Naquela noite, o mercado não tinha grande movimento, e como estava de folga, pensei em colocar algumas moedas ociosas em um protocolo de staking para ganhar algum rendimento. Abri o App, selecionei depósito, uma janela de carteira apareceu — na tela havia apenas um botão: Approve.

Meu dedo parou ali. Aprovar o quê? A interface parecia sem problemas, mas esse botão sempre dá a sensação de assinar um cheque em branco. A hesitação naquele momento, na verdade, já tocava na raiz do risco da maioria das carteiras.

No DeFi, ao fazer staking, empréstimos ou colaterização, o processo é assim: você quer bloquear tokens no protocolo, mas não transfere diretamente, primeiro concede uma permissão ao contrato inteligente — permitindo que ele retire tokens da sua carteira quando as condições forem atendidas. No setor, isso é chamado de Allowance, ou seja, aprovação de limite. Por exemplo, ao participar de um projeto de staking de mineração, você precisa fazer um colateral para gerar stablecoins, e depois apostar essas stablecoins para ganhar rendimento. Nesse caso, você deve primeiro dar uma permissão ao contrato do protocolo, autorizando-o a movimentar seu colateral.

Aqui há um detalhe fácil de passar despercebido: quase todas as principais moedas — stablecoins, a maioria das altcoins, tokens cross-chain — seguem o padrão ERC-20, e todas precisam passar por essa etapa de aprovação. Apenas o ETH, como moeda nativa da cadeia, geralmente pode ser dispensado. Então, talvez você já tenha aprovado várias vezes, só que sem prestar muita atenção.

Ainda pior, muitas carteiras por padrão concedem permissões de limite infinito — como se entregasse a chave de acesso, e de forma permanente. Isso significa que, se o contrato for hackeado ou alguém lançar um ataque, seus ativos podem ser retirados sem limite.