Toda vez que você interage com um aplicativo descentralizado — trocando tokens, fornecendo liquidez, criando um NFT — você quase certamente assinou uma aprovação de token. Essa aprovação concede permissão a um contrato inteligente para mover seus tokens em seu nome, frequentemente sem limite de gastos e sem data de expiração. Se esse contrato for posteriormente explorado, atualizado para uma versão maliciosa ou simplesmente abandonado, um invasor pode drenar sua carteira sem você assinar nada novo. Entender como auditar e revogar essas aprovações no MetaMask e na Rabby Wallet é um dos hábitos de segurança mais práticos que qualquer detentor de criptografia pode desenvolver. Este guia o orienta pelas etapas exatas em ambas as carteiras, explica as ferramentas disponíveis e diz o que priorizar primeiro.
Por que as Aprovações de Token são um Risco Persistente
As aprovações de token são governadas pela função approve() do ERC-20 e pela função setApprovalForAll() do ERC-721/ERC-1155. Quando você chama approve(spender, amount), você autoriza um endereço específico — geralmente um contrato inteligente — a transferir até amount tokens de sua carteira a qualquer momento no futuro. A documentação do desenvolvedor da Ethereum Foundation confirma que as aprovações permanecem válidas indefinidamente, a menos que sejam explicitamente revogadas pelo proprietário do token.
A consequência prática: as carteiras acumulam dezenas ou centenas de aprovações ativas ao longo do tempo. Uma análise post-mortem de 2022 sobre a exploração do Badger DAO, que resultou em aproximadamente US$ 120 milhões em perdas, mostrou que scripts injetados por atacantes aproveitavam aprovações ilimitadas existentes que os usuários nunca tinham revogado. Os tokens nunca saíram da custódia dos usuários através de uma transação maliciosa que eles assinaram — a aprovação que eles assinaram meses antes causou o dano.
Como Revogar Aprovações de Token Diretamente no MetaMask
O MetaMask adicionou uma interface de gerenciamento de aprovações integrada em sua extensão. O caminho difere ligeiramente entre a extensão do navegador e o aplicativo móvel.
Extensão do MetaMask para Navegador (v11+)
- Abra o MetaMask e clique no menu de três pontos no canto superior direito.
- Selecione Configurações → Segurança e Privacidade.
- Role até Aprovações de Token e clique em Visualizar no Explorador — isso redireciona para a ferramenta Token Approvals do Etherscan para seu endereço conectado.
- Como alternativa, navegue até Atividade, encontre a transação de aprovação original e use o link do Etherscan para localizar o contrato spender.
O MetaMask em si não renderiza um painel completo de aprovações dentro da extensão a partir do início de 2026; ele depende de exploradores de blocos para a lista completa. O artigo da Base de Conhecimento do MetaMask intitulado “How to revoke smart contract allowances/token approvals” documenta esse fluxo explicitamente.
Usando a Ferramenta Token Approvals do Etherscan
- Vá para etherscan.io/tokenapprovalchecker e conecte sua carteira.
- A ferramenta lista todas as aprovações ERC-20 ativas agrupadas por token, mostrando o endereço do spender e o valor aprovado.
- Clique em Revogar ao lado de qualquer aprovação que você deseje remover. O MetaMask o solicitará a confirmar uma transação que chama
approve(spender, 0), definindo a permissão como zero. - Pague a taxa de gas para confirmar. A aprovação é removida na cadeia assim que a transação é minerada.
O Etherscan também suporta aprovações de NFT ERC-721 através da mesma interface. Cada revogação é uma transação separada na cadeia com seu próprio custo de gas.
Como Revogar Aprovações de Token na Rabby Wallet
A Rabby Wallet, desenvolvida pela DeBank, vem com um painel de gerenciamento de aprovações nativo — um de seus recursos de segurança mais citados. Diferentemente da abordagem de redirecionamento do MetaMask, o Rabby expõe aprovações sem sair da interface da carteira.
Gerenciamento de Aprovações Integrado do Rabby
- Abra a extensão do navegador Rabby e clique na guia Approvals na barra lateral (ícone de escudo).
- O Rabby busca e categoriza suas aprovações em todas as cadeias EVM conectadas simultaneamente — Ethereum, Arbitrum, Base, Polygon e outras.
- Cada entrada mostra o token, o nome do contrato spender (quando identificável), o valor aprovado e uma pontuação de risco. O Rabby marca contratos marcados como arriscados pelo seu mecanismo de segurança.
- Clique em Revogar ao lado de qualquer aprovação. Confirme a transação no prompt da carteira.
A documentação do Rabby descreve esse recurso em “Approval Management” em seu centro de ajuda oficial. A visualização entre cadeias é particularmente útil porque muitos usuários esquecem aprovações concedidas em redes Layer 2, onde o gas era barato e as aprovações foram assinadas casualmente.
Ferramentas de Revogação de Terceiros que Vale a Pena Conhecer
Duas ferramentas adicionais são amplamente usadas e vale a pena adicionar aos favoritos junto com os recursos nativos de sua carteira.
- Revoke.cash — Uma ferramenta de código aberto (licença MIT, código no GitHub) que suporta mais de 80 cadeias compatíveis com EVM. Ela exibe aprovações de token e NFT, classifica por nível de risco e permite revogações em lote onde a rede a suporta. A documentação do projeto observa que ela lê dados diretamente dos logs na cadeia e não requer email ou criação de conta.
- Verificador de aprovações da DeBank — Integrado na interface de portfólio da DeBank. Como o Rabby é construído na infraestrutura da DeBank, os dados mostrados em ambas as ferramentas são consistentes.
Ao usar qualquer ferramenta de terceiros, verifique o domínio com cuidado antes de conectar sua carteira. Sites de phishing imitando o Revoke.cash apareceram em anúncios de pesquisa — sempre navegue a partir de uma URL em marcadores ou da página oficial do GitHub do projeto.
O Que Priorizar ao Auditar Aprovações
Uma carteira com 200 aprovações não requer 200 revogações. Aplique uma abordagem de triagem:
- Aprovações ilimitadas primeiro. Qualquer aprovação mostrando “Ilimitado” ou um número muito grande (por exemplo, 2^256 − 1, o valor máximo uint256) deve ser revisada imediatamente. Essas são as entradas de maior risco.
- Protocolos inativos ou descontinuados. Se você não usa mais um protocolo, revogue suas aprovações. Até contratos auditados podem ser atualizados ou ter propriedade transferida.
- Endereços spender desconhecidos ou não verificados. Se o Etherscan ou Rabby não conseguir identificar o contrato spender pelo nome, trate-o como risco elevado.
- Concessões NFT setApprovalForAll. Essas permitem que um contrato transfira qualquer NFT na coleção de sua carteira. Revogue essas, a menos que você esteja usando ativamente o marketplace ou contrato aprovado.
A Realidade do Custo de Gas ao Revogar Aprovações
Cada revogação é uma transação na cadeia. Na rede principal Ethereum, revogar uma aprovação ERC-20 normalmente consome cerca de 45.000–60.000 gas. Com preços de gas moderados, isso custa uma fração de dólar a alguns dólares. Em redes Layer 2 como Arbitrum ou Optimism, o custo é negligenciável — frequentemente menos de um centavo.
Se você tiver muitas aprovações para revogar na rede principal, considere agrupar o trabalho em várias sessões durante períodos de gas baixo (geralmente noites UTC em dias da semana, conforme dados históricos de gas do Ethereum). Algumas ferramentas como Revoke.cash suportam transações multi-revoga em cadeias que implementam padrões estilo permissão EIP-2612, mas as revogações ERC-20 padrão requerem transações individuais.
O Que Isso Significa Para Você
A higiene de aprovação de token não é uma tarefa única — é uma prática recorrente. Após qualquer sessão significativa de DeFi, gaste dois minutos na guia Approvals do Rabby ou no Revoke.cash para remover aprovações que você não precisa mais. Se você usa principalmente MetaMask, adicione aos favoritos o Verificador de Aprovações de Token do Etherscan e execute-o mensalmente. Priorize aprovações ilimitadas e aprovações concedidas a contratos com os quais você não interage mais. O custo do gas de revogar aprovações é quase sempre menor do que o custo de uma única posição explorada.
Tanto MetaMask quanto Rabby continuam a melhorar suas ferramentas de aprovação nativas — o roteiro Q4 2025 do MetaMask referenciava visibilidade de aprovação aprimorada na carteira — mas nenhuma carteira impede você de conceder aprovações em primeiro lugar. A responsabilidade de auditá-las e revogá-las permanece com você.
