A carregar preços…

O que um rastreador de portfólio de cripto realmente faz com os seus dados

Read-only não significa isento de risco. Eis exatamente o que os rastreadores de portfólio veem, o que armazenam e onde os fluxos de dados já falharam.

O que um rastreador de portfólio de cripto realmente faz com os seus dados

O que um agregador de portfólio promete vs. o que realmente faz

Todos os agregadores de portfólio de cripto convencionais, desde o Zerion e a CoinStats ao Delta, Blockfolio e ao separador de portfólio dentro das aplicações de corretoras como a Coinbase ou Binance, vendem a mesma ideia: ligue as suas contas, veja uma imagem limpa e clara do seu património líquido através de carteiras, corretoras e blockchains.

A linguagem de marketing é quase sempre a mesma. "Acesso apenas de leitura." "Os seus fundos ficam na sua carteira." "Segurança de nível bancário." "Nunca tocamos nas suas chaves privadas." Para um iniciado a comparar cinco aplicações, essa linguagem soa tranquilizadora e largamente idêntica, e é exatamente por isso que merece ser desmontada.

A expressão "apenas de leitura" em cripto tem um significado técnico específico: as credenciais que entrega não podem, por si só, assinar uma transação que mova os seus fundos. Uma "view key" de carteira ou um "watch-only address" não pode enviar ETH. Uma chave de API apenas de leitura de uma corretora centralizada, configurada sem a permissão "trade", não pode colocar uma ordem na Binance. Nesse sentido restrito, o marketing é verdade.

O que o marketing quase nunca explica é a outra metade. Apenas de leitura diz respeito à assinatura, não à leitura. A mesma credencial que não pode mover as suas moedas pode mesmo assim ler tudo sobre elas: cada endereço na sua carteira, cada saldo de tokens, cada transação histórica, cada contraparte com quem transacionou, e no caso da corretora centralizada, cada operação, depósito e levantamento que alguma vez fez nessa conta.

Que dados saem efetivamente do seu dispositivo

Para lhe mostrar um portfólio, um agregador tem de receber um conjunto específico de dados seus. A lista exata varia consoante a aplicação, mas as categorias são estáveis em toda a categoria.

De uma ligação a uma carteira de custódia própria (WalletConnect, modo "read-only" da MetaMask, ou importação manual de endereço): o endereço público ou xPub/chave pública estendida de cada carteira que liga, o que expõe a árvore completa de endereços derivados, quer os tenha utilizado ou não, mais o histórico completo de transações on-chain associado a esses endereços, mais saldos de tokens e holdings de NFT no momento de cada sincronização. Um xPub, em particular, é uma janela permanente sobre cada endereço passado e futuro dessa carteira, portanto, uma vez que sai do seu dispositivo, não o consegue retirar facilmente.

De uma chave de API de uma corretora centralizada: a própria chave, mais os âmbitos que concedeu, tipicamente "read" de saldos da conta, "read" do histórico de operações e, por vezes, "read" de endereços de depósito. Se, por engano, marcou a caixa "enable trading" ou "enable withdrawals" ao gerar a chave, o agregador pode também colocar ordens ou iniciar levantamentos em seu nome. A maioria dos agregadores convencionais diz-lhe para deixar os âmbitos de operações e levantamentos desligados, mas a caixa de verificação está do lado da corretora e muitos utilizadores clicam sem pensar.

Do dispositivo e da camada de rede, independentemente do tipo de ligação: o seu endereço IP, que revela uma geolocalização e ISP aproximados, a sua string de user agent e impressão digital do dispositivo, o seu endereço de e-mail (tem de criar uma conta) e o seu token de notificações push, se optar por receber alertas. Se a aplicação utiliza análises de terceiros, tudo o que foi referido acima também é enviado a esses fornecedores.

Quase nenhum destes dados fica guardado apenas no seu telemóvel. O trabalho do agregador é precisamente agregá-los num servidor para lhe poder mostrar um painel, sincronizar entre dispositivos e (em muitos casos) alimentar relatórios fiscais, alertas e feeds de preços. A agregação num servidor é o produto. É também aí que vive o risco de privacidade.

Porque "só de leitura" não é o mesmo que "privado"

Numa blockchain pública como a Ethereum ou a Bitcoin, cada endereço de carteira já é público. Qualquer pessoa que saiba o teu endereço pode consultar os teus saldos e histórico num explorador de blocos. Portanto, num sentido restrito, um tracker está apenas a olhar para dados públicos por tua conta.

Mas existe uma grande diferença entre "posso colar um endereço no Etherscan" e "uma única empresa tem uma base de dados pesquisável que liga o meu email, o meu IP, o meu dispositivo e todos os endereços que alguma vez usei". Essa agregação é o evento relevante para a privacidade, e é o que os servidores do tracker realmente guardam.

Há três coisas que transformam essa agregação de algo ligeiramente desconfortável em algo verdadeiramente arriscado:

1. O agrupamento de endereços desanonimiza-te. Quando um tracker tem vários dos teus endereços, ele (e qualquer atacante que roube a sua base de dados) pode agrupá-los como pertencentes à mesma pessoa. Cruza esse cluster com nomes públicos do ENS, doxxing no Twitter, fugas de dados de KYC de exchanges, ou endereços de donativos que tenhas partilhado publicamente, e de repente o cluster passa a ter um nome associado.

2. Os dados são um alvo. Uma base de dados que liga emails a património líquido multi-chain, histórico de transações e contas em exchanges é exatamente o conjunto de dados que grupos organizados de phishing, "atacantes de chave inglesa" físicos e ladrões de identidade procuram. É também o conjunto de dados que autoridades fiscais, adversários em litígios e ex-parceiros em processos de divórcio podem solicitar judicialmente.

3. As violações de dados não são hipotéticas. A categoria já foi atingida, mais do que uma vez, e os casos abaixo não são histórias do vento.

Violações reais e casos por pouco que o marketing não vai mencionar

O padrão importa mais do que qualquer incidente isolado. Os trackers de carteira estão na interseção de três coisas que os atacantes querem: uma lista de utilizadores de cripto, provas de quanto cripto detêm, e credenciais ou APIs que, por vezes, conseguem chegar diretamente a esses fundos.

CoinStats, junho de 2024. Atacantes comprometeram os sistemas internos da CoinStats e usaram a própria funcionalidade de notificações push da plataforma para enviar links de phishing para 1.590 carteiras de utilizadores. As mensagens falsas foram personalizadas com os dados que a aplicação já tinha sobre esses utilizadores, o que as tornou particularmente convincentes. A CoinStats divulgou o incidente, encerrou partes do produto e alertou os utilizadores afetados para tratarem quaisquer pedidos de assinatura recebidos durante a janela como maliciosos.

Zerion, dezembro de 2022. Um atacante obteve brevemente acesso ao endpoint de API read-only da Zerion e usou-o para esvaziar carteiras de utilizadores que tinham sido enganados a assinar transações maliciosas noutro local. A infraestrutura read-only da Zerion não foi usada para mover fundos, mas o incidente mostrou como um tracker comprometido pode tornar-se uma plataforma de lançamento para novos ataques contra a sua base de utilizadores.

Blockfolio (agora app FTX), outubro de 2020. O sistema de notificações push "Signal" da Blockfolio foi sequestrado e usado para enviar spam, incluindo conteúdo pornográfico, a cerca de metade da base de utilizadores da app. Não se perderam fundos, mas a violação expôs quão fraca era a segurança operacional numa empresa que tinha acabado de ser adquirida.

SaaS de terceiros na cadeia de fornecimento. Vários trackers e exchanges viram dados de utilizadores expostos não através do seu próprio código, mas através de um fornecedor com quem os partilhavam, incluindo ferramentas de analytics, plataformas de apoio ao cliente e fornecedores de email. Esta é a mesma classe de violação que atingiu empresas como a Twilio e a Mailchimp, e os utilizadores de cripto estão sobre-representados nesses conjuntos de dados devido à utilização generalizada na indústria de ferramentas de KYC e onboarding amigas das criptos.

O fio condutor: em todos os casos, o atacante não precisou de "hackear uma blockchain". Hackeou uma empresa que já tinha agregado os dados por ele.

A funcionalidade de exportação fiscal como um pote de mel de dados

A maioria dos iniciantes adota um tracker de carteira por uma razão acima de todas as outras: a época de impostos. A IRS dos EUA trata a cripto como propriedade, muitas outras jurisdições têm regras semelhantes, e a única forma realista de declarar centenas ou milhares de transações é exportar um CSV ou PDF bem organizado de uma ferramenta que já fez o cálculo do custo de aquisição.

As exportações fiscais são convenientes e são também a funcionalidade mais sensível de toda a aplicação. Para as gerar, o tracker tem de manter, num só lugar, o teu histórico completo de transações ao longo de vários anos em todas as plataformas, cada transferência entre carteiras, cada ganho realizado, o teu histórico completo de entradas em fiat e (se a exportação incluir o modo "completo") por vezes os teus endereços de depósito e levantamento. Isso é uma imagem mais completa da tua vida financeira do que a maioria dos bancos guarda sobre ti num único ficheiro.

Daqui resultam dois riscos práticos:

Duração do armazenamento. Os registos fiscais devem ser conservados durante cerca de sete anos em muitas jurisdições. Se o teu tracker também os conserva durante sete anos, esses dados permanecem na sua base de dados durante toda essa janela, incluindo qualquer violação futura, mudança de liderança ou aquisição. Alguns trackers eliminam explicitamente os dados fiscais quando a conta é encerrada; outros conservam-nos durante o período legalmente exigido. A política de retenção está normalmente escondida na política de privacidade.

Ficheiros exportados em trânsito. O CSV que descarregas para o teu portátil é uma superfície de ataque; o mesmo CSV guardado na tua caixa de correio como anexo é outra. Se também o guardas em sincronização na cloud (iCloud, Google Drive, Dropbox) e essa conta for comprometida, a exportação fiscal torna-se um mapa das tuas participações em cripto disponível para quem te roubou as credenciais da cloud.

A formulação honesta: as funcionalidades fiscais são úteis e concentram exatamente os dados que um atacante, um advogado em litígio ou um ator estatal hostil mais procura encontrar.

Alternativas que preservam a privacidade (e os seus compromissos)

Não tens de escolher entre "dar tudo a um tracker" e "não acompanhar nada". Existe uma faixa intermédia, mas tem um custo em conveniência.

Trackers apenas locais. Ferramentas como o Rotki, o modo desktop da Koinly, ou uma instância auto-hospedada de um tracker open-source mantêm os teus dados na tua máquina. O Rotki, em particular, foi construído à volta do princípio de que os teus endereços, chaves de API e histórico de transações nunca saem do teu dispositivo, a menos que escolhas explicitamente sincronizá-los. O compromisso é não ter dashboard entre dispositivos, não ter sincronização com a app móvel, e seres responsável pelos teus próprios backups.

Read-only, sem chaves de API, lista manual de endereços. Podes colar uma lista de endereços no modo "watch-only" de um tracker sem nunca conceder uma chave de API. Continuas a enviar os endereços para o servidor do tracker, que continua a saber o teu IP e email, mas removes o risco de uma chave de API ser abusada ou de ter os scopes errados. Este é o nível "usa isto se quiseres agregação" na árvore de decisão.

Explorador de blocos + folha de cálculo. Para utilizadores com poucas carteiras e exchanges, um explorador de blocos como o Etherscan combinado com exportações manuais em CSV de cada exchange chega para reconstruir uma carteira. É aborrecido e não lida bem com posições em DeFi, mas os dados nunca ficam numa base de dados de terceiros.

Múltiplas identidades. Alguns utilizadores preocupados com a privacidade dividem deliberadamente as suas participações por várias carteiras e contas de tracker, para que nenhum comprometimento isolado revele o panorama completo. Isto é segurança operacional, não paranoia: funciona da mesma forma que diversificar investimentos por várias corretoras funciona nas finanças tradicionais.

Carteira hardware + vista de carteira nativa. Carteiras como a Ledger Live e a Trezor Suite incluem uma vista de carteira que fala diretamente com os nodes em vez de com um agregador centralizado. Continuas a revelar os teus endereços aos nodes que consultas, o que é uma consideração por si só, mas nenhuma empresa acaba por ficar com o pacote todo.

Como escolher: uma árvore de decisão

Se quer a resposta mais simples: a maioria dos principiantes fica bem a usar um agregador convencional, desde que compreenda o que está a trocar pela comodidade. A troca é dados por comodidade, e a questão é se está a fazer essa troca de forma consciente.

Se quer uma regra prática mais rigorosa:

Utilize um agregador convencional (Zerion, CoinStats, Delta, etc.) se pretender um painel limpo, aceitar que os seus endereços e o seu histórico de transações ficarão num servidor de terceiros, gerar chaves de API da CEX apenas com permissões de leitura e restringi-las por IP no lado da exchange, desativar todas as permissões opcionais durante a configuração inicial, e usar um email dedicado, uma palavra-passe forte e única, e autenticação de dois fatores. Analise o histórico de incidentes do agregador antes de se registar.

Utilize um agregador local (Rotki, auto-hospedado, ou folha de cálculo) se as suas participações forem suficientemente grandes para que ser um alvo individual seja uma ameaça real, declarar impostos numa jurisdição que exija histórico plurianual, não precisar de sincronização entre dispositivos, e estiver disposto a gerir as suas próprias cópias de segurança. Espere dedicar um fim de semana à configuração.

Utilize o modo de lista de endereços apenas para consulta de qualquer agregador se pretender agregar o seu portfólio sem entregar quaisquer chaves de API, estiver disposto a atualizar manualmente os saldos, e compreender que o agregador continua a ter a sua lista de endereços, o seu email e o seu IP. Esta é a opção «centralizada» mais segura para a maioria dos utilizadores.

Não utilize agregadores de todo se a sua atividade em cripto for genuinamente pequena, tiver ativos apenas numa ou duas exchanges, e não precisar de cálculos de custo-base. A vista de portfólio na própria aplicação da exchange, combinada com uma exportação anual para impostos, é suficiente.

Em qualquer caso, os hábitos operacionais importam mais do que a escolha da aplicação: revogue as chaves de API da CEX quando deixar de as utilizar, não reutilize a mesma chave de API em vários serviços, não guarde exportações de impostos em pastas sincronizadas na cloud sem encriptação, e parta do princípio de que qualquer endereço que tenha alguma vez colado em qualquer agregador acabará, mais cedo ou mais tarde, numa fuga de dados.

Como acompanhar as notícias sobre ferramentas de cripto da forma inteligente

Os agregadores de portfólio mudam de dono, são adquiridos, sofrem violações de dados e expandem silenciosamente a sua recolha de dados. Esta categoria é também onde surgem a maioria das burlas com «apps de cripto», uma vez que um agregador falso é um vetor de phishing mais convincente do que uma exchange falsa. Acompanhar manualmente as notícias sobre estas ferramentas implica filtrar dezenas de atualizações de produto de baixo sinal para encontrar as poucas divulgações de incidentes e alterações de políticas que realmente afetam os seus dados. O Zippfeed apresenta manchetes sobre ferramentas de cripto com pontuação de sentimento, para que possa ver imediatamente se uma notícia sobre um agregador que utiliza está a ser interpretada pelo mercado como bullish, neutra ou bearish, e uma classificação de importância, para que consiga distinguir uma atualização rotineira de uma verdadeira divulgação de segurança antes que esta chegue à sua caixa de entrada.

Perguntas frequentes

É seguro usar um rastreador de portfólio de cripto?
O acesso apenas de leitura significa que o rastreador não pode mover os seus fundos, o que é genuinamente mais seguro do que entregar uma chave API com capacidade de levantamento, mas isso não torna a aplicação segura enquanto custodiante de dados. As suas moradas, saldos, histórico completo de transações, email e IP continuam armazenados nos servidores do rastreador, e vários rastreadores de referência já sofreram violações que expuseram esses registos. Trate a escolha como uma decisão de privacidade de dados em primeiro lugar e de usabilidade em segundo.
Como funciona na prática o acesso apenas de leitura à carteira?
No modo auto-custodial, a aplicação recebe um xPub ou chave pública estendida, que lhe permite derivar todas as moradas passadas e futuras da sua carteira e obter o histórico on-chain, ou utiliza o WalletConnect para consultar saldos sem nunca tocar na sua chave privada. Em qualquer dos casos, consegue ver tudo o que está publicamente visível on-chain sobre a sua carteira, e isso é muito, mas não consegue assinar transações em seu nome. A garantia do read-only diz respeito à assinatura, não à visibilidade.
Devo ligar a chave API da minha exchange a um rastreador de portfólio?
Pode, e a maioria dos utilizadores fá-lo por conveniência, mas apenas se gerar a chave com âmbito de leitura, desativar as permissões de negociação e levantamento do lado da exchange, restringir por IP a chave aos IPs publicados pelo rastreador sempre que possível e rodar ou revogar a chave no momento em que deixar de usar o serviço. Uma chave apenas de leitura que vaze continua a expor todo o seu histórico de transações, saldos e moradas de depósito; uma chave com permissões de negociação ou levantamento que vaze pode fazer-lhe perder dinheiro diretamente. Nunca cole uma chave API num site ou aplicação que não tenha verificado de forma independente.
O que devo fazer se um rastreador que utilizo for violado?
Revogue imediatamente todas as chaves API que tenha gerado para esse serviço em cada exchange, altere a palavra-passe da conta do rastreador, troque o endereço de email se o tiver reutilizado noutro local e parta do princípio de que qualquer morada que tenha ligado está agora numa base de dados de terceiros. Reveja o histórico de emails e mensagens do período da violação à procura de pedidos de phishing, sobretudo qualquer coisa que lhe peça para assinar uma transação ou reintroduzir uma seed phrase, porque o incidente da CoinStats mostrou que os atacantes usam dados roubados para personalizar esses pedidos. Trate todas as aprovações on-chain concedidas durante o período da violação como comprometidas e revogue-as com uma ferramenta como o verificador de aprovações da Etherscan ou o Revoke.cash.