Proteja seus ativos criptográficos: um guia de segurança contra phishing e golpes
No mundo das criptomoedas, a segurança não é apenas uma recomendação, mas uma necessidade. Saiba como proteger seus ativos digitais contra as ameaças em constante evolução, como phishing, golpes e outros esquemas fraudulentos.

O mundo descentralizado das criptomoedas oferece imensas oportunidades, mas com elas surgem novos riscos. Phishing, golpes, contratos inteligentes maliciosos e outros tipos de fraude ameaçam constantemente seus ativos digitais. Para se manter seguro, é essencial estar informado e adotar medidas proativas de segurança.
Principais ameaças aos ativos criptográficos
1. Phishing e sites falsos
Os golpistas criam réplicas exatas de exchanges de criptomoedas, carteiras ou plataformas DeFi populares para induzi-lo a revelar suas chaves privadas, frases-semente ou credenciais de login. Sempre verifique cuidadosamente a URL do site e use favoritos em vez de links contidos em e-mails ou mensagens.
2. Aqueles que esvaziam a carteira
Trata-se de scripts maliciosos que, ao se conectarem à sua carteira ou ao assinarem uma transação, podem esvaziá-la, transferindo todos os seus ativos para a carteira do invasor. Frequentemente, eles se disfarçam como dApps legítimos, projetos de NFT ou airdrops.
3. Golpes e engenharia social
Isso inclui promessas de dinheiro fácil, sorteios falsos, esquemas do tipo “pump-and-dump” e golpes de suporte técnico em que pedem acesso à sua carteira digital ou informações pessoais.
Medidas práticas para proteger seus ativos criptográficos
1. Revogar permissões regularmente (Revoke.cash)
Sempre que você interage com um contrato inteligente (por exemplo, ao aprovar tokens para uma bolsa descentralizada ou um mercado de NFTs), você concede a ele permissão para acessar uma determinada quantidade dos seus tokens. Se o contrato for malicioso ou for comprometido, essas permissões podem ser exploradas para esvaziar sua carteira.
- O que fazer: Use serviços como Revoke.cash. Essa ferramenta permite que você visualize e revogue todas as permissões que concedeu aos contratos inteligentes. Verifique regularmente e revogue permissões desnecessárias ou suspeitas. Isso é de extrema importância para minimizar os riscos.
2. Atualizações oportunas de sistemas e aplicativos
Softwares desatualizados são uma porta aberta para invasores. As atualizações geralmente incluem correções de segurança que eliminam vulnerabilidades conhecidas.
- O que fazer:
- Sistema operacional: Certifique-se de que seu sistema operacional (Windows, macOS, Linux) esteja sempre atualizado para a versão mais recente.
- Navegadores: Utilize versões atualizadas dos navegadores (Chrome, Firefox, Brave etc.), pois elas costumam incluir recursos de segurança integrados contra phishing.
- Carteiras e extensões de criptomoedas: Atualize regularmente suas carteiras de software (por exemplo, MetaMask) e quaisquer extensões associadas.
3. Diversificação da carteira: não coloque todos os ovos na mesma cesta
Armazenar todos os seus ativos criptográficos em uma única carteira aumenta o risco de perder tudo em caso de um ataque de hackers ou de phishing.
- O que fazer:
- Carteiras quentes: Use-as apenas para pequenas quantias destinadas a transações diárias ou interações com dApps.
- Carteiras frias / Carteiras de hardware: Para o armazenamento de longo prazo de quantidades significativas, use carteiras de hardware (Ledger, Trezor). Elas oferecem segurança máxima, mantendo suas chaves privadas offline.
- Segregação de ativos: Distribua seus ativos por várias carteiras e plataformas de câmbio para minimizar os danos potenciais decorrentes de um único ataque bem-sucedido.
4. Sempre verifique os endereços e as transações assinadas
Os golpistas podem usar malware para alterar o endereço do destinatário na área de transferência ou falsificar os detalhes da transação.
- O que fazer:
- Verifique novamente: Sempre verifique cuidadosamente o endereço do destinatário antes de enviar fundos, especialmente os primeiros e os últimos caracteres.
- Ler solicitações de assinatura: Leia com atenção todas as solicitações de assinatura de transações na sua carteira. Certifique-se de entender exatamente o que está aprovando. Solicitações suspeitas (por exemplo, para “Definir aprovação para tudo” em um contrato desconhecido) podem ser tentativas de roubo.
5. Use a autenticação de dois fatores (2FA)
A autenticação de dois fatores (2FA) adiciona uma camada extra de segurança às suas contas em plataformas de câmbio e serviços.
- O que fazer: Ative a autenticação de duas etapas (2FA) sempre que possível, utilizando aplicativos autenticadores (Google Authenticator, Authy) em vez de SMS, pois a autenticação de duas etapas por SMS é mais vulnerável à interceptação.
6. Cuidado com ofertas e mensagens inesperadas
Se uma oferta parece boa demais para ser verdade, provavelmente é mesmo.
- O que fazer: Ignore mensagens de desconhecidos que prometam criptomoedas “grátis” ou ganhos fáceis. Verifique as informações pelos canais oficiais do projeto.
7. Carteiras de hardware e assinatura em ambiente isolado
As carteiras quentes (navegador/celular) representam a maior superfície de ataque no mundo das criptomoedas. Transfira seus ativos de longo prazo para uma carteira de hardware — Ledger, Trezor, Keystone ou BitBox — onde as chaves privadas nunca saem do dispositivo. Para transações de alto valor, considere isolado fisicamente assinatura por meio de código QR (Keystone, Coldcard, AirGap Vault), de modo que nem mesmo um computador comprometido consiga extrair as chaves.
- Compre carteiras de hardware apenas diretamente do fabricante canais — a interferência na cadeia de suprimentos é um ataque real.
- Instale o dispositivo em um ambiente limpo; verifique as assinaturas do firmware antes do primeiro uso.
- Anote a frase-semente em aço cópias de segurança (Cryptotag, Billfodl) — o papel queima e desbota.
- Nunca digite, fotografe ou armazene a senha digitalmente — nem no iCloud, nem no Google Drive, nem em gerenciadores de senhas, nem em aplicativos de notas.
8. Aprovar subsídios com cautela
Os golpistas que esvaziam carteiras não precisam da sua semente — eles precisam apenas de uma única aprovação assinada que lhes permita transferir seus tokens. Sempre que você assinar uma transação, leia com atenção:
- Verifique a função:
approve,setApprovalForAll,permit,increaseAllowance, esignOrderconceder direitos de movimentação de tokens — não transferências. - Verifique quem está gastando: O endereço que você está aprovando deve ser um contrato de protocolo conhecido — nunca uma EOA (conta de propriedade externa) ou um contrato não verificado.
- Verifique o valor: se for solicitado ilimitado (
2^256-1), preferem estabelecer um limite máximo exato. - Verifique a corrente: Um site de phishing pode transferir sua carteira para uma cadeia inesperada a fim de contornar seus filtros.
- Uso Blockaid, ScamSniffer, ou Protetor de carteira extensões para sinalizar aprovações maliciosas antes da assinatura.
9. Manutenção de domínios e favoritos
Os ataques de phishing mais bem-sucedidos aproveitam o momento em que você digita um URL ou clica em um link. Medidas de defesa:
- Marcar como favorito todas as carteiras, plataformas de câmbio e pontes que você usa — nunca digite domínios manualmente para sites confidenciais.
- Evite resultados patrocinados/anúncios no Google — palavras-chave patrocinadas relacionadas a carteiras de criptomoedas, exchanges e pontes são o principal vetor de phishing. Documentamos isso em Registradores que facilitam golpes globais.
- Desconfie de qualquer URL que contenha caracteres extras:
uniswap-app.org,metamask-extension.com,app-pancakeswap.io— os domínios oficiais são simples. - Verificar domínios por meio do Certificate Transparency (crt.sh) — um certificado recém-emitido para uma marca que se parece com outra é um grande sinal de alerta.
10. Cuidado com os golpes envolvendo “publicidade” e o “Viewer no local de trabalho”
As equipes do setor de criptomoedas estão cada vez mais sendo alvo de engenharia social no estilo empresarial, disfarçada de publicidade ou ofertas de parceria. O invasor pede que você instale um “visualizador de kit de mídia”, “gerenciador de anúncios”, “cliente do Zoom” ou “ferramenta segura de NDA” — essa “ferramenta” é, na verdade, um programa para roubar dados. Documentamos um caso em que essa abordagem esvaziou os fundos de um projeto: $100K Returned — Adverting Scam Foiled.
- Nunca instale clientes, visualizadores ou “programas de atualização” especiais fornecidos por terceiros não verificados.
- Use apenas downloads oficiais dos fornecedores para o Zoom, Telegram e Discord — nunca resultados de busca patrocinados.
- Se um fluxo de trabalho exigir um cliente personalizado, considere-o hostil por padrão.
11. Higiene operacional para equipes de criptomoedas
- Máquina dedicada para operações de tesouraria — sistema operacional atualizado, carteira de hardware, número mínimo de extensões, sem e-mail nem redes sociais.
- Assinatura múltipla para qualquer saldo de tesouraria superior à queima mensal (Safe, Squads, etc.).
- Incluir endereços de retirada na lista de permissões nas trocas; exija bloqueios temporários sempre que possível.
- Sementes operacionais de backup no armazenamento de dados em aço distribuído geograficamente com divisão M-de-N (Divisão Secreta de Shamir).
- Manual de procedimentos para incidentes: documente previamente quem entra em contato com quem, quais carteiras devem ter o acesso revogado e onde estão os registros de auditoria. A primeira hora após uma violação é decisiva.
12. Se você já tiver sido comprometido
- Transferir fundos imediatamente de qualquer carteira que tenha acessado um site malicioso ou assinado uma transação suspeita. A rapidez é mais importante do que um processo perfeito.
- Revogar todas as aprovações de tokens em revoke.cash a partir de um dispositivo limpo.
- Desconecte o dispositivo comprometido de todas as redes; atualize todas as credenciais utilizadas nessa máquina; reinstale o sistema operacional a partir de uma mídia limpa.
- Preserve as evidências: imagem do disco, histórico do navegador, hashes das transações — você precisará disso para elaborar um relatório de incidente e para uma possível recuperação.
- Enviar para @PhishDestroy_bot e entre em contato SEAL 911 para obter ajuda profissional de segurança em casos de emergência.
- Leia nosso guia completo sobre resposta a incidentes: Medidas essenciais — o que fazer após um ataque cibernético.
Recursos adicionais para maior segurança
Manter-se informado já é metade do caminho andado. Fontes recomendadas:
- Aliança de Segurança — Malware — análise aprofundada das famílias de malware que têm como alvo usuários de criptomoedas.
- PhishDestroy lista de destruição — Mais de 130 mil domínios ativos de phishing/golpes; integre-os ao seu DNS, firewall ou navegador.
- @PhishDestroyAlerts — alertas em tempo real sobre novas infraestruturas de golpes.
- Anatomia de uma remoção — como o PhishDestroy desativa a infraestrutura de phishing.
- Ferramentas de código aberto para o combate ao crime cibernético — conjunto completo de ferramentas OSINT.
- Investigação sobre mais de 150 extensões falsas da Mozilla — como as extensões maliciosas coletam sementes.
"PhishDestroy, nos empenhamos em oferecer a você as ferramentas e o conhecimento necessários para se manter seguro no mundo digital. Lembre-se: sua vigilância é sua primeira e melhor linha de defesa."
Proteger seus ativos criptográficos exige atenção constante e medidas proativas. Ao seguir essas recomendações, você reduzirá significativamente os riscos de ser vítima de golpistas e poderá navegar pelo mundo das finanças descentralizadas com maior confiança.

