Como Proteger Seu Cripto: Guia de Segurança
Auto-custódia significa autorresponsabilidade. Aprenda como proteger suas carteiras, evitar golpes e proteger sua criptomoeda das vetores de ataque mais comuns que custam aos usuários bilhões a cada ano.
Neste guia
Por que a segurança de criptomoedas importa
Nas finanças tradicionais, bancos e instituições atuam como custodiante do seu dinheiro. Se o seu cartão de crédito for roubado, você liga para o banco e eles revertam as cobranças. Criptomoeda é fundamentalmente diferente. Quando você mantém cripto em uma auto-custodial carteira, você é o banco. Não há departamento de fraude para ligar, nem estornos, nem redefinição de senha. Se alguém obtiver acesso às suas chaves privadas, seus fundos desaparecem permanentemente.
A escala dos roubos de cripto é impressionante. Segundo a Chainalysis, $3,8 bilhões foram roubados em ataques a criptomoedas em 2022 apenas, o pior ano registrado. O ataque ao Ronin Bridge ($625 milhões), a exploração do Wormhole ($326 milhões) e o ataque ao Nomad Bridge ($190 milhões) demonstraram que mesmo projetos bem financiados com equipes profissionais são vulneráveis. Em 2023, as perdas caíram para $1,7 bilhões, mas permaneceram significativas, com o ataque ao Mixin Network ($200 milhões) e a exploração da Euler Finance ($197 milhões) ganhando destaque.
Esses números consideram apenas ataques de protocolo em grande escala. Perdas individuais devido a phishing, roubo de frase-semente, ataques de troca de SIM e engenharia social somam bilhões a mais. A boa notícia: a grande maioria desses ataques pode ser evitada com práticas de segurança adequadas. Este guia cobre tudo o que você precisa para se proteger.
Ataques de Phishing
Sites falsos, e-mails e mensagens diretas que enganam você a revelar sua frase-semente ou assinar transações maliciosas.
Explorações de Contratos Inteligentes
Falhas no código do protocolo DeFi que permitem que hackers drenem fundos. Pontes e protocolos de empréstimo são os mais visados.
Engenharia Social
Imitação, agentes de suporte falsos, golpes românticos e ataques internos que exploram a confiança humana em vez do código.
Protegendo sua carteira
Sua carteira segurança começa com a forma como você lida com sua frase semente (também chamada de frase de recuperação ou mnemônica). Esta frase de 12 ou 24 palavras é a chave mestra para todos os fundos em sua carteira. Qualquer pessoa que a obtenha pode drenar todos os tokens em todas as cadeias conectadas a essa carteira. Não há segundo fator, nem verificação, e nenhuma recuperação se for comprometida.
Armazenamento da Frase Semente: A Regra de Ouro
Nunca armazene sua frase‑semente digitalmente. Não em um aplicativo de notas, não em uma captura de tela, não em armazenamento na nuvem, não em um rascunho de e‑mail, não em um gerenciador de senhas. O armazenamento digital significa que pode ser acessado remotamente por meio de malware, violações de nuvem ou contas comprometidas. Em 2023, usuários do LastPass perderam mais de US$ 35 milhões em cripto após o gerenciador de senhas ser violado e cofres criptografados serem roubados.
Escreva sua frase‑semente em papel e guarde‑a em um local seguro e à prova de fogo. Para armazenamento de longo prazo, invista em um backup de frase‑semente em metal (Cryptosteel, Billfodl ou similar). Backups de metal resistem a incêndios residenciais, inundações e décadas de armazenamento. Considere dividir seu backup em duas localidades usando um método como o Compartilhamento Secreto de Shamir ou simplesmente armazenar duas cópias em locais seguros separados (cofre doméstico + caixa de segurança bancária).
Nunca compartilhe sua frase semente com ninguém. Nenhum serviço legítimo, agente de suporte ou desenvolvedor jamais pedirá isso. Se alguém pedir sua frase semente, é um golpe, 100% das vezes.
Senhas Fortes & Gerenciamento de Senhas
Use uma senha única e forte para cada conta relacionada a criptomoedas (exchanges, e-mail, extensões de navegador de carteira). Uma senha forte tem pelo menos 16 caracteres, combinando letras maiúsculas, minúsculas, números e símbolos. Nunca reutilize senhas em diferentes sites. Se um serviço for comprometido, os atacantes tentarão essas credenciais em todas as exchanges e plataformas de criptomoedas.
Use um gerenciador de senhas confiável (1Password, Bitwarden) para gerar e armazenar senhas únicas. Proteja seu gerenciador de senhas com uma senha mestra forte e autenticação por chave de hardware. Sua conta de e‑mail é especialmente crítica: se um atacante obtiver acesso ao seu e‑mail, ele pode redefinir senhas nas suas contas de exchange.
Autenticação de Dois Fatores (2FA)
Ative a 2FA em todas as contas que a suportam. Nem todos os métodos de 2FA são iguais. Aqui está a hierarquia de segurança, da mais forte à mais fraca:
Chaves de segurança de hardware (YubiKey, Titan Key): Dispositivos físicos que precisam ser conectados ou tocados. Imunes a phishing, trocas de SIM e ataques remotos. O padrão ouro.
Aplicativos autenticadores (Google Authenticator, Authy): Códigos baseados em tempo gerados no seu telefone. Muito melhor que SMS, mas vulnerável se o seu telefone for comprometido por malware.
2FA baseada em SMS: A opção mais fraca. Vulnerável a ataques de troca de SIM, onde um atacante convence sua operadora móvel a transferir seu número. Em 2019, a conta do CEO do Twitter, Jack Dorsey' foi comprometida via troca de SIM. Evite 2FA por SMS para contas de criptomoedas.
Se você usar um aplicativo autenticador, faça backup dos códigos de recuperação e armazene-os offline. Se perder o seu telefone sem os códigos de backup, poderá ficar bloqueado de suas contas permanentemente.
Carteiras de Hardware: Sua Melhor Defesa
Uma carteira de hardware é um dispositivo físico que armazena suas chaves privadas offline, completamente isolado do seu computador e da internet. Mesmo que seu computador esteja infectado com malware, uma carteira de hardware não expõe suas chaves privadas. Cada transação deve ser confirmada fisicamente no dispositivo, de modo que um atacante não possa assinar transações remotamente.
Carteiras de hardware são a medida de segurança mais eficaz para proteger criptomoedas. Se você possui mais de algumas centenas de dólares em cripto, uma carteira de hardware não é opcional -- é essencial.
Ledger
Dispositivos Ledger (Nano S Plus, Nano X, Stax) utilizam um chip de elemento seguro certificado (a mesma tecnologia usada em cartões de crédito e passaportes) para proteger chaves privadas. Ledger suporta mais de 5.500 tokens e integra-se com MetaMask, Rabby e a maioria DeFi aplicações através do Ledger Live. O Nano S Plus (cerca de $79) é a opção com melhor custo-benefício; o Nano X adiciona Bluetooth para uso móvel.
Importante: Compre dispositivos Ledger apenas diretamente em ledger.com. Nunca compre de vendedores terceiros na Amazon ou eBay. Dispositivos adulterados com frases-semente pré-definidas foram usados para roubar fundos. Quando receber o dispositivo, ele deve vir sem frase-semente pré-escrita. Você gera a frase-semente durante a configuração.
Trezor
Trezor (Model One, Model T, Safe 3, Safe 5) adota uma abordagem de código aberto, com firmware e hardware totalmente auditáveis. Os dispositivos Trezor suportam milhares de tokens e se integram ao MetaMask e a front-ends DeFi populares. O design de código aberto permite que a comunidade de segurança verifique independentemente que o firmware cumpre o que afirma.
Os dispositivos Trezor também são usados para configurar uma frase-senha (às vezes chamada de "25ª palavra"), que cria uma carteira oculta que permanece invisível mesmo que alguém obtenha sua frase-semente. Isso adiciona uma camada adicional poderosa de proteção para holdings de alto valor.
Como Configurar uma Carteira de Hardware
Compre diretamente do fabricante (ledger.com ou trezor.io). Verifique se o selo da embalagem está intacto ao receber.
Inicialize o dispositivo e anote sua frase semente em papel (ou grave-a em metal). Verifique cada palavra cuidadosamente. O dispositivo pedirá que você confirme as palavras.
Defina um PIN forte no dispositivo. Este PIN protege contra acesso físico se alguém roubar o dispositivo. Após 3 tentativas de PIN incorretas, o dispositivo reinicia.
Conecte-se a MetaMask ou sua interface de carteira preferida. Transfira uma pequena quantia de teste primeiro para confirmar que tudo funciona antes de mover valores maiores.
Armazene o backup da frase semente em um local físico separado do próprio dispositivo. Se ambos estiverem no mesmo local e houver um incêndio ou roubo, você perderá tudo.
Proteja seus stablecoins enquanto ganha rendimento
Já garantiu a segurança da sua cripto? Coloque seu USDC para trabalhar com a Coinstancy. Ganhe 7% de APY em USDC com capitalização diária, sem período de bloqueio e com saques instantâneos.
Ganhe 7% de APY em USDCEvitando golpes & phishing
Phishing é o vetor de ataque número um em cripto. Ao contrário dos hacks de protocolo que exploram código, o phishing explora você. Os atacantes criam sites falsos convincentes, se passam por membros da equipe do projeto e usam urgência e medo para enganar você a entregar sua frase-semente ou assinar uma transação maliciosa. Aqui estão as táticas mais comuns e como se defender contra elas.
Sites Falsos
Golpistas criam clones pixel-perfect de sites DeFi populares (Uniswap, OpenSea, MetaMask) com nomes de domínio quase idênticos aos reais. Truques comuns incluem substituir caracteres (uniswap vs un1swap), adicionar palavras extras (app-uniswap.org) ou usar domínios de nível superior diferentes (uniswap.io em vez de uniswap.org). Em 2022, um site falso de airdrop da Uniswap roubou mais de $8 milhões ao enganar usuários para assinarem transações de aprovação.
Defesa: Marque os URLs oficiais de cada protocolo DeFi que você usa. Nunca clique em links do Discord, Telegram, anúncios do Twitter ou resultados de busca do Google. Sempre verifique o domínio na barra de endereço do browser's antes de conectar sua carteira ou assinar qualquer transação.
Discord & Telegram Mensagens Diretas
Se alguém lhe enviar uma mensagem direta no Discord ou Telegram oferecendo "suporte," um "sorteio," ou um "airdrop", é uma fraude. Projetos legítimos nunca iniciam suporte via DMs. Golpistas se passam por administradores, moderadores e até fundadores de projetos usando imagens de perfil idênticas e nomes de usuário semelhantes. O Discord do Bored Ape Yacht Club foi comprometido em junho de 2022, resultando em $360,000 em NFTs roubados através de um link de mint falso.
Defesa: Desative DMs de membros do servidor nas configurações de privacidade do Discord. Nunca clique em links enviados via DM. Se alguém afirmar ser do "suporte," verifique no canal oficial do projeto.
Fraudes de Airdrop & Ataques de Dusting
Golpistas enviam tokens sem valor para sua carteira que parecem ter valor. Quando você tenta trocar ou vendê-los, o token contrato inteligente ou rouba seus tokens através de uma aprovação oculta ou redireciona você para um site de phishing. Alguns tokens são projetados para ser insuscetíveis à venda, exibindo um alto valor nos exploradores de blocos, mas falhando em todas as transações de venda.
Defense: Ignore tokens inesperados na sua carteira. Não interaja com eles, não tente vendê-los e não visite nenhum site listado no nome ou descrição do token. Se um token apareceu na sua carteira sem que você o comprasse, trate-o como malicioso.
Phishing de Aprovação
Este é o ataque comum mais sofisticado. Um site ou dApp malicioso pede que você assine o que parece ser uma transação normal, mas na verdade está aprovando um contrato inteligente para gastar quantidades ilimitadas dos seus tokens. O atacante então chama o contrato para drenar sua carteira a qualquer momento. O phishing de aprovação representou mais de US$ 374 milhões em perdas em 2023, segundo o Scam Sniffer.
Defesa: Sempre leia o que você está assinando na sua carteira. Se um site solicitar aprovação de token "ilimitada", rejeite e defina um valor específico. Use extensões de carteira como Rabby ou Pocket Universe que simulam transações e avisam antes de você assinar algo perigoso.
Segurança de Contratos Inteligentes
Cada vez que você interage com um DeFi protocolo, você está confiando em um contrato inteligente com seus fundos. Contratos inteligentes são códigos imutáveis implantados na blockchain. Uma vez aprovados, eles podem executar ações em seus tokens sem permissão adicional. Gerenciar suas interações de contrato é uma parte crítica da segurança cripto.
Verificar & Revogar Aprovações de Token
Toda interação DeFi que envolve gastar seus tokens (troca, depósito, staking) requer uma aprovação de token. Com o tempo, sua carteira acumula dezenas de aprovações ativas, cada uma representando um contrato que tem permissão para movimentar seus tokens. Se algum desses contratos for explorado ou for malicioso, seus fundos ficam em risco.
Use revoke.cash para auditar suas aprovações em todas as cadeias. Conecte sua carteira, revise todas as aprovações ativas e revogue quaisquer que você não use mais. Faça disso um hábito mensal. Cada revogação custa uma pequena taxa de gás, mas elimina um vetor de ataque potencial. Também considere o Etherscan's Verificador de Aprovações de Token (etherscan.io/tokenapprovalchecker) para revisões específicas do Ethereum.
Limitar Quantidades de Aprovação de Token
Quando um protocolo DeFi solicita aprovação de token, normalmente solicita aprovação "ilimitada" por padrão. Isso significa que o contrato pode gastar todo o seu saldo desse token a qualquer momento. Em vez disso, aprove apenas o valor exato que pretende usar. O MetaMask permite que você edite o valor da aprovação antes de confirmar.
Sim, você precisará aprovar novamente para transações futuras, e cada aprovação custa gás. Mas a compensação de segurança vale a pena. Se o hack do frontend da Badger DAO em dezembro de 2021 nos ensinou algo (usuários perderam US$ 120 milhões porque tinham aprovações ilimitadas para um contrato comprometido), é que aprovações ilimitadas são uma bomba-relógio.
Verificar contratos em exploradores de blocos
Antes de interagir com um novo protocolo, verifique o endereço do contrato no Etherscan (ou no explorador de blocos da cadeia relevante). Contratos legítimos terão código-fonte verificado, significando que você pode ler o código real implantado na cadeia. Contratos não verificados são um sinal de alerta. Verifique se o endereço do contrato corresponde ao que o projeto lista em sua documentação oficial.
Procure por padrões de proxy (contratos atualizáveis), que são comuns em DeFi, mas aumentam o risco porque a equipe pode alterar a lógica do contrato. Verifique se o contrato está protegido por multisig ou timelock, o que significa que as alterações requerem múltiplas aprovações e um período de espera.
Lista de Verificação de Segurança DeFi
Antes de depositar fundos em qualquer DeFi protocolo, siga esta lista de verificação. Nem todo protocolo que parece legítimo é seguro. Rug pulls, código mal escrito e explorações econômicas podem resultar na perda total dos fundos. A devida diligência é sua responsabilidade.
| Verificar | O que procurar | Nível de risco se ausente |
|---|---|---|
| Auditorias de Segurança | Pelo menos uma auditoria reputável (Trail of Bits, OpenZeppelin, Spearbit, Cantina). Leia o relatório de auditoria e verifique se as descobertas foram corrigidas. | Crítico |
| Valor Total Bloqueado (TVL) | Um TVL mais alto geralmente significa código mais testado em batalha. Seja cauteloso com protocolos com TVL abaixo de $10M. Verifique as tendências de TVL no DefiLlama. | Alto |
| Team & Track Record | Equipe doxxed com identidades verificáveis. Equipes anônimas apresentam risco maior. Verifique se os membros da equipe têm projetos anteriores e reputações. | Alto |
| Tempo no Mercado | Protocolos que estão ativos há mais de 1 ano sem incidentes apresentam risco menor. Novos protocolos (com menos de 3 meses) acarretam risco significativamente maior. | Alto |
| Código Aberto | Código-fonte verificado no explorador de blocos. Contratos de código fechado podem conter backdoors ocultos ou mecanismos de taxa. | Crítico |
| Segurança de Oráculo | Usa preço confiável oráculos (Chainlink, Pyth). Protocolos que utilizam oráculos TWAP on-chain são vulneráveis a ataques de manipulação de preço. | Crítico |
| Comece pequeno | Deposite primeiro um pequeno valor de teste. Aguarde alguns dias. Verifique se pode retirar com sucesso antes de comprometer valores maiores. | Melhor prática |
Segurança de Exchange
As exchanges centralizadas (Coinbase, Kraken, Binance) são convenientes para comprar, vender e negociar cripto. Mas, como diz o ditado: "Não são suas chaves, não é sua cripto." Quando você mantém fundos em uma exchange, está confiando que a empresa protegerá seus ativos. Mt. Gox (2014, 850,000 BTC roubados), QuadrigaCX (2019, $190M perdidos quando o fundador morreu com acesso exclusivo às carteiras frias), e FTX (2022, $8B em fundos de clientes desaparecidos) são lembretes claros desse risco.
Se precisar manter fundos em uma exchange para fins de negociação, maximize a segurança da sua conta com estas medidas.
Ativar 2FA com chave de hardware
Use uma YubiKey ou a chave Google Titan para login e confirmação de saque. Isso elimina os riscos de troca de SIM e comprometimento de autenticadores. A maioria das principais exchanges suporta chaves de hardware FIDO2/WebAuthn.
Lista branca de saques
Ative a lista branca de endereços para que os saques possam ser enviados apenas para endereços pré-aprovados. A maioria das exchanges impõe um período de espera de 24 a 48 horas antes que um endereço recém-adicionado à lista branca se torne ativo, dando-lhe tempo para reagir se for comprometido.
Código Anti-Phishing
Configure um código anti-phishing (disponível na Binance, Kraken e outras). Cada e‑mail legítimo da exchange incluirá seu código único. Se um e‑mail não contiver seu código, trata‑se de uma tentativa de phishing.
Minimize as posições em exchanges
Mantenha na exchange apenas o que você precisa para negociação ativa. Transfira holdings de longo prazo para uma carteira de hardware. Trate as exchanges como pontos de entrada e saída, não como armazenamento.
O que fazer se você for hackeado
Se você suspeita que sua carteira foi comprometida, velocidade é tudo. O atacante pode estar drenando seus ativos em tempo real. Siga estes passos imediatamente, na ordem.
Revogue todas as aprovações de token imediatamente
Acesse revoke.cash, conecte sua carteira e revogue todas as aprovações ativas. Isso impede que o atacante drene tokens por meio de explorações baseadas em aprovações. Priorize primeiro as aprovações de tokens de alto valor.
Transferir fundos restantes para uma carteira segura
Crie uma nova carteira em um dispositivo limpo (de preferência uma carteira de hardware). Transfira todos os ativos restantes da carteira comprometida para a nova. Se sua frase-semente foi vazada, todos os endereços derivados dela estão comprometidos, incluindo endereços em outras cadeias.
Proteja suas contas
Altere as senhas do seu e‑mail, contas de exchange e qualquer serviço conectado à carteira comprometida. Se suspeitar de malware no seu computador, não use esse dispositivo para acessar quaisquer contas de cripto até que ele seja limpo ou apagado profissionalmente.
Relatar & Documentar
Registre um boletim de ocorrência (necessário para reivindicações de seguro e processos legais). Reporte os endereços do atacante ao Chainalysis, TRM Labs e ao sistema de denúncia de abuso da blockchain relevante. Se os fundos foram enviados para uma exchange centralizada, entre em contato com a equipe de conformidade da exchange imediatamente, pois eles podem congelar a conta.
Forense de Blockchain
Para perdas significativas, considere contratar uma empresa de forense de blockchain. Empresas como Chainalysis, TRM Labs e ZachXBT (um investigador independente on‑chain) podem rastrear fundos roubados através de cadeias e de mixers. Algumas vítimas recuperaram ativos por meio de ação legal após os fundos serem rastreados até contas de exchange identificáveis.
Rendimento Prioritário à Segurança em USDC
Coinstancy prioriza a segurança para que você não precise escolher entre segurança e rendimento. Ganhe 7% de APY em USDC com capitalização diária, sem bloqueio, e saques instantâneos sempre que precisar dos seus fundos.
Comece a ganhar na CoinstancyPerguntas Frequentes
Qual é a forma mais segura de armazenar criptomoedas?
É possível recuperar criptomoedas roubadas?
É seguro manter criptomoedas em uma exchange?
O que devo fazer se cliquei em um link de phishing?
O que é uma aprovação de token e por que é perigosa?
A autenticação de dois fatores é suficiente para proteger minhas criptomoedas?
Continuar aprendendo
Explore mais guias sobre carteiras, contratos inteligentes e fundamentos de DeFi.
Como usar MetaMask
Configure o MetaMask, conecte-se a aplicativos DeFi e gerencie seus tokens com segurança usando este guia passo a passo.
Ler Guia GuiaO que é um contrato inteligente?
Entenda como funcionam os contratos inteligentes, por que são importantes para DeFi e como interagir com eles com segurança.
Ler Guia GuiaO que é APY em cripto?
Aprenda como o APY funciona no DeFi, a diferença entre APR e APY e como a capitalização aumenta seus retornos.
Ler GuiaProteja sua criptomoeda e faça-a crescer
Agora que seus fundamentos de segurança estão em vigor, coloque seu USDC para trabalhar. Ganhe 7% de APY em USDC com a Coinstancy — capitalização diária, sem período de bloqueio e saques instantâneos.
Comece a ganhar na CoinstancyMantenha-se Seguro, Ganhe com Confiança
Com práticas de segurança robustas em vigor, ganhe 7% de APY em USDC com a Coinstancy — capitalização diária e saques instantâneos.