eles.
Os puxões de tapete podem ocorrer de diferentes maneiras, e as diferenças são importantes porque alteram a rapidez com que você consegue perceber o que está acontecendo e se você tem alguma chance de sair antes que o dano seja feito.
puxões de tapete duro
Com uma manobra ardilosa, a intenção era criminosa desde a primeira linha de código. Ninguém na equipe jamais planejou lançar um produto. Eles criaram um contrato inteligente com uma porta dos fundos oculta, o envolveram em uma campanha de marketing, esperaram a piscina encher e a esvaziaram. O projeto era uma armadilha desde o primeiro dia, e a única questão era quando eles a acionariam.
Táticas comuns de puxada agressiva:
Roubo de liquidez. Este é o clássico. Um desenvolvedor cria um token, emparelha-o com ETH ou BNB em um pool de liquidez em uma exchange descentralizada como Uniswap ou PancakeSwap. Os investidores compram, o pool cresce e, em seguida, o desenvolvedor chama uma função no contrato que retira toda a liquidez. Seus tokens ainda estão em sua carteira, mas agora valem zero porque não há nada para negociá-los.
Restrições de venda. O contrato inteligente é escrito de forma que apenas a carteira do criador possa vender. Todos os outros podem comprar, mas não vender. O preço sobe porque só há pressão de compra. Então, o criador despeja tudo. Você fica com tokens dos quais literalmente não consegue se desfazer. Isso às vezes é chamado de golpe da "isca".
Funções ocultas de cunhagem. O contrato contém uma função que permite ao proprietário criar tokens ilimitados. Ele cunha uma quantidade enorme, despeja no mercado e derruba o preço. De fora, parece uma venda normal, mas na verdade é uma fraude de inflação codificada no contrato.
Puxadores de tapete macios
As artimanhas mais sutis são mais traiçoeiras e, honestamente, são as que mais mexem com a sua cabeça. O projeto pode ter começado com boas intenções, ou pelo menos sem nenhum código explicitamente malicioso. Não há nenhuma função oculta de drenagem, nenhum honeypot, nenhum botão de desativação. O que acontece, em vez disso, é que a equipe gradualmente perde o interesse (ou nunca o teve), vende silenciosamente suas reservas de tokens ao longo de semanas ou meses, para de responder às perguntas da comunidade e, eventualmente, desaparece do grupo de bate-papo um por um.
Seu portfólio não desmorona da noite para o dia. Ele sangra. Lentamente. Quando você se dá conta de que o último commit no repositório do GitHub foi há quatro meses e o "desenvolvedor principal" não posta nada desde agosto, a equipe já se desfez da maior parte dos seus investimentos por preços que você nunca mais verá. O que torna os golpes especialmente perigosos é a ambiguidade: foi um golpe ou o projeto simplesmente fracassou? Muitas equipes honestas ficam sem dinheiro ou motivação. Os golpistas se escondem atrás dessa plausível negação.
Esquemas de pump-and-dump se enquadram nessa categoria. A equipe promove o token, o preço sobe, os insiders vendem no pico e os entrantes tardios arcam com o prejuízo. É antiético e provavelmente ilegal se o token se qualificar como um valor mobiliário, mas os promotores têm mais dificuldade porque não há código malicioso para apontar. Nenhuma porta dos fundos no contrato. Nenhuma função oculta. Apenas pessoas vendendo o que possuíam, o que na maioria dos sistemas jurídicos não é automaticamente um crime, mesmo que pareça ser.
A memecoin Hawk Tuah, de dezembro de 2024, é um exemplo perfeito. Os criadores detinham 70% da oferta, o valor de mercado atingiu US$ 500 milhões apenas com a expectativa gerada, e então os insiders venderam, fazendo o preço inflar e despencar de US$ 500 milhões para US$ 50 milhões em questão de horas. Foi uma manipulação de mercado? Um esquema de pump and dump? Um investimento desastroso que todos deveriam ter previsto? Depende de quem você pergunta. Legalmente, é uma bagunça. Moralmente, a maioria das pessoas concorda que os insiders sabiam exatamente o que estavam fazendo.
As memecoins se tornaram o principal veículo para golpes de "rug pull" em 2026. De acordo com dados da CoinLaw, aproximadamente 80% desses golpes envolvem memecoins, tokens sem utilidade além de especulação e hype da comunidade. A baixa barreira de entrada (você pode criar um token em minutos em plataformas como Pump.fun na Solana) significa que milhares de golpes em potencial são lançados toda semana. A Chainalysis estima que aproximadamente 95% dos pools de tokens lançados no PancakeSwap acabam sendo golpes de "rug pull". Pense bem nesse número.
| Tipo | Velocidade | Como funciona | Detectável? |
|---|---|---|---|
| Roubo de liquidez | Instant | O incorporador esvazia a piscina | Sim (verifique se a liquidez está bloqueada) |
| Honeypot/bloco de venda | Gradual | Somente o criador pode vender. | Sim (teste de venda no screener DEX) |
| Hortelã escondida | Rápido | Criador cunha e despeja | Sim (leia o contrato para funções de cunhagem) |
| Bombear e despejar | Dias a semanas | Aproveitar a euforia e depois vender as participações. | Mais difícil (parece negociação normal) |
| Abandono lento | Semanas a meses | A equipe interrompe as entregas. | Mais difícil (semelhante a um projeto fracassado) |
Os maiores exemplos de "tapete puxado" que custaram bilhões aos investidores
Os números abaixo não são teóricos. Cada linha desta tabela representa pessoas reais que acordaram com as carteiras vazias.
| Projeto | Ano | Valor roubado | O que aconteceu |
|---|---|---|---|
| OneCoin | 2014-2017 | US$ 4 bilhões | Esquema Ponzi: a fundadora Ruja Ignatova desapareceu, mas continua na lista dos mais procurados pelo FBI. |
| Thodex | 2021 | US$ 2,7 bilhões | Bolsa de valores turca, fundador fugiu, condenado a 11.196 anos |
| Mantra (OM) | 2025 | US$ 5,5 bilhões (valor contestado) | 17 carteiras movimentaram tokens antes da queda, resultando em uma desvalorização de 94% no preço. |
| AnúbisDAO | 2021 | US$ 60 milhões | Sem site, arrecadação de fundos, piscina esvaziada em 20 horas. |
| Ficha do Jogo da Lula | 2021 | US$ 3,38 milhões | O preço subiu 23.000.000%, o honeypot impediu a venda. |
| NFT Frosties | 2022 | US$ 1,1 milhão | Fundadores acusados de fraude e lavagem de dinheiro |
| Falcão Tuah (FAWK) | 2024 | US$ 87 milhões (lucro do criador) | Moeda de memes de celebridades, com criadores detendo 70%, despejou tudo no pico. |
| Clube Baller Ape | 2022 | US$ 2,6 milhões | Fraude NFT, fundos lavados através de troca de blockchain |
A OneCoin merece um parágrafo à parte, pois representa o golpe mais destrutivo da história das criptomoedas, e nem sequer era uma criptomoeda de verdade. Não havia blockchain. Nem mineração. Nem nós. Ruja Ignatova vendeu US$ 4 bilhões em "pacotes educacionais" por meio de um esquema de marketing multinível que recrutava vítimas para, por sua vez, recrutarem mais vítimas. Ela desapareceu em outubro de 2017 e continua sendo uma das dez fugitivas mais procuradas pelo FBI. A BBC produziu uma série completa de podcasts sobre ela, intitulada "The Missing Cryptoqueen" (A Rainha das Criptomoedas Desaparecida). Seu irmão foi preso e posteriormente condenado, mas Ruja nunca foi encontrada.
Como identificar um tapete puxado antes que aconteça: a lista de verificação de alerta
É aqui que o artigo mostra seu valor. Vou listar oito sinais de alerta e, se você identificar três ou mais deles em um projeto que está analisando, feche a aba e siga em frente. Sério.
A primeira coisa que verifico é a equipe. O anonimato no mundo das criptomoedas não é inerentemente ruim; Satoshi nunca se revelou. Mas existe uma enorme diferença entre um fundador pseudônimo com anos de experiência em blockchain e uma "equipe" sem presença no LinkedIn, sem commits no GitHub e com fotos que parecem ter saído de um site de sites desconhecidos. Se você não consegue encontrar uma única pessoa verificável por trás do projeto, seu risco se multiplica.
Segundo: o contrato inteligente foi auditado? Não me refiro a uma "auditoria feita por amigos". Refiro-me a um relatório publicado pela CertiK, Hacken, Trail of Bits ou outra empresa cuja existência você possa verificar facilmente pelo Google. A ausência de auditoria significa que ninguém de forma independente verificou se o contrato pode drenar seus depósitos. Mais uma coisa: mesmo que haja uma auditoria, verifique se o contrato é atualizável por meio de um padrão proxy. Se os desenvolvedores puderem substituir o código após a auditoria, a auditoria abrange apenas a versão revisada pelo auditor, e não a versão que for implementada na próxima terça-feira.
Terceiro: bloqueios de liquidez. Abra o GeckoTerminal ou o DEXTools e verifique se o pool de liquidez está bloqueado em um contrato com prazo determinado. Se estiver desbloqueado, o desenvolvedor pode drená-lo imediatamente. Bloqueios com menos de 30 dias são uma piada. Projetos reais bloqueiam por no mínimo de 6 a 12 meses. E aqui está um detalhe que as pessoas ignoram: um bloqueio com data de expiração conhecida significa apenas que o saque está programado. Marque no seu calendário.
Quarto: concentração de carteiras. Abra a página do token no Etherscan ou Solscan e role até a lista de detentores. Se as 10 principais carteiras controlarem mais de 50% do fornecimento e essas carteiras não estiverem claramente identificadas como pool de liquidez, vesting da equipe ou tesouraria, qualquer uma delas pode derrubar o preço vendendo. Isso não é um risco; é uma certeza à espera de um gatilho.
Quinto: o que eles estão prometendo? Se você vir "100x garantido", "APY sustentável de 1000%" ou "este é o próximo Bitcoin", fuja. Projetos que focam seu marketing em quão rico você ficará em vez do que eles realmente estão construindo são ou ilusórios ou predatórios, e nenhuma das opções termina bem para você.
Sexto: observe o próprio marketing. O grupo do Telegram está cheio de conversas reais ou é composto por contas automatizadas postando emojis de foguete? O Discord é ativo com discussões técnicas ou todos os canais são apenas sobre "quando vamos para a lua"? Os endossos de influenciadores são orgânicos ou obviamente pagos? Quando o investimento em marketing supera claramente o esforço de engenharia, você está diante de uma operação de vendas, não de um projeto tecnológico.
Sétimo: existe um produto funcional? Não um roteiro. Não uma apresentação. Não um white paper com diagramas sofisticados. Um produto real que alguém possa usar agora mesmo. Se a equipe está pedindo seu dinheiro antes de lançar algo funcional, o risco de você financiar a saída deles em vez da visão que eles têm aumenta consideravelmente.
Oitava e última: pressão do FOMO (medo de perder uma oportunidade). "Só restam 2 horas na lista de espera." "O preço dobra depois desta rodada." "Se você não entrar agora, vai se arrepender para sempre." Cada uma dessas frases é arquitetada para fazer você agir antes de pensar, que é exatamente o que um golpista precisa. Oportunidades reais não têm cronômetros. Se alguém está te pressionando, é porque tem um motivo, e esse motivo não é para o seu benefício.
Ferramentas que ajudam você a evitar ficar em maus lençóis
Você não precisa avaliar tudo manualmente. Existem diversas ferramentas gratuitas:
| Ferramenta | O que faz | URL |
|---|---|---|
| Detector de Tokens | Analisa contratos de tokens em busca de padrões de fraude. | tokensniffer.com |
| GeckoTerminal | Mostra a liquidez, os detentores e o status de bloqueio. | geckoterminal.com |
| DEXTools | Análise de tokens em tempo real, pontuações de auditoria | dextools.io |
| RugDoc | Análises de risco de projetos DeFi | rugdoc.io |
| Segurança GoPlus | API de detecção de segurança de token | gopluslabs.io |
| Etherscan/BscScan | Leia os contratos, verifique a distribuição dos titulares. | etherscan.io |
Antes de comprar qualquer token novo, passe-o pelo Token Sniffer, no mínimo. Leva 30 segundos e detecta automaticamente a maioria dos honeypots e golpes de emissão de tokens. Para uma análise mais aprofundada, leia o contrato no Etherscan. Se o contrato não for verificado (código-fonte não publicado), não o compre. Ponto final.
Quero ser realista em relação a algo, no entanto. Essas ferramentas pegam os golpistas preguiçosos. Uma equipe bem financiada que contrata desenvolvedores Solidity competentes pode escrever um contrato que passe por verificadores automatizados e ainda assim tenha um mecanismo de "roubo de tapete" escondido na lógica. Nenhuma ferramenta substitui a compreensão do que você está comprando. Se você não consegue ler um contrato inteligente por conta própria, pelo menos atenha-se a projetos que foram auditados por empresas que você pode verificar e entenda que mesmo projetos auditados foram testados (o auditor revisa um instantâneo, não todas as ações futuras da equipe).
A melhor defesa não é nenhuma ferramenta, mas sim o dimensionamento da posição. Não invista em um novo ativo que você não possa se dar ao luxo de perder completamente. Se você tratar cada projeto não comprovado como um tapete em potencial, suas apostas serão tão pequenas que uma derrota ferirá mais seu orgulho do que seu portfólio.
Puxar o tapete é ilegal?
Resumindo: golpes de "tapa de tapete" são ilegais em praticamente todos os lugares. Incorporar uma função de drenagem em um contrato inteligente para roubar depósitos é fraude, ponto final. Os fundadores do NFT Frosties estão enfrentando acusações federais de fraude eletrônica nos EUA. A Turquia condenou o fundador da Thodex a 11.196 anos de prisão, o que é impressionante ou absurdo, dependendo da sua opinião sobre o sistema jurídico turco.
É aí que a coisa complica legalmente. Se você criou um token, promoveu-o intensamente e depois vendeu todas as suas participações quando o preço atingiu o pico, você cometeu um crime ou apenas vendeu seu próprio ativo? A resposta depende de se o token é considerado um valor mobiliário pela legislação do seu país. A SEC (Comissão de Valores Mobiliários dos EUA) tem pressionado para classificar mais tokens como valores mobiliários, o que tornaria as operações de pump-and-dump claramente passíveis de processo judicial. Mas eles não venceram todos os casos, e a aplicação da lei varia muito entre as jurisdições.
Mas eis a parte que realmente importa para as vítimas: mesmo quando um golpe de "rug pull" é obviamente criminoso, recuperar o dinheiro é praticamente impossível na prática. As criptomoedas roubadas são encaminhadas pelo Tornado Cash, interligadas entre blockchains e misturadas até que o rastro se perca. A Chainalysis e outras empresas de perícia forense em blockchain às vezes conseguem rastrear o fluxo e já auxiliaram as autoridades em alguns casos de grande repercussão. Mas para a pessoa comum que perdeu US$ 5.000 em uma memecoin que chegou a zero, ninguém está investigando o seu caso. O dinheiro sumiu. Essa é a dura realidade da autocustódia: o mesmo sistema que protege você dos bancos também significa que não há banco para ligar quando você é roubado.
