Como manter as suas criptomoedas seguras: lista de verificação prática

Porque é que a "segurança em cripto" é, na verdade, uma lista de modos de falha e não uma lista de produtos

A razão pela qual os guias genéricos de segurança parecem insatisfatórios é que descrevem ferramentas sem descrever os ataques. Dizem-lhe para "usar uma carteira física" e para "ter cuidado online", o que parece razoável até surgir um e-mail de phishing que parece exatamente um aviso real da Ledger, ou até precisar de assinar uma transação na MetaMask e a matemática do gas aparecer em números que não reconhece. Nesse momento, "ter cuidado" não é uma estratégia.

Ajuda pensar na segurança em cripto como uma lista de modos de falha, as formas específicas pelas quais as pessoas efetivamente perdem fundos. Assim que se conhece o modo de falha, o hábito certo quase se escolhe sozinho. A maioria das perdas documentadas enquadra-se em cerca de seis categorias: sites e e-mails de phishing que roubam credenciais ou frases-semente, contas de suporte falsas em redes sociais, extensões de browser maliciosas e sites drenadores, a assinatura cega de uma transação que esvazia a sua carteira, o envio de fundos para a rede ou endereço errado, e exchanges centralizadas que se tornam insolventes ou congelam levantamentos.

Alguns destes podem ser totalmente neutralizados com um único hábito. Outros só é possível reduzir. O truque é combinar o hábito com o modo de falha, não acumular aplicações. Um gestor de palavras-passe, mais uma carteira física, mais guardar nos favoritos os URLs das suas exchanges derrotarão a maioria dos ataques reais em 2024 e 2025. Uma montanha de extensões de browser e um grupo de "alpha" no Telegram não.

Os riscos reais contra os quais está, de facto, a proteger-se

Antes de percorrer a lista de verificação, vale a pena identificar os riscos em linguagem simples, para saber aquilo de que se está a defender.

E-mails de phishing que parecem avisos reais de empresas. Em 2020, o fabricante de carteiras físicas Ledger revelou uma falha de segurança na base de dados de e-mails dos clientes. Anos depois, os scammers continuam a enviar mensagens quase idênticas a comunicações reais da Ledger, com os mesmos tipos de letra e rodapé, a pedir aos utilizadores para "verificarem a sua frase de recuperação" ou "instalarem uma atualização de firmware crítica". Qualquer pessoa que introduza as 24 palavras na página ligada perde tudo. Os atacantes são pacientes e os e-mails são convincentes.

Contas de suporte falsas no X e no Discord. Pesquise qualquer carteira ou exchange importante no X e encontrará dezenas de contas parecidas a responder a utilizadores com "envie-me uma DM para ajudar". O agente falso guia o utilizador a "ressincronizar" a carteira, levando-o a colar uma frase-semente ou a assinar uma transação. O mesmo padrão acontece no Discord, onde bots com aparência oficial enviam DMs aos utilizadores sobre "atualizações de segurança".

Sites drenadores que se fazem passar por mints, airdrops ou bridges. Uma página de "mint grátis", uma página de "reclame o seu airdrop" ou uma interface de bridge falsa pede-lhe para ligar a sua carteira e, em seguida, solicita uma assinatura que concede ao site autorização para mover tokens específicos. A transação está redigida em inglês, mas a aprovação subjacente não está, e uma vez assinada pode ficar inativa durante semanas antes de drenar os fundos.

Insolvência de exchanges e congelamento de levantamentos. Este é o modo de falha que as pessoas esquecem, porque não se parece de todo com um ataque. Quando a exchange centralizada FTX colapsou em novembro de 2022, os clientes não perderam fundos por causa de um e-mail de phishing. Perderam-nos porque a empresa que guardava os seus saldos faliu. O mesmo padrão repetiu-se, em menor escala, com a Celsius, a Voyager, a BlockFi e várias plataformas offshore. Uma exchange centralizada (CEX) é uma custodiante: conveniente, mas não é o mesmo que possuir cripto em pessoa.

Explorações de contratos inteligentes. Se interagir com finanças descentralizadas (DeFi), está a confiar que o código subjacente não tem falhas que um ladrão possa explorar. As bridges, em particular, têm sido alvo: Ronin, Wormhole, Harmony, Nomad e outras perderam, no total, centenas de milhões de dólares. Enquanto utilizador, não é possível corrigir este risco, mas pode escolher se quer, ou não, assumi-lo.

A checklist prática, ordenada por impacto

Os itens abaixo estão listados, de forma aproximada, por ordem de alavancagem, ou seja, quanto risco cada um elimina pelo tempo que exige. Não é preciso fazer tudo de uma vez. Mesmo os três primeiros já o colocarão à frente da maioria dos detentores.

1. Mova saldos relevantes para uma hardware wallet

Uma hardware wallet, como as vendidas pela Ledger, Trezor e alguns outros fabricantes mais pequenos, é um pequeno dispositivo que guarda as suas chaves privadas num chip que nunca é exposto diretamente ao seu computador. Quando pretende enviar cripto, prepara a transação no computador e confirma-a fisicamente no dispositivo, premindo botões. Mesmo que o seu portátil esteja totalmente comprometido, as chaves não saem do dispositivo sem que carregue nos botões.

O limiar para "devo preocupar-me com isto" costuma ser formulado assim: qualquer montante que não levaria consigo numa carteira física vale a pena retirar de uma exchange ou hot wallet. Para muitas pessoas, isso é tudo o que ultrapasse algumas centenas de euros. Não precisa de colocar cada euro numa hardware wallet, mas as participações de longo prazo pertencem lá.

Um erro comum é comprar uma hardware wallet, configurá-la e depois continuar a deixar fundos na exchange porque é mais fácil negociar. A hardware wallet só protege o que está efetivamente nela.

2. Atribua a cada exchange e carteira um email único, palavra-passe forte e 2FA

A maioria dos roubos de contas começa com credential stuffing, em que os atacantes tentam pares de email e palavra-passe divulgados noutras violações contra todas as grandes exchanges. Se o início de sessão da sua exchange usar o mesmo email e palavra-passe que uma conta antiga de um fórum que foi comprometida em 2013, a sua conta está a uma base de dados de ser esvaziada.

A solução é mecânica e pouco glamorosa:

• Um email único para cada exchange, idealmente um alias dedicado que não utilize em mais nenhum lado.
• Uma palavra-passe longa e gerada aleatoriamente por um gestor de palavras-passe, nunca reutilizada.
• Autenticação de dois fatores (2FA) através de uma aplicação autenticadora como Aegis, Raivo ou Google Authenticator, e não por SMS, uma vez que os SIM swaps ainda são comuns.

Este único hábito, aplicado a todas as contas que envolvem dinheiro, elimina a maior parte dos ataques baseados em credenciais.

3. Guarde os URLs de exchanges e carteiras nos favoritos e nunca clique em links

A maioria das histórias do tipo "fui vítima de phishing" começa com um anúncio do Google, um resultado de pesquisa ou um link num email que parecia certo, mas estava com um ou dois caracteres trocados. Escrever o URL da sua exchange na barra de endereço é aceitável. Clicar no anúncio no topo para "iniciar sessão na Binance" é uma moeda ao ar.

Crie uma pequena pasta de favoritos para sites de cripto. Use esses favoritos para sempre. Se um email ou mensagem lhe pedir para iniciar sessão por qualquer motivo, abra o favorito, não o link. Este é o hábito mais barato e rápido da lista e um dos mais eficazes.

4. Guarde a sua seed phrase offline, idealmente em metal

A sua seed phrase, as 12 ou 24 palavras geradas quando configura uma carteira, é a chave mestra para todas as moradas dela derivadas. Quem tiver essas palavras tem a sua cripto, ponto final. Não há apoio ao cliente que possa reverter isto, nem transação que possa ser anulada.

Duas regras cobrem a maior parte do risco:

• Nunca escreva as palavras num site, numa janela de chat, num formulário ou num Google Doc. Nenhuma empresa, agente ou "representante de apoio" legítimo lhe pedirá essas palavras.
• Nunca as guarde de uma forma que exija um dispositivo ligado para as ler. Fotos na galeria do telemóvel, notas no telefone e gestores de palavras-passe são locais maus para uma seed phrase, pois podem ser exfiltrados.

O papel serve para montantes moderados, mas o papel arde, molha-se e desvanece. Para qualquer valor que lhe custasse perder, grave ou estampe as palavras numa placa de armazenamento de seed em metal concebida para o efeito. Guarde uma cópia num local seguro e, idealmente, uma segunda num local físico diferente.

5. Nunca assine transações de carteira que não compreenda por completo

Quando utiliza uma carteira de autocustódia como MetaMask, Rabby ou Frame, cada ação termina com uma assinatura. Algumas assinaturas movem fundos. Outras aprovam um contrato para movimentar um token específico em seu nome. Outras concedem aprovação ilimitada e permanente para esvaziar esse token. A interface da carteira mostra-lhe o resumo legível, mas o que conta são os dados subjacentes.

Antes de assinar qualquer coisa, faça a si mesmo três perguntas:

• O que estou, de facto, a aprovar? Leia o nome da função e a morada do spender, não apenas o valor em euros.
• Isto é um "approve" ou um "setApprovalForAll"? São estas as assinaturas que esvaziam carteiras, muitas vezes dias depois.
• O site corresponde ao que esperava estar a utilizar? Se clicou num link, aterrou mesmo no domínio verdadeiro?

Na dúvida, rejeite e pergunte a alguém em quem confia. Rejeitar uma transação não tem custos. Aceitar a errada, muitas vezes, não tem recuperação.

6. Mantenha um pequeno saldo "de despesas" e um saldo "de poupanças" separado

A maioria das pessoas só precisa de uma hardware wallet para as suas participações de longo prazo. Para o dia a dia, uma hot wallet com um saldo pequeno é mais prática. Separar os fundos desta forma significa que uma hot wallet comprometida só lhe custa o que, de qualquer forma, perderia se deixasse cair a sua carteira física.

A mesma lógica aplica-se às contas em exchanges. Não há razão para manter todo o seu património numa única CEX. Se negoceia, deixe na plataforma apenas o que está a utilizar ativamente.

7. Aprenda a diferença entre uma exchange que vai à falência e um hack a um smart contract

Estes são eventos muito diferentes, com recuperações muito diferentes.

Quando uma exchange centralizada vai à falência, como a FTX, Celsius ou Voyager, o seu nome fica numa lista de credores. Dependendo da jurisdição e dos ativos recuperados, poderá recuperar parte dos seus fundos, anos depois, com um corte. O problema foi a custódia: a exchange juntou os fundos dos clientes e utilizou-os. A lição é que numa CEX tem um IOU, não cripto.

Quando um smart contract é hackeado, como uma bridge ou um protocolo de empréstimos, os fundos desaparecem, em regra, de imediato. Não há empresa a processar, nem tribunal de falências. A recuperação, a existir, vem de um bounty a white hats, de uma votação de governação para um fork ou de uma luta legal lenta. A lição é que interagir com smart contracts é aceitar risco de execução de código.

Não é possível eliminar totalmente nenhum destes riscos, mas pode escolher quanto de cada um assume. A autocustódia elimina o primeiro. Evitar protocolos e bridges não auditadas elimina a maior parte do segundo.

Burla comuns para reconhecer à primeira vista

Mesmo com hábitos perfeitos, continuará a deparar-se com estas na vida real. Reconhecê-las à primeira vista é metade da batalha.

Páginas de "verifique a sua carteira" ou "sincronize o seu dispositivo". Nenhum fornecedor de carteiras legítimo lhe pedirá, alguma vez, para introduzir a sua seed phrase num site para a "verificar". Trata-se, sempre, de roubo.

Airdrops e mints falsos. Aparece um token na sua carteira que não comprou. Um site associado diz "claim" ou "mint". O site pede-lhe que assine uma transação que concede aprovações de tokens a um contrato controlado pelo atacante. O token foi enviado especificamente para servir de isco para esta assinatura.

Address poisoning. Copia uma morada para a qual já enviou, cola-a na sua carteira e envia. A morada está correta exceto nos últimos caracteres, porque foi gerada uma morada parecida e enviada uma pequena quantidade de dust para o seu histórico, para parecer familiar. Verifique sempre a morada completa, não apenas o início e o fim.

"Apoio ao cliente" que o contacta primeiro. Nenhum agente de apoio legítimo lhe enviará DM, ligará ou escreverá por email sem ser solicitado para o ajudar com a sua conta. Se alguém o fizer, é burla, ponto final.

Imitadores de ofertas de emprego e OTC desks. "Recrutadores" que oferecem empregos remotos em cripto levam, com frequência, as vítimas a instalar scripts ou a realizar "transações de teste" que se revelam drainers. Os imitadores de OTC desks oferecem-se para "ajudar" a trocar grandes saldos e desaparecem com os fundos.

O que fazer se algo correr mal

Nenhuma checklist é perfeita. Se suspeita que foi vítima de phishing, assinou uma transação maliciosa ou perdeu o acesso, a rapidez importa mais do que a elegância.

Se introduziu a sua seed phrase num site, parta do princípio de que a carteira está comprometida. Mova os fundos para uma carteira totalmente nova, gerada num dispositivo limpo, de imediato. Se não tiver uma hardware wallet, mesmo uma nova hot wallet é melhor do que a antiga.

Se assinou uma transação "approve" para um drainer, o drainer pode não agir de imediato. Alguns ficam à espera de um saldo elevado antes de varrer. Revogue as aprovações de tokens usando uma ferramenta como a página Token Approvals do Etherscan ou um revoker dedicado, e mova os fundos restantes para uma nova carteira sobre a qual o drainer não tenha aprovação.

Se a sua conta numa exchange foi comprometida, contacte a exchange pelos canais oficiais, não pelo email ou DM que recebeu. Levante os fundos restantes, se puder. Espere uma recuperação lenta e parcial, na melhor das hipóteses.

Para saldos maiores, considere serviços profissionais de recuperação apenas depois de verificar, de forma independente, a sua legitimidade, uma vez que o espaço da "recuperação" está, ele próprio, cheio de burlas secundárias que têm como alvo as vítimas.

Implicações práticas para os detentores do dia a dia

O resumo honesto é que a segurança em cripto é, sobretudo, uma higiene aborrecida e repetitiva, não trabalho técnico engenhoso. O mesmo punhado de hábitos protege contra o mesmo punhado de falhas, ano após ano. A razão pela qual as pessoas continuam a perder dinheiro não é que o conselho seja desconhecido. É que os hábitos não estão instalados antes do incidente.

Se está a começar de novo, faça estas quatro coisas esta semana:

• Configure uma hardware wallet e mova para lá as participações de longo prazo.
• Crie emails únicos e palavras-passe fortes para cada exchange que utiliza, com 2FA em cada uma.
• Guarde nos favoritos os URLs reais de cada exchange e carteira, e remova quaisquer palavras-passe guardadas para domínios parecidos.
• Certifique-se de que a sua seed phrase está escrita em algo offline, idealmente em metal, e de que não existe nenhuma cópia digital em lado nenhum.

Uma vez instalados, o esforço marginal passa para a consciência ao nível da transação: ler o que assina, reconhecer burlas e manter separadas as contas de despesas e de poupança. Nada disto exige especialização. Exige uma rotina.

Mantenha-se a par das notícias de segurança cripto

A segurança cripto evolui rapidamente e o mesmo acontece com as notícias a ela associadas: novos kits de phishing, campanhas de drenagem recentes, incidentes em exchanges e explorações de protocolos surgem diariamente. Acompanhá-las manualmente é uma batalha perdida. A Zippfeed destaca as principais notícias cripto com classificação de sentimento, bullish, neutral, ou bearish, e uma classificação de importância, para que possa identificar riscos reais antecipadamente em vez de os descobrir pelo saldo da sua carteira.