O que acontece se uma chave da carteira cripto for comprometida

Uma chave comprometida parece o pior momento possível na autocustódia. Não é — mas é uma emergência, e como você responde nas próximas horas importa mais do que como você se sente a respeito. Este artigo explica o que um comprometimento realmente significa em uma carteira multisig 2 de 2, como reconhecê-lo e como voltar a proteger seus fundos rotacionando as chaves.

Se você ainda não leu Recuperação 101: o que você realmente precisa para restaurar uma carteira, comece por lá. Ele explica a diferença entre chaves, frases-semente e metadados — o vocabulário que o restante deste artigo pressupõe.

Uma chave comprometida não é fundos roubados

Aqui está a tranquilidade, dita sem rodeios: em um multisig 2 de 2, uma chave comprometida não permite que um atacante movimente o seu dinheiro.

A SSP usa uma configuração 2 de 2 — duas chaves independentes, em dois dispositivos separados, e ambas as assinaturas são exigidas para autorizar qualquer transação. Uma chave fica na extensão do navegador; a outra fica no seu celular, no SSP Key. Se você não tem certeza de como essa divisão funciona, O que é multisig 2 de 2 cobre isso em detalhe.

A consequência prática é direta. Um atacante que rouba, aplica phishing ou extrai uma única chave detém exatamente metade do que precisa. Ele não consegue assinar uma transação válida. Ele não consegue esvaziar a sua carteira. Ele tem uma chave que, sozinha, não assina nada.

Esse é todo o sentido do multisig, e é por isso que uma única chave comprometida é um evento que se pode superar, e não um catastrófico. Com uma carteira de chave única, uma chave roubada é fundos roubados — instantaneamente, de forma irreversível. Com 2 de 2, você ganha algo que um detentor de chave única nunca tem: tempo para reagir.

Por que ainda é uma emergência

Tranquilidade não é complacência. Uma chave comprometida é genuinamente urgente por uma razão: ela remove a sua margem de segurança.

Uma carteira 2 de 2 tem um segundo fator embutido. No instante em que uma chave é comprometida, essa proteção se foi. Você está agora, na prática, usando uma carteira de chave única — exceto que o atacante talvez já detenha essa chave única. Se a sua segunda chave for então comprometida, perdida ou alvo de phishing, o atacante tem as duas metades e os seus fundos se vão.

Pense nisso como redundância gasta. O multisig deu a você duas fechaduras. Um atacante acabou de arrombar uma. A carteira ainda está segura hoje, mas não tem mais margem. A tarefa agora é restaurar a redundância antes que qualquer coisa toque a segunda chave.

Há também um risco mais silencioso. Um atacante que detém uma chave válida pode não desistir. Ele pode mudar de tática — aplicar phishing em você para conseguir a segunda assinatura, enviar uma solicitação de transação maliciosa para você aprovar, ou fazer engenharia social nos canais de suporte. Um comprometimento não é um evento único; é o início de uma campanha. Agir rápido encerra essa campanha.

Como reconhecer uma chave comprometida

O comprometimento raramente se anuncia. Ele costuma aparecer como um padrão que você pode aprender a identificar. Os mais comuns:

• Malware no dispositivo. Seu computador ou celular se comporta de forma estranha — pop-ups inesperados, extensões de navegador que você não instalou, uma interface de carteira que pede a sua frase-semente quando ela nunca pedia. Malware que alcança o dispositivo onde uma chave reside deve ser tratado como um comprometimento dessa chave.
• Uma transação aprovada por phishing. Você aprovou uma transação que não era o que pensava — uma página falsa de "verifique a sua carteira", uma conexão maliciosa a um dApp, uma transação cujos detalhes não correspondiam à tela que você esperava. Se você assinou algo sob pretextos falsos, presuma que a chave que assinou está exposta.
• Um dispositivo perdido, mas não apagado. Você perdeu um celular ou notebook e não consegue confirmar que ele estava bloqueado, criptografado ou apagado remotamente. Um dispositivo não recuperado que contém uma chave é uma chave nas mãos de outra pessoa até que se prove o contrário.
• Um backup vazado. Uma foto da sua frase-semente sincronizada em uma conta na nuvem, um arquivo de backup em um drive compartilhado, uma frase escrita que outra pessoa pode ter visto. Qualquer coisa que exponha o material do qual uma chave é derivada é um comprometimento dessa chave.

O teste honesto é simples: se você não consegue afirmar com confiança que uma chave é ainda exclusivamente sua, trate-a como comprometida. A autocustódia recompensa agir diante da suspeita, não esperar pela prova. Para mais sobre a mentalidade por trás disso, veja Por que a autocustódia importa agora.

Aja rápido: a primeira hora

Quando você suspeita de um comprometimento, a ordem de prioridade é fixa.

1. Isole o dispositivo suspeito. Desconecte-o da internet. Não "teste" a carteira nele. Não faça login para verificar. Cada ação em um dispositivo comprometido pode vazar mais.
2. Confirme os seus fundos com a chave limpa. Use o seu outro dispositivo — aquele em que você confia — para verificar saldos. Em um 2 de 2, você ainda pode ver a sua carteira; você simplesmente não vai autorizar nada ainda.
3. Não aprove nada. Esta é a hora crítica para os desdobramentos de phishing. Trate cada solicitação de transação, mensagem de suporte ou aviso de "verificação urgente" como hostil até que a sua carteira esteja reprotegida.
4. Planeje a rotação. Decida qual chave está comprometida e como você vai substituí-la. Não improvise no meio do processo.

A velocidade importa porque o atacante está disputando com você a segunda chave. Quanto mais rápido você rotacionar, menor a janela dele. A orientação geral de resposta a incidentes — por exemplo, o Guia de Tratamento de Incidentes de Segurança Computacional do NIST (SP 800-61) — destaca o mesmo ponto em um contexto corporativo: contenção antes de erradicação, e erradicação antes de recuperação. A ordem não é arbitrária.

Como a rotação de chaves volta a proteger a carteira

A rotação é a correção. O princípio: uma chave comprometida é permanentemente queimada. Você não a "limpa" nem volta a confiar nela. Você a substitui e move os seus fundos para uma carteira que o atacante nunca tocou.

Concretamente, isso significa:

• Gerar uma carteira nova em dispositivos em que você confia — dispositivos que foram verificados contra malware, ou idealmente um dispositivo totalmente limpo. Isso produz duas novas chaves e um novo par 2 de 2, sem relação com o comprometido.
• Mover os seus fundos da carteira antiga para a nova. Como você ainda controla ambas as chaves do 2 de 2 antigo, você ainda pode assinar essa transferência — o atacante, detendo apenas uma chave, não pode interrompê-la nem antecipá-la para o próprio endereço.
• Aposentar a carteira antiga por completo. Uma vez movidos os fundos, a carteira antiga — e a chave comprometida dentro dela — está morta. Ela não detém nada e não assina nada que importe.
• Restabelecer os seus backups. A sua nova carteira tem uma nova frase-semente BIP39. Faça o backup dela com a mesma disciplina que aplicaria a uma configuração nova, e certifique-se de que o backup vazado que iniciou este incidente seja destruído.

A razão pela qual isso funciona é a mesma pela qual o comprometimento pôde ser superado: o atacante nunca teve as duas chaves. Isso lhe deu uma maioria de assinatura que o atacante não podia igualar — tempo suficiente para evacuar para um lugar seguro. A rotação converte uma vantagem temporária em uma permanente.

A conclusão

Uma chave comprometida é uma emergência, não um desastre. A arquitetura 2 de 2 compra para você um tempo que uma carteira de chave única nunca oferece — mas esse tempo é uma margem a ser gasta de forma deliberada, não um motivo para relaxar. Reconheça cedo os padrões de comprometimento, isole rápido, recuse todo aviso de aprovação e rotacione para uma carteira limpa antes que a segunda chave corra qualquer risco. Faça isso, e uma chave roubada continuará sendo exatamente o que o multisig faz dela: metade de uma fechadura que não abre nada.