Armazenamento a frio de Bitcoin com SSP multisig
Armazenamento a frio é uma das expressões mais mal usadas no Bitcoin. As pessoas a tratam como sinônimo de "carteira de hardware", mas as duas coisas não são iguais. Armazenamento a frio é uma propriedade de como suas chaves privadas ficam expostas, não uma marca de dispositivo. Este guia explica o que armazenamento a frio realmente significa, como o multisig 2-de-2 da SSP pode servir como um cofre de Bitcoin para retenção de longo prazo, e onde ele difere honestamente de um assinador dedicado com isolamento físico.
O que armazenamento a frio realmente significa
Uma chave de Bitcoin está "fria" quando vive longe de um ambiente on-line e de uso geral — em algum lugar que um atacante que comprometa um dos seus dispositivos do dia a dia não consiga alcançar. O modelo de ameaça é específico: malware no seu notebook, uma extensão de navegador maliciosa, um site de phishing ou uma exploração remota. Se uma única máquina comprometida pode assinar e transmitir uma transação que esvazia sua carteira, seu armazenamento é quente, não importa o que o marketing diga.
A pergunta decisiva não é "existe um dispositivo especial?", mas "quantas falhas independentes são necessárias para mover minhas moedas?". O armazenamento a frio eleva esse número. Uma carteira de hardware de chave única o eleva mantendo a única chave fora do seu computador; a assinatura acontece em um chip separado e de propósito específico. Mas ainda é uma chave só. Comprometa esse único dispositivo — ou a frase semente por trás dele — e os fundos se vão.
Como o 2-de-2 da SSP muda a conta
A SSP é uma carteira multisig 2-de-2. Seu endereço de Bitcoin é controlado por duas chaves separadas, e um gasto válido precisa de assinaturas de ambas. Uma chave vive na extensão de navegador da SSP no seu computador. A segunda chave vive no app SSP Key no seu celular. A carteira é derivada seguindo a especificação BIP-48, o padrão para derivação de chaves multisig, e a saída on-chain é um script P2WSH SegWit nativo.
A consequência de segurança é direta. Um atacante que comprometa totalmente seu computador obtém exatamente uma assinatura. Isso não basta. Ele não consegue mover um único satoshi sem também comprometer seu celular — um dispositivo separado, um sistema operacional separado, uma superfície de ataque separada. Para entender por que esse design se sustenta, leia o que é o multisig 2-de-2.
Compare isso com o armazenamento a frio de chave única. Uma carteira de hardware mantém sua única chave off-line, mas no momento em que esse único segredo é exposto — por um dispositivo adulterado na cadeia de suprimentos, uma frase semente vazada ou uma atualização de firmware maliciosa — não há um segundo fator para deter o gasto. A SSP distribui o risco entre dois dispositivos que você já separa fisicamente. Um dispositivo comprometido é um evento contornável, não uma catástrofe.
Configurando a SSP como um cofre de retenção de longo prazo
Um cofre não é um produto diferente; é um modo diferente de operar a carteira que você já tem. O objetivo é manter ambas as chaves genuinamente frias e tocá-las o mínimo possível.
Mantenha as duas chaves em dispositivos separados
Esta é a regra que dá sentido ao multisig. Instale a extensão da SSP em um dispositivo e o app SSP Key em um celular diferente. Nunca execute ambos na mesma máquina — um emulador de celular no mesmo notebook que abriga a extensão colapsa seu 2-de-2 de volta para um 1-de-1, porque um único comprometimento agora alcança as duas chaves. A proteção vem inteiramente do fato de a separação ser real.
Faça um backup robusto da frase semente
Cada chave tem sua própria frase semente de recuperação. Ambas precisam de backup, e ambas precisam de um backup bem feito — off-line, em mídia durável, nunca fotografadas, nunca digitadas em uma nota na nuvem. Um cofre que você não consegue recuperar não é um cofre. Trate os dois backups de semente com a mesma independência com que trata os dois dispositivos: locais físicos diferentes, sem um único ponto de falha. A disciplina completa está em melhores práticas para a frase semente.
Acesse o cofre com pouca frequência
O armazenamento a frio permanece frio em parte pelo comportamento. Uma carteira de retenção de longo prazo deve ser aberta raramente — para receber, para verificar e, ocasionalmente, para conferir um saldo. Cada sessão de assinatura é um momento de exposição: as chaves ficam brevemente ativas, os dispositivos brevemente on-line. Menos sessões significam menos janelas para algo dar errado. Se você gasta Bitcoin regularmente, mantenha uma carteira do dia a dia separada e reserve o cofre multisig para as economias que você não pretende tocar por meses ou anos.
Sempre verifique os endereços de recebimento
Ao receber no cofre, confirme o endereço em mais de uma superfície. O malware que troca endereços funciona mostrando a você um endereço de aparência correta numa tela comprometida enquanto substitui pelo dele. Com a SSP você pode confrontar o endereço de recebimento entre a extensão e o app SSP Key — eles devem coincidir exatamente. Verificar endereços de recebimento é barato, rápido e o hábito mais eficaz contra a adulteração da área de transferência e da tela.
A compensação honesta frente ao hardware com isolamento físico
Seria desonesto afirmar que o 2-de-2 da SSP é idêntico a uma carteira de hardware dedicada com isolamento físico. Não é, e vale a pena dizer a diferença com clareza.
Um assinador com isolamento físico é um dispositivo de propósito único que nunca se conecta à internet. Ele executa quase nenhum software, não tem navegador e se comunica apenas por códigos QR ou um cartão SD. Sua superfície de ataque é deliberadamente minúscula. As duas chaves da SSP, em contraste, vivem em dispositivos conectados e de uso geral — uma extensão de navegador e um smartphone. Esses dispositivos executam muitos aplicativos, conectam-se à internet constantemente e têm uma superfície de ataque muito maior do que um assinador de propósito específico.
Então as duas abordagens defendem contra coisas diferentes. Uma carteira com isolamento físico minimiza a superfície de ataque de cada chave individual. A SSP minimiza a consequência de qualquer chave individual ser atacada, ao exigir duas. Nenhuma é estritamente melhor; são estratégias diferentes. Para muitos usuários, o modelo 2-de-2 prático e recuperável é o equilíbrio certo — um celular ou notebook comprometido não perde fundos. Um usuário que se defende de um adversário no nível de Estado, ou que guarda um saldo muito grande, pode ainda preferir uma configuração de verdadeiro isolamento físico, ou combinar abordagens. O ponto é escolher de olhos abertos, não supor que um rótulo significa segurança máxima.
Também vale ser preciso sobre o que a SSP faz hoje: é um multisig 2-de-2 entre uma extensão e um app de celular. Não é um assinador com isolamento físico, e você não deve operá-lo como se fosse. Opere-o pelo que ele é — uma carteira de dois dispositivos cuja força é que ambos os dispositivos precisam ser comprometidos ao mesmo tempo.
Juntando tudo
Armazenamento a frio é sobre exposição, não sobre marca. O multisig 2-de-2 da SSP oferece a você uma opção genuína de armazenamento a frio construída sobre um princípio simples e honesto: um atacante precisa das duas chaves, nos dois dispositivos, ao mesmo tempo. Mantenha as chaves separadas, faça um bom backup das duas sementes, acesse o cofre raramente, verifique cada endereço de recebimento, e você terá um cofre de poupança de Bitcoin que sobrevive à perda de qualquer dispositivo individual.
Para o panorama completo de como o Bitcoin funciona dentro da SSP, comece pelo guia central, Bitcoin na SSP. Se quiser entender como o tipo de script subjacente afeta as taxas e a privacidade, leia o guia irmão sobre Taproot e o multisig de Bitcoin na SSP.
