Lista de Permissões

No mundo cripto, lista de permissões tem três significados comuns — e bastante diferentes. Todos os três se resumem a "uma lista de endereços com acesso privilegiado", mas o contexto e o perfil de risco variam.

1. Lista de endereços de retirada de exchanges

Um recurso de segurança em exchanges centralizadas. Você pré-registra os endereços permitidos para receber retiradas da sua conta. Transferências para qualquer outro endereço são bloqueadas.

Características típicas:

• Bloqueio de tempo após adicionar um novo endereço: 24–72 horas antes que o endereço possa receber fundos (Binance, Kraken, Coinbase, OKX, Bybit implementam variantes)
• 2FA / confirmação por e-mail / dispositivo ao adicionar ou remover um endereço
• Listas por cadeia, por ativo — às vezes com exigência de memo/tag (XRP, XLM, TON, Kaspa)
• Algumas exchanges permitem que você ative um modo "somente lista de permissões" que recusa retiradas para qualquer endereço não listado

Esta é uma forte defesa contra a tomada de conta. Mesmo que um invasor roube sua senha e 2FA, ele não pode adicionar um novo endereço e retirar dentro da janela de bloqueio de tempo — dando-lhe tempo para perceber e bloquear a conta.

Se você é um minerador roteando pagamentos de pool através de uma exchange, habilitar a lista de endereços de retirada é um dos hábitos de segurança de maior valor.

2. Lista de permissões de venda de NFT/token ("allowlist", "WL spot")

Endereços de carteira pré-aprovados que recebem acesso garantido, antecipado ou com desconto a uma mintagem ou venda de token. Projetos coletam endereços via funções do Discord, campanhas Galxe / Guild.xyz, ações on-chain ou missões de referência.

Mecânica:

• A lista é compilada off-chain
• Uma raiz de Merkle de todos os endereços na lista de permissões é armazenada no contrato de venda
• No momento da mintagem, cada usuário envia uma prova de Merkle mostrando que seu endereço está na lista — eficiente em termos de gás, mesmo para dezenas de milhares de endereços

O termo "allowlist" é cada vez mais preferido em vez de "lista de permissões" — muitos projetos e a ferramenta de contratos da OpenSea o utilizam — mas o mecanismo é idêntico.

Advertência: o mecanismo de Merkle em si é seguro, mas a camada social em torno do marketing de listas de permissões é um grande vetor de phishing. Mensagens falsas de WL e contas de moderadores do Discord comprometidas postando links falsos de mintagem são um dos principais padrões de golpe em comunidades de NFT.

3. Lista de permissões de contrato inteligente

Um contrato restringe uma função a um conjunto armazenado de endereços. Implementações típicas:

• mapping(address => bool) — lista simples on-chain
• AccessControl da OpenZeppelin — acesso baseado em funções (por exemplo, MINTER_ROLE)
• Raiz de Merkle on-chain + verificação de prova — eficiente em termos de gás para grandes conjuntos

Usos comuns:

• Funções apenas para administradores (pausar, atualizar, retirar taxas)
• Chamadores privilegiados de ponte ou oráculo
• Transferências de ativos do mundo real com KYC; DeFi institucional (Aave Arc / Horizon, Maple Finance)
• Limites de pré-venda e janelas para investidores iniciais

O oposto é uma lista negra / lista de negação — a maioria dos tokens não possui uma, mas stablecoins como USDT e USDC mantêm listas de bloqueio controladas pelo emissor e podem congelar endereços em resposta a sanções, ordens judiciais ou roubos.

Uma lista de permissões de contrato é tão segura quanto a chave de administração que controla a lista. Um contrato de governança multi-assinatura ou com bloqueio de tempo é muito mais seguro do que uma única EOA detendo a função de administrador.

Veja também

• Código de verificação
• Phishing
• Contrato Inteligente
• Endereço