Guia prático de segurança de carteiras Web3: Recentemente, carteiras conhecidas têm sido alvo de roubos frequentes, o que os usuários comuns devem fazer?

Escrever:岳小鱼

Quer viver no setor de criptomoedas por muito tempo, é fundamental escolher a carteira certa e usá-la corretamente!

A carteira é o produto mais importante de infraestrutura no nosso setor, não há exagero em dar a devida atenção.

Hackers costumam agir durante os mercados em baixa, recentemente tivemos a carteira antiga Trust Wallet, da Binance, sendo roubada de 700 milhões de dólares, e também o conhecido robô de negociação DeBot sofreu uma violação de segurança.

Como usuário comum, o que devemos fazer?

Como um gerente de produto com anos de experiência em carteiras, aqui compartilho algumas regras importantes:

1. É imprescindível escolher plataformas de carteira de destaque, e principalmente verificar se oferecem garantia de compensação!

Não quer dizer que carteiras de equipes pequenas não possam ser usadas, mas plataformas de destaque como Binance, OKX, Bitget geralmente possuem fundos de garantia de segurança dedicados.

Como no caso da Trust Wallet, a equipe oficial já confirmou que usou o fundo SAFU para reembolsar integralmente os usuários pelos prejuízos.

Por outro lado, carteiras de equipes pequenas simplesmente não têm capacidade de garantir uma compensação, e se perderem dinheiro, provavelmente não haverá qualquer reembolso.

Falando sério, fazer carteira é uma tarefa árdua, adequada para empresas com recursos e tecnologia avançada.

Claro, os lucros também são bastante atrativos, pois permite controlar diretamente a entrada de fluxo de usuários.

2. A segurança de carteiras de plugin de navegador é realmente muito inferior, não coloque ativos de grande valor!

O roubo recente foi na versão de plugin, pois a chave privada fica armazenada localmente no navegador, e os plugins têm permissões interconectadas, facilitando a manipulação por códigos maliciosos ou sites de phishing.

Os atacantes só precisam induzir o usuário a visitar um site malicioso, aproveitando a vulnerabilidade da arquitetura do plugin para roubar ativos;

Já os aplicativos (apps) exigem que o usuário baixe manualmente um pacote malicioso, o que aumenta a barreira de ataque.

Portanto, carteiras de plugin devem ser usadas apenas para pequenas transações, com saldo suficiente para algumas interações com DApps e taxas de gás.

3. Evite usar carteiras pseudo-descentralizadas e ferramentas de negociação que exijam custódia de chaves privadas!

Este ponto se relaciona exatamente com o incidente de roubo do DeBot.

Como um robô de negociação conhecido, o problema central do DeBot foi que muitos usuários, buscando automação eficiente, confiaram suas chaves privadas à plataforma.

Isso é extremamente vulnerável a ataques de segurança, podendo resultar na perda de ativos.

Lembre-se: seja carteira ou bot de negociação, qualquer ferramenta que exija custódia de sua chave privada tem um nível de segurança muito baixo.

Isso equivale a entregar a chave da carteira a outra pessoa, aumentando o risco ao máximo. Essas ferramentas devem ser usadas com cautela.

Com base na experiência do setor, aqui compartilho uma estratégia de proteção mais central e segura: o sistema de carteiras de três camadas — frio, morno e quente.

Este método, já comprovado, oferece a maior proteção possível aos ativos, sendo adotado por muitas instituições.

Primeira camada: carteira fria, que funciona como um armazenamento de grandes valores.

Recomenda-se colocar mais de 90% dos ativos principais aqui, preferencialmente usando carteiras de hardware de destaque, como Ledger ou Trezor.

A vantagem principal é a isolamento físico: as chaves privadas nunca ficam conectadas à internet, dificultando que hackers roubem as chaves via rede.

Um lembrete importante: ao fazer backup da frase de recuperação, use um meio resistente a quedas e perdas, como uma placa de metal, e armazene em locais seguros, evitando guardar no celular ou tirar fotos para a nuvem!

Segunda camada: carteira morna, para staking de valores médios.

Crie uma carteira exclusiva para staking e operações de baixa frequência.

O mais importante é que essa carteira nunca deve importar chaves de plataformas de terceiros, nem clicar em links desconhecidos de DApps, mantendo-se pouco ativa para reduzir riscos.

Lembre-se: fundos de staking geralmente têm prazos longos, e a segurança vem em primeiro lugar.

Terceira camada: carteira quente, para pequenas interações.

Como as carteiras móveis que usamos frequentemente, ou os plugins de navegador mencionados anteriormente, pertencem a essa categoria.

Nelas, coloque apenas uma pequena quantidade de taxa de gás, suficiente para operações diárias com DApps e transferências de pequeno valor.

Mesmo que essa carteira seja roubada, por conter valores baixos, não afetará seus ativos principais, sendo uma troca de segurança por um valor menor.

Por fim,

No setor de Web3, a segurança dos ativos é prioridade máxima, caso contrário, acabamos dando uma oportunidade para hackers.

Escolha carteiras de destaque com garantia de reembolso, use carteiras de plugin apenas para pequenas transações, evite ferramentas que exijam custódia de chaves privadas, e implemente o sistema de três camadas de carteiras para isolar seus ativos — assim, você minimiza ao máximo os riscos.

Se alguém tiver mais dicas de segurança, sinta-se à vontade para compartilhar!