O que é a EIP-7702 e como ela pode ser usada para drenar sua carteira?

O que é

Antes, sua carteira crypto era simples: guardava moedas e assinava transações. Com a EIP-7702 (ativa desde 2025), sua carteira pode ganhar “superpoderes” — executar operações complexas, fazer várias coisas numa transação só, e até deixar outra pessoa pagar a taxa de rede por você.

Isso funciona através de uma delegação: você assina uma autorização dizendo “quero que minha carteira use o código desse contrato”. É como dar uma procuração digital para um programa executar ações pela sua carteira.

O lado bom

• Fazer várias operações de uma vez (economiza tempo e taxas).
• Alguém paga o gas por você (sua carteira não precisa de saldo).
• Recursos avançados: limites de gasto, recuperação de conta, 2FA.
• Grandes empresas já usam: MetaMask, Coinbase, Trust Wallet.

O lado perigoso — Dois mecanismos diferentes

O golpe EIP-7702 envolve duas peças distintas que trabalham juntas:

Peça 1: O contrato drainer (a delegação maliciosa)

É um programa instalado dentro da sua carteira. Ele fica lá, parado, como um vírus. Esse contrato tem funções prontas para transferir seus tokens, NFTs e saldo nativo para o criminoso. Ele também pode bloquear depósitos — se alguém te mandar moedas, o contrato as rejeita.

Nota: O contrato não age sozinho. Ele é uma ferramenta e precisa de alguém para acioná-lo.

Peça 2: Os operadores (quem aciona o contrato)

São carteiras controladas por criminosos que ficam enviando transações para acionar as funções do contrato drainer. Existem dois tipos:

• Operadores automáticos (bots/sweepers): Programas que monitoram a blockchain 24h e reagem em menos de 1 segundo. Qualquer depósito na sua carteira é drenado automaticamente. É o cenário mais comum.
• Operadores manuais: Criminosos que acionam o drainer de vez em quando, com horas ou dias de delay. Menos agressivo, mas igualmente perigoso.

Como funciona o golpe

1. A isca
   Você recebe um link — “resgate seu airdrop”, “mint grátis”, “conecte sua wallet”. Parece legítimo. O site pede para você assinar algo. Você acha que está aprovando uma operação normal, mas está assinando uma delegação que instala o contrato drainer na sua carteira.
2. O controle
   A partir desse momento, o contrato criminoso está dentro da sua carteira. Os operadores começam a acionar as funções do contrato para drenar tudo: moedas, tokens, NFTs.
3. A armadilha
   Se o operador é um bot: qualquer depósito é drenado em menos de 1 segundo. Se você tenta revogar a delegação, o operador reinstala o contrato em segundos. Para revogar você precisa de saldo para pagar a taxa, mas o contrato drena ou bloqueia esse saldo — criando um ciclo sem saída.

Por que é pior do que os golpes antigos?

Nos golpes antigos (approvals), o criminoso ganhava acesso a um token específico. Com a EIP-7702, ele ganha acesso a tudo na sua carteira, de uma vez, em todas as redes. Uma única assinatura errada pode comprometer sua carteira em Ethereum, Polygon, BSC, Arbitrum — tudo ao mesmo tempo.

E o pior: é difícil de detectar. A delegação maliciosa parece idêntica a uma delegação legítima. Ferramentas comuns de mercado não alertam adequadamente.

A escala do problema

Como se proteger

• Nunca assine algo que você não entende completamente.
• Desconfie de airdrops, mints grátis, e sites que pedem autorização.
• Verifique sua carteira regularmente com ferramentas de diagnóstico especializadas.