---
title: "Aprovações de Tokens ERC-20: Como Revisar e Revogar | Ethereum IA"
url: "https://ethereum.ia.br/blog/aprovacoes-token-erc20-revogar-permissoes/"
markdown_url: "https://ethereum.ia.br/blog/aprovacoes-token-erc20-revogar-permissoes.MD"
description: "Guia educativo para brasileiros revisarem e revogarem aprovações de tokens ERC-20 no Ethereum, com riscos, Etherscan, DeFi e registros fiscais."
date: "2026-05-26"
author: "Equipe Ethereum IA"
---

# Aprovações de Tokens ERC-20: Como Revisar e Revogar | Ethereum IA

Guia educativo para brasileiros revisarem e revogarem aprovações de tokens ERC-20 no Ethereum, com riscos, Etherscan, DeFi e registros fiscais.


Uma das telas mais perigosas para quem usa [Ethereum](/glossario/ethereum/) não é a de compra de ETH, nem a de envio para uma [wallet](/glossario/wallet/). É a tela aparentemente simples de **aprovação de token ERC-20**. Ela aparece antes de um swap no [Uniswap](/blog/uniswap-como-funciona-tutorial/), de uma operação em [Aave](/blog/aave-emprestimos-defi-como-funciona/), de uma ponte para [Layer 2](/glossario/layer-2/), de um marketplace de NFT, de um contrato de assinatura em stablecoin ou de qualquer aplicação que precise movimentar um token em nome da sua carteira.

Este guia é educativo. Ele não recomenda protocolo, token, carteira, ferramenta ou estratégia. Também não é aconselhamento jurídico, tributário, financeiro, contábil ou de investimento. O objetivo é explicar como permissões de tokens funcionam, por que aprovações ilimitadas podem virar risco, como revisar e revogar permissões antigas e quais registros um brasileiro deveria guardar quando opera em DeFi.

O tema parece técnico, mas é prático. Muitos usuários perdem dinheiro não porque entregaram a seed phrase, mas porque assinaram uma permissão ampla para um contrato errado, uma interface falsa ou um protocolo que depois foi comprometido. A diferença importa: sua chave continua com você, mas um contrato aprovado pode ter autorização para gastar tokens específicos até o limite registrado no contrato ERC-20.

## O que é uma aprovação de token

O padrão [ERC-20](/glossario/erc-20/) define funções básicas para tokens fungíveis no Ethereum. Entre elas estão `approve`, `allowance` e `transferFrom`. Em linguagem simples, `approve` diz: “autorizo este outro endereço a gastar até determinado limite deste token”. `allowance` consulta quanto ainda está autorizado. `transferFrom` permite que o endereço autorizado movimente o token dentro daquele limite.

Esse desenho existe porque smart contracts precisam interagir com tokens sem pedir que você envie tudo manualmente. Se você quer trocar USDC por ETH em uma DEX, o contrato da DEX precisa receber autorização para puxar o USDC da sua carteira no momento do swap. Se você deposita um token em um protocolo DeFi, o contrato precisa gastar aquele token para registrar a posição. Se você usa uma cobrança recorrente em stablecoin, algum contrato pode precisar movimentar valores periodicamente.

A aprovação não autoriza o contrato a gastar todos os seus ativos. Ela vale para um token, uma rede e um endereço autorizado. Uma aprovação de USDC na Ethereum mainnet não é a mesma coisa que uma aprovação de outro token em Arbitrum ou Base. Ainda assim, dentro daquele token e rede, a permissão pode ser limitada a uma quantia pequena ou praticamente ilimitada.

## Por que aprovações ilimitadas são comuns

Muitas interfaces oferecem aprovação ilimitada porque isso reduz fricção. Em vez de aprovar R$ 500 em stablecoin para um swap e depois aprovar de novo no próximo uso, o usuário aprova um limite enorme uma vez e segue operando. A experiência fica mais rápida e economiza uma transação de gas em usos futuros.

O custo é o risco residual. Se você aprovou um contrato para gastar todos os seus tokens e esse contrato for malicioso, explorado ou substituído por uma interface falsa que chama outro endereço, a perda potencial é maior. O mesmo vale quando o protocolo tem permissões administrativas, upgrade de contrato, integração com [oráculos](/blog/oracles-blockchain-chainlink/), bridges ou dependências complexas. O artigo sobre [segurança de smart contracts](/blog/seguranca-smart-contracts-auditorias/) explica por que auditoria reduz risco, mas não elimina falhas.

Uma aprovação limitada também não é blindagem absoluta. Se você aprovar exatamente o valor que pretende usar, ainda pode perder esse valor se assinou para o contrato errado. Mas o dano fica contido. Segurança em Ethereum é frequentemente uma soma de pequenas reduções de superfície de ataque, não uma garantia total.

## Como revisar permissões antigas

O primeiro passo é fazer inventário. Ferramentas como o Token Approval Checker do Etherscan mostram quais contratos têm permissão para gastar tokens da sua carteira na Ethereum mainnet. Outras redes têm exploradores equivalentes ou ferramentas multichain. O objetivo não é clicar em tudo com pressa, mas entender quais permissões existem.

Ao revisar, observe:

1. qual token foi aprovado;
2. qual contrato recebeu a permissão;
3. se o limite é específico ou ilimitado;
4. quando você usou aquele protocolo pela última vez;
5. se o domínio e o contrato correspondem ao projeto legítimo;
6. se a rede é a correta;
7. se há valor relevante exposto naquela carteira.

Se você usa [MetaMask](/blog/como-usar-metamask-guia-completo/) ou outra carteira de navegador, combine essa revisão com higiene operacional: baixar extensões apenas de fontes oficiais, separar carteira quente de carteira principal, evitar links patrocinados, conferir URL, testar com valor pequeno e desconfiar de mensagens urgentes. O guia de [golpes cripto](/blog/golpes-cripto-como-evitar/) cobre vários ataques que começam antes da assinatura.

## Quando revogar uma aprovação

Revogar faz sentido quando a permissão não é mais necessária, quando o contrato é desconhecido, quando o limite é amplo demais, quando você usou um protocolo temporário, quando houve incidente de segurança ou quando uma carteira será aposentada. A revogação é uma transação on-chain: você paga gas e registra uma nova permissão, normalmente zerando o limite.

Não trate revogação como botão mágico. Ela não recupera token já transferido, não corrige seed phrase vazada e não desfaz uma assinatura maliciosa já executada. Ela reduz a chance de gasto futuro por aquele contrato naquele token. Se você suspeita que a seed phrase vazou, a resposta costuma ser mover ativos para uma carteira nova e segura, não apenas revogar approvals.

Para valores relevantes, faça com calma. Confira o endereço do contrato, a rede, o token e a ferramenta usada. Um site falso de “revoke” também pode induzir assinatura ruim. A página oficial do Etherscan e ferramentas conhecidas devem ser acessadas digitando o endereço ou por favoritos verificados, não por anúncio ou mensagem direta.

## Diferença entre assinatura, transação e aprovação

Usuários iniciantes confundem três coisas. Uma assinatura de mensagem pode não custar gas e pode ser usada para login, autorização off-chain ou golpes de autorização. Uma transação muda o estado da blockchain e custa gas. Uma aprovação de token é uma transação específica que altera a permissão registrada no contrato ERC-20.

Nem toda assinatura é approval, mas algumas assinaturas podem autorizar ações perigosas, especialmente com padrões mais modernos e permissões off-chain. Por isso, a regra prática é ler a carteira com atenção. Se a carteira mostra que um token será aprovado, transferido ou que um contrato poderá gastar ativos, pare e confira. A pressa é inimiga da autocustódia.

Esse cuidado também vale para [NFTs](/blog/nfts-no-ethereum-guia-definitivo/), bridges e [contas inteligentes](/blog/ethereum-wallets-contas-inteligentes-experiencia-usuario-2026/). Cada padrão tem detalhes próprios, mas o princípio é o mesmo: uma permissão persistente pode continuar existindo depois que você fecha a aba do navegador.

## Contexto brasileiro: Pix, exchanges, imposto e prova

Para brasileiros, a jornada costuma começar com Pix em uma exchange, compra de ETH ou stablecoin, saque para carteira própria e uso em DeFi. A regulação de prestadores de serviços de ativos virtuais no Brasil, o marco legal dos criptoativos, a atuação do Banco Central e as obrigações da Receita Federal não tornam a autocustódia simples. Pelo contrário: quando você sai da exchange, assume mais responsabilidade por segurança e registros.

Guarde hashes de aprovações, revogações, swaps, depósitos e saques quando houver valor relevante. Uma revogação pode não ser evento tributário principal, mas ajuda a demonstrar diligência em caso de incidente, auditoria pessoal, contabilidade, [herança de criptoativos](/blog/heranca-criptoativos-brasil-ethereum/) ou operação empresarial. O guia de [custo médio de criptoativos no Brasil](/blog/custo-medio-criptoativos-brasil-ethereum/) e o artigo sobre [comprovante on-chain para contabilidade](/blog/comprovante-on-chain-contabilidade-cripto-brasil/) mostram por que reconstruir histórico depois é doloroso.

Empresas brasileiras precisam ser ainda mais formais. Uma política de tesouraria deve dizer quem pode conectar carteira, quais dApps são permitidos, quais limites de approval são aceitos, quem revisa permissões, como revogar depois de um uso temporário e onde os hashes ficam arquivados. Sem isso, a empresa pode ter boa contabilidade no papel e uma carteira com permissões esquecidas para contratos antigos.

## Checklist antes de aprovar um token

Antes de clicar em aprovar, use este roteiro:

1. O domínio do dApp é o oficial?
2. O contrato exibido corresponde ao protocolo correto?
3. A rede selecionada é a rede pretendida?
4. O token aprovado é exatamente o token que você quer usar?
5. O valor pode ser limitado ao necessário?
6. A carteira contém mais saldo do que deveria para essa operação?
7. Você entende por que o protocolo precisa da permissão?
8. Existe alternativa com carteira operacional de menor saldo?
9. Você sabe onde revisar e revogar depois?
10. O hash da operação será salvo se houver relevância fiscal ou contábil?

Se várias respostas forem “não sei”, reduza o valor, pesquise mais ou não assine. Em Ethereum, não existe gerente capaz de cancelar uma aprovação ruim depois que ela foi usada por um contrato malicioso.

## Rotina simples de manutenção

Uma rotina conservadora pode ser mensal para usuários ativos de DeFi e trimestral para quem usa pouco. Revise carteiras, redes e tokens com saldo relevante. Revogue permissões antigas. Separe carteira de teste, carteira de uso frequente e carteira de longo prazo. Evite deixar stablecoins ou tokens valiosos na mesma carteira usada para experimentar dApps novos.

Também vale revisar permissões depois de qualquer notícia de hack, troca de contrato, migração de protocolo, airdrop suspeito, mint de NFT, bridge emergencial ou interação feita com pressa. O artigo sobre [MEV e proteção no Ethereum](/blog/mev-protecao-flashbots-ethereum/) lembra que o ambiente on-chain é transparente e competitivo; sua carteira precisa ser tratada como infraestrutura, não como aplicativo casual.

Para quem usa [staking](/guias/guia-staking-ethereum/), [yield farming](/blog/yield-farming-estrategias-defi/) ou estratégias com múltiplos protocolos, a revisão deve ser mais frequente. Quanto mais contratos entram no caminho, mais importante fica mapear permissões, riscos de smart contract, [impermanent loss](/blog/impermanent-loss-explicado/), oráculos, bridges e registros para a Receita.

## Conclusão

Aprovações de tokens ERC-20 são parte normal do Ethereum, mas não devem ser tratadas como detalhe invisível. Elas são o mecanismo que permite DeFi funcionar, e também uma das superfícies de ataque mais exploradas contra usuários. Aprovação ilimitada pode ser conveniente; aprovação limitada, revisão periódica e revogação reduzem o dano quando algo dá errado.

Para o usuário brasileiro, a boa prática é juntar segurança técnica com documentação: entender o que está sendo aprovado, limitar permissões quando possível, usar carteiras separadas, revogar o que não usa, guardar hashes relevantes e não confundir autonomia com improviso. A autocustódia só vale a pena quando vem acompanhada de processo.

**Aviso legal:** Este conteúdo é exclusivamente informativo e educacional. Não constitui aconselhamento financeiro, jurídico, tributário, contábil, técnico individualizado ou recomendação de investimento. Criptoativos, tokens ERC-20, DeFi, carteiras e smart contracts envolvem riscos de perda parcial ou total, falhas técnicas, golpes, erro operacional, volatilidade e mudanças regulatórias. Consulte profissionais qualificados antes de tomar decisões envolvendo valores relevantes.