Em nossa corretora de cripto, os usuários às vezes nos enviam tokens que têm o mesmo nome que os legítimos, mas, na realidade, não são a coisa real. Por exemplo, alguém procurando trocar USDT por USDC pode nos enviar um token com o rótulo “USDT”. Parece USDT em sua carteira e no explorador de blocos, mas não foi emitido pela Tether. É uma farsa.
Como profissionais, podemos identificar tokens falsificados imediatamente. Na verdade, qualquer usuário atento também pode. Por exemplo, na captura de tela acima, você pode ver que o token USDT falso tem uma oferta total de 1 bilhão de tokens[1], todos armazenados em apenas cinco endereços[2], e apenas 35 transações foram feitas com ele[3]. Essa é uma clara bandeira vermelha.
Mas aqui está o problema: você só notaria esses detalhes se realmente procurasse o token em um explorador de blocos. A maioria das carteiras não mostra esse tipo de informação — elas apenas exibem o nome do token (por exemplo, USDT) e seu saldo. Assim, os usuários geralmente não têm ideia de que estão lidando com uma farsa. Eles receberam de alguém, presumiram que era real e seguiram com seus negócios.
É sempre doloroso quando nossa equipe de suporte tem que dar a notícia de que um token não vale nada — especialmente quando a quantia envolvida é grande. Alguns usuários se recusam a acreditar nisso a princípio. Para eles, aqueles 50.000 tokens “USDT” equivaliam a US$ 50.000… até que lhes dissemos o contrário.
Neste artigo, quero explorar por que isso acontece — e se há algo que possa ser feito a respeito.
Por que os tokens falsos são criados?
A maioria dos blockchains são sistemas completamente abertos. Qualquer pessoa pode escrever qualquer coisa neles — incluindo criar um token com qualquer nome que desejar. Não há autoridade central para impedir que alguém registre um token chamado “USDT” ou “Bitcoin”. Por um lado, essa é uma força: a rede resiste à censura. Mas, por outro lado, isso significa que dezenas de tokens com nomes idênticos podem coexistir no mesmo ecossistema.
Esse problema tornou-se especialmente notório durante os booms de ICO e DeFi no Ethereum. Em plataformas como o Uniswap, qualquer pessoa poderia listar um token e os golpistas rapidamente tiraram proveito disso. Um dos primeiros exemplos de alto nível foi a venda de tokens do Polkastarter (POLS) em setembro de 2020. O preço do token disparou imediatamente após o lançamento e os golpistas correram para emitir tokens POLS falsos e listá-los no Uniswap.
Embora o token real tivesse um logotipo distinto no Uniswap, isso não impediu alguns usuários de comprar as falsificações. Um deles foi comprado por mais de US$ 30.000.
Em muitas interfaces de carteira, era ainda pior: os tokens falsos pareciam exatamente com os reais. Algumas carteiras não exibiam logotipos. Outras os retiraram de fontes externas — e os golpistas simplesmente carregaram o logotipo do Polkastarter para fazer com que seu token falso parecesse autêntico.
Em alguns casos, a confusão nem exige nomes idênticos — apenas tickers compartilhados. Por exemplo, quando o Uniswap lançou seu token UNI, alguns traders o confundiram com outro token também chamado UNI — de um projeto chamado Unicorn. As pessoas correram para comprar o token errado, bombeando seu preço de US$ 0,001 para US$ 5 — um aumento de 5.000 vezes. Assim que o erro foi percebido, o preço caiu tão rapidamente quanto. Alguns ganharam dinheiro por acidente, outros perderam o deles com a mesma facilidade.
Há também casos em que um token imita não outro token, mas o nome de um serviço de cripto que nem sequer tem um token. Um boato se espalha: “É o token real do projeto, mas eles ainda não o anunciaram oficialmente — é por isso que ainda é tão barato!” Por exemplo, em janeiro de 2025, a startup SoSoValue alertou que alguém havia emitido um token SOSO falso no BSC usando sua marca — embora eles nunca tivessem lançado nenhuma criptomoeda. Os usuários foram instados a evitar a farsa e verificar cuidadosamente as fontes de informação.
Depois de comprar um token falso, é provável que você não consiga vendê-lo — a menos que engane outra pessoa fazendo-a acreditar que é real. Ainda assim, curiosamente, os tokens falsos às vezes atraem demanda. Por exemplo:
- Em 13 de fevereiro de 2025, Changpeng Zhao postou uma foto de seu cachorro Brócolis no X e declarou explicitamente que não iria emitir nenhum token em seu nome. No entanto, vários tokens “Brócolis” apareceram no BNB Chain e alguns deles ainda estão sendo negociados — e trocados no rabbit.io.
- Em 12 de março de 2025, um token PAWS falso estava sendo negociado no Raydium DEX a 90 vezes o preço do token PAWS real no Bybit.
A verdade é: a atenção cria valor — mesmo para as imitações. E alguns falsificadores são muito bons em atrair atenção para suas criações.
Ainda assim, isso não é algo com que você deva contar. Se você recebeu um token falso, recomendo fortemente não tentar descobrir onde você pode descarregá-lo.
Em 2021, golpistas no blockchain Tron enviaram tokens gratuitos para milhares de endereços. Esses tokens costumavam ter nomes chamativos imitando criptomoedas reais. Quando usuários desavisados encontraram o “presente” em suas carteiras e tentaram vendê-lo, eles foram atraídos para uma armadilha: a única plataforma onde o token parecia negociável os solicitou a aprovar um contrato inteligente suspeito — o que poderia comprometer suas carteiras.
Esse esquema em particular já foi praticamente esquecido. Mas me preocupa que os golpistas possam ser tentados a repeti-lo em algum outro blockchain onde a distribuição de tokens para milhares de carteiras seja barata e fácil.
O Problema dos Tokens Falsos Pode Ser Resolvido?
Na verdade, existem soluções técnicas.
Os primeiros protocolos de tokenização — Colored Coins, Omni Layer e Counterparty — foram introduzidos entre 2012 e 2014 e construídos sobre o blockchain Bitcoin. Colored Coins e Omni Layer não impuseram restrições ao uso do mesmo nome de token várias vezes. Em contraste, o Counterparty introduziu um sistema onde os nomes dos tokens devem ser únicos. Isso significa que se alguém criou um ativo chamado LTBCOIN em 2014 e você vê um token com esse nome hoje em 2025, você pode ter certeza de que é o mesmo token. O protocolo verifica se o nome escolhido já foi registrado. Se tiver, a transação de criação de tokens é rejeitada.
Mas essa abordagem nunca se popularizou amplamente. A história dos nomes de domínio — que operam com o mesmo princípio — mostra por que: nomes atraentes são rapidamente arrebatados e nomes de projetos reais são frequentemente reservados por cybersquatters que não têm nada a ver com o projeto real. Portanto, você ainda pode acabar com tokens falsos, a menos que os criadores do projeto legítimo se apressem para reivindicar seu nome em todas as plataformas de tokens. Talvez seja por isso que a solução da Counterparty não foi adotada por nenhum dos principais ecossistemas de tokenização — nem Ethereum, nem Solana, nem BNB Chain, nem nenhum outro.
Um refinamento interessante dessa ideia pode ser visto no protocolo Runes, lançado no Bitcoin em abril de 2024. Cada token emitido por meio de Runes tem um nome exclusivo — mas nomes como USDT ou USDC não estão disponíveis atualmente.
No lançamento, quando o protocolo ainda estava sob o radar, os usuários só podiam registrar nomes com 13 caracteres ou mais. O registro foi aberto no bloco Bitcoin 840.000 (minerado em 20 de abril de 2024) e essa restrição de comprimento permaneceu em vigor por 17.500 blocos. A partir do bloco 857.500 (minerado em 19 de agosto de 2024), nomes de 12 caracteres ficaram disponíveis. O bloco 875.000 desbloqueou nomes de 11 caracteres.
Espera-se que os nomes de quatro caracteres — como USDT e USDC — estejam disponíveis por volta de abril de 2027. Os desenvolvedores do protocolo esperam que, até então, ele tenha ganhado tração suficiente para que os emissores de token reais prestem atenção e reivindiquem seus nomes legítimos antes que os posseiros o façam.
No entanto, um ano após o lançamento do protocolo Runes, parece que ele realmente não ganhou força. A maioria dos criadores de token ainda prefere outras plataformas — aquelas que são mais baratas e fáceis de usar. Infelizmente, essas plataformas não oferecem nenhuma proteção em nível de protocolo contra tokens falsos.
Como as salvaguardas em nível de protocolo são raras, os desenvolvedores começaram a implementar soluções em nível de aplicativo — em exploradores de blocos, carteiras e listas de tokens.
Em exploradores populares como Etherscan, BscScan e TronScan, os tokens verificados são marcados com uma marca de seleção ou outros indicadores visuais. Se um token não tiver tal marca, os usuários são aconselhados a proceder com cautela.
As carteiras — como MetaMask, wallet.rabbit.io e outras — normalmente exibem saldos apenas para tokens aprovados ou aqueles com os quais o usuário interagiu antes. Tokens falsos que aparecem aleatoriamente em sua carteira nem sequer aparecerão por padrão. No MetaMask, os usuários podem adicionar manualmente qualquer token — mas para fazer isso, eles precisam inserir seu endereço de contrato inteligente, o que já os incentiva a analisar mais profundamente do que apenas o nome do token. Essa etapa por si só pode ajudar os usuários a identificar uma farsa.
No entanto, essas chamadas “whitelists” criam um novo desafio: elas tornam mais difícil para tokens legítimos, mas menos conhecidos alcançar os usuários. Sem reconhecimento ou verificação, os tokens mais novos lutam para serem notados — mesmo que sejam completamente seguros.
Uma alternativa é usar blacklists — listas de tokens suspeitos ou enganosos. Mas esses vêm com seus próprios problemas. Por exemplo, em 2019, a rede Waves começou a incluir tokens questionáveis na lista negra. Um caso infeliz envolveu HBTC (Humboldt Bitcoin) — um token comunitário local. Após vários meses de circulação ativa, ele foi repentinamente marcado como spam simplesmente porque seu ticker, HBTC, parecia ser muito semelhante ao BTC. Como resultado, os usuários que receberam o token não puderam mais vê-lo em suas carteiras — embora o token não fosse fraudulento e seus criadores não tivessem feito nada de errado.
Alguns desenvolvedores estão propondo um novo formato para localizadores de token unificados (UTL) — inspirados em como as URLs funcionam na web. Em vez de identificar um token pelo seu nome, a ideia é usar uma combinação de rede + ID do token para eliminar a ambiguidade. Por exemplo:
- ethereum:0xa0b86991c6218b36c1d19d4a2e9eb0ce3606eb48
- solana:EPjFWdd5AufqSSqeM2qN1xzybapC8G4wEGGkZwyTDt1v
- stellar:USDC-GA5ZSEJYB37JRC5AVCIA5MOP4RHTM335X2KGX3IHOJAPP5RE34K4KZVN
É uma ideia simples com grande potencial. Assim como cada site tem:
- Um nome (por exemplo, Medium)
- E uma URL (por exemplo, https://medium.com)
…os tokens podem ter:
- Um nome (por exemplo, USD Coin)
- E um ou mais UTLs, apontando claramente para o ativo real em um blockchain específico.
Isso não só ajudaria a impedir tokens falsos, mas também reduziria erros como enviar tokens para a rede errada — algo que ocasionalmente vemos no Rabbit Swap também. Por exemplo, um usuário pode pretender trocar USDT no Ethereum por BTC, mas acidentalmente envia USDT no Base em vez disso. Nesses casos, a troca ou reembolso tem que ser processada manualmente, o que leva muito mais tempo do que nossos fluxos de trabalho automatizados habituais.
Dito isso, os UTLs — pelo menos em sua forma atual — não resolvem o problema inteiramente. A parte depois dos dois pontos (o ID do token) é de fato única. Mas e a parte antes dela?
O que impede alguém de lançar um novo blockchain e chamá-lo de “Ethereum”, “Solana” ou mesmo “Bitcoin”? Tecnicamente, nada. E sim, isso já aconteceu.
Em agosto de 2017, a rede Bitcoin passou por um hard fork que resultou no Bitcoin Cash (BCH). Por um tempo, durante o final de 2017 e o início de 2018, o site bitcoin.com promoveu o Bitcoin Cash como o Bitcoin “real” — enquanto se referia à cadeia original como “Bitcoin Core” (após seu software de nó). Muitos usuários ficaram confusos com a marca e acabaram comprando BCH, pensando que era o BTC original. Após críticas generalizadas, o site acabou voltando atrás nessa mensagem — mas o episódio prova que até mesmo as criptomoedas mais conhecidas são vulneráveis à personificação.
E Ethereum? A situação não é melhor. Até hoje, algumas pessoas ainda acreditam que Ethereum Classic é o Ethereum real. Então, qual cadeia você acha que eles estão se referindo se eles lhe derem um UTL como ethereum:0xa0…?
Em suma, apesar da abundância de soluções técnicas, o problema do token falso não vai desaparecer tão cedo.
Então, o que você pode fazer?
Em última análise, a única proteção real é manter pessoalmente um olho em cada token que entra em sua carteira.
Se você recebeu tokens como parte de uma troca feita no rabbit.io, você pode ter certeza de que eles são genuínos.
Mas se os tokens vierem de uma fonte desconhecida, a melhor maneira de se manter seguro é usar uma carteira que exiba apenas tokens verificados ou aqueles com os quais você interagiu antes. E antes de usar um novo token, certifique-se de confirmar um dos dois:
- o endereço do contrato inteligente (para blockchains como Ethereum, Tron ou Solana), ou
- o ID do ativo (para blockchains como Bitcoin, Stellar ou Avalanche X-Chain)
por meio dos canais ou comunidade oficiais do projeto.
Em seguida, adicione o token à sua carteira manualmente usando esse endereço ou identificador verificado.
Dessa forma, qualquer token de imitação - não importa o quão semelhante seja o nome - simplesmente não aparecerá em sua carteira.
