Um rastreador de portfolio de cripto é um software que recolhe saldos e histórico de transações das suas carteiras e exchanges para que possa ver tudo num só lugar, mas a questão central não são as funcionalidades, é a confiança. Antes de ligar qualquer ferramenta, é preciso verificar se esta pede apenas acesso de leitura, perceber como avalia os ativos, confirmar que é possível exportar os seus dados e analisar se o fornecedor já foi alguma vez alvo de uma violação de dados.
Pontos-chave
- A verificação mais importante é se o rastreador utiliza verdadeiro acesso de leitura (endereços públicos, chaves API só de leitura) ou se lhe pede para assinar mensagens ou entregar uma seed phrase.
- A forma como um rastreador atribui preço aos seus ativos (APIs de CEX, oráculos on-chain, introdução manual) altera de forma significativa a precisão do valor do portfolio apresentado.
- Os seus dados devem manter-se portáteis: procure exportação por CSV ou API e trate os rastreadores que o prendem ao serviço como um risco a longo prazo.
- A violação da CoinStats em 2023 expôs cerca de 1,5 milhões de carteiras após o comprometimento de uma conta de fornecedor, por isso o histórico de violações é tão importante quanto a lista de funcionalidades.
Porque o rastreador que escolhe é sobretudo uma decisão de segurança
Se detém ativos em duas ou três cadeias, além de algumas contas em exchanges centralizadas, um rastreador de portfolio parece um upgrade de qualidade de vida. Ligue as suas carteiras, ligue as chaves API só de leitura das suas exchanges e, de repente, tem um único painel com o património líquido total, a alocação e o desempenho. A maioria dos sites de análise trata isto como uma comparação de gráficos, alertas e exportações fiscais. Essa perspetiva falha o essencial.
Um rastreador de portfolio é um terceiro que, por definição, ganha visibilidade sobre os endereços e contas que mais lhe interessam. Os roubos, campanhas de phishing e malware drainer ao longo dos últimos anos têm mostrado repetidamente que o elo mais fraco nas criptomoedas raramente é a blockchain em si. São os serviços off-chain em que as pessoas confiam para obter acesso de leitura, capacidade de assinatura ou, pior, custódia. Um rastreador que peça mais do que o necessário pode tornar-se um ponto único de falha em toda a sua posição.
É por isso que a forma mais útil de avaliar um rastreador é como uma análise de segurança disfarçada de comparação de funcionalidades. Cada caixa que assinala, incluindo alertas, acompanhamento de posições DeFi e relatórios fiscais, também amplia o que o fornecedor pode ver e o que acontece se o fornecedor for comprometido. Trate o resto deste artigo como uma lista de verificação, mas trate as questões de segurança como inegociáveis.
Acesso só de leitura versus as permissões que esvaziam carteiras em silêncio
A distinção mais importante neste espaço é entre o verdadeiro acesso só de leitura e as muitas variantes de ligação a carteiras que parecem só de leitura, mas não são. Uma ligação legítima só de leitura funciona de uma de duas formas. Para uma carteira de custódia própria, o rastreador ou observa o endereço público que cola, ou utiliza uma assinatura de carteira que prova que controla o endereço sem conceder qualquer autoridade on-chain. Para uma conta numa exchange, cria uma chave API apenas com permissões de leitura, sem negociação, sem levantamento.
Qualquer coisa para além disso é um sinal de alarme. Mais concretamente, preste atenção a três padrões.
- Pedidos de seed phrase ou chave privada. Nenhum rastreador legítimo precisa disto. Se uma ferramenta o pedir, feche o separador. Ferramentas que exigem seed phrases são quase sempre esquemas ou, na melhor das hipóteses, carteiras de custódia disfarçadas de rastreadores.
- Pedidos de início de sessão com carteira que incluam aprovações de tokens. O login baseado em carteira (muitas vezes designado Sign in with Ethereum ou semelhante) produz normalmente uma assinatura que comprova a titularidade do endereço e não faz mais nada. Uma versão maliciosa inclui nesse mesmo fluxo uma aprovação ERC-20 ou uma chamada setApprovalForAll, dando à dApp permissão para mover tokens ou NFTs específicos. Leia o pedido de assinatura linha a linha antes de assinar.
- Chaves API de exchange com levantamentos ativados. Mesmo em exchanges legítimas, quando cria uma chave API costuma ver opções para leitura, negociação e levantamento. A única definição correta para um rastreador é leitura. Os levantamentos devem estar desativados e, idealmente, a chave deve estar restringida por IP aos servidores do rastreador, se a exchange o permitir.
Os rastreadores reputados tornam explícita, na sua documentação, a natureza de leitura da ligação. Se não encontrar uma declaração clara do que a ligação pode e não pode fazer, isso é, por si só, um sinal. A confiança conquista-se tanto pela documentação como pelo código.
Como os rastreadores avaliam os seus ativos e por que dois rastreadores podem discordar em 10%
Depois de um rastreador obter os seus saldos, ele tem de os converter num número que lhe seja familiar. Existem três abordagens comuns, e cada uma tem modos de falha que deve conhecer.
Preços via API de CEX. O rastreador obtém preços das principais corretoras centralizadas, como Coinbase ou Binance. Isto é simples e geralmente exato para os principais tokens, como BTC e ETH, mas herda as peculiaridades da corretora: livros de ordens com pouca liquidez, restrições regionais e, ocasionalmente, tokens deslistados ou relistados. Um rastreador que dependa de uma única CEX para os preços mostrará, por vezes, valores desatualizados ou distorcidos para ativos menos líquidos.
Preços on-chain. Alguns rastreadores obtêm preços diretamente de fontes on-chain, como pools da Uniswap ou feeds de oráculos como a Chainlink. Isto é apelativo porque não depende de uma plataforma centralizada, mas as pools de DeFi podem ser manipuladas ou ter pouco volume, sobretudo em torno de novos lançamentos de tokens. Um token cujo preço seja obtido de uma pool com pouca liquidez pode mover-se 20% numa única troca, o que aparecerá depois como um ganho ou perda fantasma na sua carteira.
Sobrescrita manual. Os melhores rastreadores permitem-lhe marcar um token como ilíquido, fixar um preço personalizado ou excluí-lo totalmente dos totais. Isto não é um detalhe cosmético. Se detém tokens com liquidez partida ou vesting bloqueado, a avaliação automática irá enganá-lo com frequência. A sobrescrita manual é a diferença entre um número de carteira que consegue defender e um que não consegue.
Dois rastreadores a mostrarem património líquido diferente para a mesma carteira não é um erro. É o resultado previsível de diferentes fontes de preços, diferentes intervalos de atualização e diferentes regras para tratar ativos sem preço. A pergunta certa não é qual dos números está certo, mas sim qual método corresponde à forma como realmente pensa nas suas posições.
Exportação de dados, aprisionamento e o que acontece se o rastreador encerrar
Toda a empresa de SaaS acaba por ter um trimestre mau. As ferramentas de acompanhamento, sobretudo as gratuitas, são particularmente vulneráveis porque a economia unitária de obter dados on-chain em dezenas de chains não é simpática. Quando um rastreador encerra ou muda de rumo, os seus dados não devem desaparecer com ele.
Antes de ligar qualquer coisa, verifique quais as opções de exportação que o rastreador oferece. O padrão de referência é CSV mais uma API documentada. O CSV é universal, funciona com folhas de cálculo e é fácil de migrar para outra ferramenta. O acesso por API é mais poderoso, mas importa sobretudo se planear construir os seus próprios painéis.
O espetro realista é o seguinte.
- Exportação completa em CSV e API. Ferramentas como Rotki e Koinly são fortes aqui. O Rotki, em particular, guarda tudo numa base de dados SQLite local por predefinição, para que tenha sempre a sua própria cópia.
- Apenas CSV, por vezes parcial. Comum entre rastreadores de gama média. Aceitável, mas verifique se o CSV inclui base de custo, histórico de transações e avaliações históricas, e não apenas os saldos atuais.
- Sem qualquer exportação, ou exportação atrás de um plano pago. Um sinal de alerta claro. Se os dados só são utilizáveis dentro do produto, o produto está, na prática, a manter o seu histórico financeiro refém.
O aprisionamento é um risco silencioso. Se um rastreador for a sua única fonte de desempenho histórico e de registos fiscais, os custos de mudança tornam-se dolorosos mesmo que o serviço se degrade. Tratar a qualidade da exportação como um dos três critérios principais, a par das permissões e do preço, é a opção aborrecida, mas correta.
A brecha da CoinStats em 2023 e o que ensina a todos os utilizadores de rastreadores
Em junho de 2023, a CoinStats, um dos rastreadores de carteiras mais usados, divulgou um incidente de segurança que acabou por ser uma das brechas mais graves registadas num rastreador. Os atacantes comprometeram a conta de um funcionário da CoinStats e usaram depois esse acesso para publicar uma versão maliciosa da aplicação capaz de exfiltrar dados de carteiras de cerca de 1,5 milhões de utilizadores. Cerca de 1.600 carteiras foram esvaziadas no ataque subsequente, com perdas reportadas na ordem dos milhões de dólares.
O incidente vale a pena refletir porque ilustra várias lições que se aplicam independentemente do rastreador que utiliza.
- A confiança vive na camada da aplicação. Uma arquitetura apenas de leitura não salvou os utilizadores afetados, porque a brecha aconteceu a montante, no pipeline de build do próprio fornecedor. Assinar uma mensagem numa versão maliciosa do cliente é funcionalmente idêntico a assinar uma mensagem num site de phishing.
- Carteiras quentes expostas a um rastreador representam um raio de explosão maior do que carteiras frias. Os utilizadores cujas perdas se limitaram a uma hardware wallet ou a fundos numa corretora centralizada tiveram resultados muito diferentes dos que tinham ligado uma carteira quente usada para trading ativo.
- A concentração é risco. Muitos utilizadores tinham ligado todas as carteiras e contas de corretoras a um único rastreador por conveniência. A brecha transformou o comprometimento de uma conta num evento à escala de toda a carteira.
A CoinStats respondeu, melhorou a sua postura de segurança e continua a operar. O objetivo não é apontar o dedo a nenhum fornecedor em particular. O ponto é que qualquer rastreador, incluindo os mais reputados, pode ser o vetor de um comprometimento que não ativou diretamente. A medida defensiva é limitar o que qualquer rastreador pode ver, separar saldos quentes e frios e assumir que qualquer ferramenta de terceiros a que se ligar acabará, mais cedo ou mais tarde, por ser comprometida.
Comparação lado a lado: Zerion, DeBank, CoinStats, Rotki e Koinly
Nenhuma das ferramentas abaixo é universalmente a melhor. Cada uma foi construída em torno de uma compensação diferente, e o tamanho da sua carteira, a sua tolerância em alojar o seu próprio software e a sua situação fiscal devem orientar a escolha.
Zerion. Uma combinação de carteira e portfolio com forte cobertura de DeFi em chains EVM e Solana. Liga-se via assinatura de carteira, sem necessidade de seed phrase. Os preços baseiam-se em fontes on-chain, pelo que é geralmente exato para tokens líquidos, mas pode divergir em ativos de cauda longa. A exportação está disponível, mas é mais limitada do que a das ferramentas fiscais dedicadas. Ideal para utilizadores que vivem sobretudo em DeFi e querem uma única interface para trocar, fazer bridge e acompanhar.
DeBank. Área de superfície semelhante à Zerion, com uma vista particularmente limpa de posições multichain e funcionalidades sociais. As permissões são apenas de leitura via assinatura de carteira. As fontes de preços são semelhantes. A DeBank é adequada para utilizadores com posições em muitas chains e protocolos mais pequenos, onde a sua cobertura tende a ser mais ampla do que as alternativas.
CoinStats. Um rastreador generalista com amplo suporte de CEX e uma aplicação móvel polida. Liga-se via assinatura de carteira ou API de exchange apenas de leitura. Tem o historial de brechas mais profundo desta lista (ver acima), pelo que utilizadores com saldos relevantes devem ponderar esse historial com cuidado face à conveniência.
Rotki. A opção auto-hospedada. O Rotki corre localmente na sua máquina, obtém dados de nós públicos de blockchain e das APIs que configurar, e guarda tudo numa base de dados local. Nenhum terceiro vê as suas moradas, a menos que decida partilhar. A contrapartida é que tem de o manter, as sincronizações são mais lentas e a configuração inicial é mais pesada. Para utilizadores com mais fundos do que confiariam a qualquer rastreador SaaS gratuito, o Rotki é a resposta séria.
Koinly. Primeiro o imposto. A Koinly está otimizada para gerar relatórios de mais-valias em dezenas de jurisdições, com ampla integração de corretoras e chains e uma forte importação por CSV para quem não quer conceder acesso por API. Menos um painel de uso diário, mais uma mula de trabalho de fim de ano.
Lista de verificação prática antes de ligar qualquer rastreador
Use isto como uma verificação rápida e assertiva antes de colar uma morada ou gerar uma chave de API em qualquer lado.
- Confirme que a ligação é mesmo só de leitura. A ligação da carteira deve ser apenas uma assinatura, sem aprovações de tokens incluídas. As chaves de API da exchange devem ter levantamentos desativados e, de preferência, com restrição de IP.
- Verifique o modelo de preços. Perceba se os preços vêm de livros de ordens de CEX, de pools on-chain ou de ambos. Decida se precisa de substituição manual para tokens com pouca liquidez.
- Teste a exportação antes de assumir o compromisso. Gere uma pequena exportação, abra-a e confirme que inclui base de custo, histórico de transações e valorizações históricas. Não espere até ao final do ano para descobrir que a exportação está bloqueada por trás de um plano pago.
- Analise o histórico de incidentes do fornecedor. Um historial limpo não garante segurança futura, mas uma violação conhecida é um sinal real sobre a forma como o fornecedor lida com a segurança.
- Segmente a sua exposição. Ligue uma hot wallet para negociar, mas considere deixar a sua carteira hardware principal ou as participações de longo prazo fora de qualquer rastreador. Se o rastreador for comprometido, quer que o raio de impacto seja pequeno.
- Revogue periodicamente os acessos não utilizados. As chaves de API da exchange, as assinaturas de carteira e as aprovações de tokens devem ser revistas e podadas de forma regular, idealmente uma vez por trimestre.
Seguir esta lista não torna nenhum rastreador perfeitamente seguro. Nada ligado à internet é. No entanto, dá-lhe uma forma estruturada de escolher um rastreador que corresponda ao montante que realmente detém e ao quanto perderia se acontecesse o pior.
Mantenha-se à frente dos riscos dos rastreadores de carteira com sinais de mercado mais afinados
Os incidentes de segurança na camada de rastreamento surgem rapidamente, e o mesmo acontece com as explorações que se seguem. Um novo wallet drainer, uma violação de um fornecedor de rastreadores ou uma alteração na forma como uma ferramenta popular gere permissões podem afetar as suas participações de um dia para o outro. Acompanhar manualmente estes sinais pelo X, Discord, GitHub e uma dúzia de órgãos de comunicação de criptomoedas é uma batalha perdida. A Zippfeed destaca notícias sobre rastreadores de carteira e notícias mais amplas sobre segurança em cripto, com pontuação de sentimento (bullish, neutral ou bearish) e uma classificação de importância, para que possa reagir a ameaças reais antes de chegarem às suas carteiras.