Security ·

5 Golpes com Seed Phrase e Como se Proteger

O roubo de seed phrases e o vetor de ataque mais eficaz em criptomoedas. Diferentemente de explorar bugs em contratos inteligentes ou realizar ataques de 51%, roubar uma seed phrase e simples, escalavel e da ao atacante controle completo e irreversivel sobre os fundos da vitima. Os cinco golpes descritos aqui representam a grande maioria dos incidentes de roubo de seed phrases. Entender cada um deles, e saber como se defender, e conhecimento obrigatorio para qualquer detentor de cripto.

Cada um desses golpes explora uma lacuna entre o que os usuarios pensam que esta acontecendo e o que realmente esta acontecendo. A defesa em todos os casos e a verificacao: saber como confirmar que as ferramentas que voce usa, os sites que visita e as pessoas com quem interage sao o que dizem ser.

Golpe 1: Geradores Falsos de Seed Phrase

Geradores falsos de seed phrase sao sites ou aplicativos projetados para parecer ferramentas BIP39 legitimas enquanto secretamente registram cada seed phrase que produzem. O atacante codifica um conjunto de seed phrases (para que cada usuario receba uma frase que o atacante ja conhece) ou transmite a frase gerada para um servidor remoto.

Como Funciona

O atacante cria um site com aparencia profissional que parece gerar seed phrases aleatorias. Na versao mais simples, o site seleciona de uma lista pre-computada de frases que o atacante ja controla. Em versoes mais sofisticadas, a ferramenta gera uma frase com aparencia real usando a Web Crypto API, mas simultaneamente envia a entropia ou a frase final para o servidor do atacante via uma requisicao de rede oculta.

A vitima ve uma frase de 12 ou 24 palavras com aparencia valida, cria uma carteira e deposita fundos. O atacante monitora os enderecos correspondentes e os esvazia, as vezes imediatamente, as vezes esperando ate que o saldo atinja um valor que valha a pena.

Como se Proteger

  • Verifique se a ferramenta e client-side. Carregue a pagina, desconecte da internet e gere uma frase. Se a ferramenta falhar sem conexao, ela requer comunicacao com servidor e nao deve ser confiavel. Veja Usar um Gerador de Seed Phrase Online e Seguro? para passos detalhados de verificacao.
  • Inspecione o trafego de rede. Abra a aba Network das Ferramentas de Desenvolvedor do navegador antes de gerar. Zero requisicoes de saida devem ocorrer durante a geracao.
  • Use ferramentas de codigo aberto. Use apenas geradores cujo codigo-fonte seja publicamente auditavel. O Gerador de Seed Phrase Bitcoin e o Gerador de Seed Phrase Ethereum do SafeSeed sao totalmente open-source e client-side.
  • Faca verificacao cruzada dos resultados. Gere uma frase e verifique se ela produz o mesmo endereco em duas ou mais ferramentas independentes. Se um gerador sempre produz a mesma frase independentemente de quando ou onde voce o usa, esta usando uma lista fixa.

Golpe 2: Sites de Phishing Imitando Carteiras Reais

Sites de phishing replicam a interface de carteiras populares como MetaMask, Phantom ou interfaces web de carteiras de hardware para enganar usuarios a inserir suas seed phrases existentes. O objetivo do atacante nao e gerar uma nova frase, mas capturar uma que voce ja possui.

Como Funciona

O atacante registra um dominio que se assemelha ao de um site de carteira legitimo: metamask-wallet.io em vez de metamask.io, ou ledger-support.com em vez de ledger.com. Eles clonam o design visual do site real e apresentam uma solicitacao pedindo aos usuarios para "restaurar" ou "verificar" sua carteira inserindo sua seed phrase.

Esses sites de phishing sao distribuidos por:

  • Anuncios no Google e redes sociais que aparecem para buscas relacionadas a carteiras
  • Canais de suporte falsos no Telegram, Discord e X (Twitter)
  • E-mails alegando que sua carteira precisa de "verificacao" ou "atualizacoes de seguranca"
  • Paginas otimizadas para SEO que ranqueiam para buscas como "recuperar carteira MetaMask"

Quando a vitima insere sua seed phrase na pagina de phishing, ela e transmitida ao servidor do atacante. O atacante importa a frase em sua propria carteira e esvazia todos os fundos, tipicamente em minutos.

Como se Proteger

  • Nunca insira sua seed phrase em nenhum site. Software de carteira legitimo nunca pedira que voce insira sua seed phrase em um navegador. A restauracao de carteira acontece dentro do aplicativo da carteira, nao em um site.
  • Salve sites oficiais nos favoritos. Acesse interfaces de carteira apenas por favoritos que voce mesmo definiu, nunca por resultados de busca ou links em mensagens.
  • Verifique a URL caractere por caractere. Dominios de phishing usam substituicao de caracteres (l minusculo vs 1, rn vs m) e palavras extras para enganar.
  • Use uma carteira de hardware para recuperacao. Se voce precisar restaurar uma carteira, faca no proprio dispositivo de hardware ou no aplicativo desktop oficial baixado do site verificado do fabricante.

Golpe 3: Cartoes de Carteira Pre-Gerados

Este golpe visa recem-chegados ao mundo cripto que ainda nao entendem como chaves privadas funcionam. O atacante vende ou distribui cartoes fisicos, muitas vezes lindamente impressos e embalados, contendo uma seed phrase ou chave privada pre-gerada. O cartao parece uma carteira de papel legitima, completa com codigo QR e endereco publico.

Como Funciona

O atacante gera milhares de seed phrases, registra todas e as imprime em cartoes com aparencia profissional. Estes sao vendidos em marketplaces, distribuidos em conferencias de cripto ou incluidos como "brindes" em pedidos online. O cartao instrui o destinatario a depositar cripto no endereco impresso.

A vitima, acreditando ter uma carteira de papel segura, envia fundos para o endereco. O atacante, que possui uma copia da mesma seed phrase, transfere os fundos quando quiser.

Uma variacao deste golpe envolve carteiras "pre-carregadas" vendidas em mercados secundarios. O vendedor afirma que a carteira contem certa quantia de cripto e a vende com desconto. O comprador recebe uma carteira de hardware ou de papel, mas o vendedor mantem uma copia da seed phrase e esvazia os fundos apos a venda.

Como se Proteger

  • Sempre gere suas proprias chaves. Nunca use uma seed phrase ou chave privada criada por outra pessoa. A unica chave segura e aquela que voce gerou em um dispositivo que voce controla.
  • Entenda que chaves sao segredos. Se qualquer outra pessoa ja viu sua seed phrase, voce deve assumir que ela tem uma copia. Nao ha como verificar que alguem apagou uma frase que conheceu.
  • Gere offline. Use as ferramentas client-side do SafeSeed ou outro gerador confiavel em uma maquina air-gapped para criar suas proprias chaves do zero.

Golpe 4: Malware de Clipboard

Malware de clipboard, tambem chamado de "clipper", e um tipo de software malicioso que monitora sua area de transferencia em busca de dados relacionados a criptomoedas e silenciosamente os substitui pelos dados do atacante.

Como Funciona

A variante mais comum observa enderecos de Bitcoin ou Ethereum na area de transferencia. Quando voce copia um endereco para enviar um pagamento, o malware o substitui pelo endereco do atacante. Se voce colar sem verificar, seus fundos vao diretamente para o atacante.

Uma variante mais perigosa visa seed phrases. Se voce copiar sua seed phrase (por exemplo, ao transferi-la entre aplicativos durante a configuracao da carteira), o clipper a captura e transmite ao atacante. Algumas variantes substituem a seed phrase na area de transferencia por uma frase diferente que o atacante controla, fazendo voce fazer backup de uma frase comprometida.

Clippers sao comumente distribuidos por:

  • Software pirata e aplicativos crackeados
  • Aplicativos de carteira falsos em lojas de aplicativos nao oficiais
  • Extensoes de navegador que solicitam permissoes de clipboard
  • Versoes trojanizadas de ferramentas cripto legitimas

Como se Proteger

  • Nunca copie sua seed phrase para a area de transferencia. Escreva-a a mao. Se precisar transferi-la digitalmente, use um metodo que nao envolva a area de transferencia do sistema.
  • Sempre verifique enderecos colados. Antes de confirmar qualquer transacao, compare os primeiros e ultimos caracteres do endereco colado com o endereco pretendido. Use um validador de enderecos para confirmar se o formato esta correto.
  • Use apenas software verificado. Baixe aplicativos de carteira e ferramentas apenas de fontes oficiais. Evite completamente software pirata, especialmente em maquinas usadas para cripto.
  • Mantenha antivirus atualizado. Embora nao seja infalivel, software antivirus moderno detecta muitos clippers conhecidos.
  • Verifique o conteudo da area de transferencia. Apos copiar um endereco, cole-o em um editor de texto simples para confirmar que corresponde antes de usa-lo em uma transacao.

Golpe 5: Ataques de Engenharia Social

Engenharia social e a forma mais antiga de roubo, adaptada para a era cripto. O atacante manipula voce para revelar voluntariamente sua seed phrase ou realizar uma acao que comprometa suas chaves.

Como Funciona

A engenharia social no espaco cripto assume muitas formas:

Suporte tecnico falso. O atacante se passa por equipe de suporte de um provedor de carteira, exchange ou projeto blockchain. Eles entram em contato via Telegram, Discord ou X em resposta a uma reclamacao publica de um usuario. Alegam precisar da sua seed phrase para "diagnosticar" o problema ou "verificar" sua identidade. Nenhuma equipe de suporte legitima pedira sua seed phrase.

A isca dos "fundos presos". O atacante publica uma seed phrase publicamente (em redes sociais, foruns ou grupos de chat) alegando ter "acidentalmente" compartilhado. A carteira associada contem fundos visiveis. Quando alguem importa a frase para reivindicar os fundos, descobre que os tokens estao em uma rede que requer taxas de gas. Quando depositam tokens de gas, um bot de varredura controlado pelo atacante imediatamente esvazia os tokens depositados.

O mentor de investimentos. Um golpista constroi um relacionamento (frequentemente ao longo de semanas) por redes sociais ou aplicativos de namoro, eventualmente guiando a vitima a uma "oportunidade especial de investimento" que requer compartilhar acesso a carteira ou usar uma ferramenta especifica (maliciosa).

Reivindicacoes de airdrop. Mensagens oferecendo airdrops gratuitos de tokens que exigem que voce "conecte sua carteira" a um dApp malicioso, que entao solicita permissao para transferir seus fundos ou pede que voce insira sua seed phrase.

Como se Proteger

  • Trate sua seed phrase como um codigo de lancamento nuclear. Nenhum servico legitimo, equipe de suporte, amigo ou familiar precisa da sua seed phrase. Nunca. Por nenhum motivo.
  • Desconfie de ajuda nao solicitada. Se alguem entrar em contato oferecendo assistencia com cripto, especialmente em redes sociais ou plataformas de mensagens, presuma que e um golpe ate prova em contrario.
  • Verifique identidades por canais oficiais. Se voce precisar de suporte de um provedor de carteira ou exchange, navegue ate o site oficial e use o formulario de suporte ou chat listado la.
  • Entenda o truque dos "fundos presos". Se voce encontrar uma seed phrase compartilhada publicamente com fundos, e uma isca. Os tokens visiveis nao podem ser movidos sem depositar outros tokens, que serao instantaneamente roubados.
  • Revise permissoes de contratos inteligentes. Se um dApp solicitar aprovacao ilimitada de tokens ou permissoes que nao correspondam ao seu proposito declarado, rejeite a transacao.

Como Verificar Qualquer Ferramenta que Voce Usa

A defesa contra todos os golpes acima converge em uma habilidade: verificacao. Aqui esta uma abordagem consolidada para avaliar qualquer ferramenta cripto.

Transparencia do Codigo-Fonte

Se uma ferramenta nao e de codigo aberto, voce nao pode verificar o que ela faz. Codigo aberto nao e garantia de seguranca, mas ferramentas de codigo fechado exigem confianca incondicional. Priorize ferramentas de codigo aberto para qualquer operacao envolvendo chaves ou seed phrases.

Operacao Client-Side

Para ferramentas de geracao de chaves, verifique a execucao client-side desconectando da internet apos carregar a pagina. Se a ferramenta funcionar offline, suas operacoes criptograficas rodam no seu navegador via Web Crypto API. Este e o padrao usado pelo SafeSeed e outros geradores respeitaveis. Leia O Que e Entropia em Cripto? para entender por que a fonte de entropia importa.

Comportamento de Rede

Use as Ferramentas de Desenvolvedor do seu navegador para monitorar todas as requisicoes de rede. Durante operacoes sensiveis (geracao de chaves, exibicao de seed phrase, assinatura de transacoes), deve haver zero requisicoes de saida. Qualquer requisicao, mesmo para um servico de analytics, e um vetor potencial de vazamento de dados.

Verificacao de Dominio e Certificado

Antes de inserir qualquer informacao em um site, verifique o nome exato do dominio e certifique-se de que o HTTPS esta ativo. Use favoritos para ferramentas cripto acessadas frequentemente. Faca referencia cruzada do dominio com as contas oficiais do projeto em redes sociais ou repositorio GitHub.

Reputacao na Comunidade

Verifique se a ferramenta foi revisada por pesquisadores de seguranca independentes. Procure relatorios de auditoria, discussoes em foruns de cripto respeitaveis e mencoes em publicacoes focadas em seguranca. Uma ferramenta sem revisao externa e sem presenca na comunidade e de maior risco.

Verificacao Cruzada de Resultados

Ao usar um gerador de seed phrase, verifique a saida derivando o mesmo endereco usando uma ferramenta diferente e confiavel. O Gerador de Enderecos Bitcoin ou o Gerador de Enderecos Ethereum no SafeSeed podem servir como ponto de referencia. Se duas ferramentas independentes produzem o mesmo endereco a partir da mesma seed phrase, ambas provavelmente estao implementando o padrao corretamente.

A maior forca do ecossistema cripto, a autocustodia, tambem e sua maior vulnerabilidade. Nao ha departamento antifraude para ligar, nenhum estorno para solicitar e nenhum processo de recuperacao uma vez que os fundos sao roubados. Entender esses cinco golpes e construir habitos de verificacao e o investimento mais valioso que voce pode fazer na sua seguranca cripto. Para leitura adicional sobre conceitos fundamentais de seguranca de chaves, veja Melhores Praticas de Seguranca de Chave Privada e Seed Phrase vs Chave Privada.