Hot wallet comprometida: plano de recuperação em 24 horas

7 de mai. de 2026

Descobrir que uma hot wallet foi comprometida costuma ser um dos momentos mais tensos para qualquer usuário de cripto. Os ativos podem estar saindo em tempo real, enquanto a dúvida é: o que fazer primeiro? O pânico também aumenta o risco de um segundo erro — por exemplo, conectar a carteira a um site falso de “recuperação de fundos” e dar ao atacante mais uma chance de roubar.

Este guia apresenta um plano de resposta em 24 horas, organizado por prioridade e por janela de tempo, para ajudar você a reduzir perdas, proteger o que ainda resta e reconstruir um ambiente de trading mais seguro.

Fase 1: primeiros 30 minutos — contenção imediata

A primeira reação não deve ser simplesmente “transferir tudo correndo”. Antes disso, você precisa entender se o ataque ainda está em andamento.

Desconecte imediatamente essa carteira de todos os DApps. Em carteiras como MetaMask, acesse a lista de “sites conectados” e remova todas as conexões. Isso reduz a chance de DApps já autorizados continuarem solicitando assinaturas ou interações.

Em seguida, acesse o Revoke.cash, insira o endereço comprometido e verifique todas as aprovações de tokens ativas. Preste atenção especial às permissões com limite “Unlimited” ou “Ilimitado”, pois elas costumam ser uma das portas mais exploradas por drenadores de carteira. Revogue, uma a uma, todas as aprovações suspeitas ou de protocolos que você não reconhece.

Lembre-se: revogar uma aprovação exige uma transação on-chain, então o endereço precisa ter uma pequena quantidade de ETH ou do token nativo da rede para pagar gas. Se a carteira estiver completamente zerada, talvez seja necessário enviar apenas o suficiente para pagar as revogações — sempre a partir de uma fonte segura e com muito cuidado para não expor outra carteira.

Também registre evidências: tire prints do saldo atual, histórico de transações e lista de aprovações. Essas informações ajudam na análise posterior do vetor de ataque e podem ser úteis se você decidir reportar o caso.

Fase 2: 1 a 4 horas — mover os ativos restantes

Depois de revogar aprovações de alto risco, transfira os ativos restantes para um endereço totalmente novo, sem relação com a carteira comprometida.

Se você já tem uma hardware wallet OneKey, este é o momento de usá-la. Um endereço gerado por uma carteira hardware que nunca interagiu com DApps suspeitos tende a ser um destino muito mais seguro para receber fundos. Se você ainda não tem uma hardware wallet, crie uma nova carteira em um dispositivo limpo — idealmente um celular recém-resetado — e anote a seed phrase fisicamente. Não tire print, não salve em nuvem e não envie por e-mail ou app de mensagens.

Priorize a transferência por valor: primeiro os ativos mais relevantes, como ETH e stablecoins principais; depois tokens menores. Mas não opere a nova carteira no dispositivo comprometido. Se houver keylogger, extensão maliciosa ou malware ativo, digitar ou visualizar a nova seed phrase nesse ambiente pode comprometer também a carteira recém-criada.

Pesquisas sobre crypto drainers, como as da Chainalysis, mostram que atacantes costumam automatizar a drenagem de ativos de alto valor poucos minutos após obter acesso inicial. Velocidade importa, mas agir rápido em um dispositivo inseguro pode piorar a situação.

Fase 3: 4 a 12 horas — auditoria e limpeza completa

Depois que os ativos restantes estiverem fora da carteira comprometida, comece a auditoria detalhada.

No Revoke.cash, faça uma revisão completa do endereço atacado e confirme se todas as aprovações foram revogadas. Mesmo que você pretenda abandonar esse endereço, as aprovações não revogadas ainda ajudam a entender o ataque e podem indicar riscos em outros endereços derivados da mesma seed, caso você tenha reutilizado a frase.

Revise todas as extensões instaladas no navegador: data de instalação, permissões solicitadas e origem. Remova imediatamente extensões desconhecidas, extensões com permissões excessivas ou qualquer ferramenta que pareça imitar uma carteira oficial.

Relembre os DApps acessados nos últimos 30 dias e compare os domínios com listas conhecidas de phishing. É comum que ataques venham de front-ends falsos de DEX, páginas de airdrop, mint ou “claim”.

Também verifique o sistema operacional:

  • há tarefas agendadas suspeitas?
  • existem programas desconhecidos iniciando com o sistema?
  • o comportamento da área de transferência está normal?
  • ao copiar um endereço, ele permanece idêntico ao colar?

Se o endereço colado for diferente do copiado, você pode estar diante de um malware de clipboard hijacking, que troca silenciosamente o endereço de destino por um endereço do atacante.

Fase 4: 12 a 24 horas — identificar a causa e reconstruir o setup

Ao final da auditoria, você deve conseguir estimar o caminho mais provável do ataque. Os vetores mais comuns incluem:

  • Link de phishing: acesso a uma DEX falsa, página de airdrop ou site clonado que roubou a seed phrase ou induziu uma assinatura maliciosa.
  • Aprovação maliciosa: assinatura de uma transação que concedeu permissão ampla para movimentar tokens.
  • Seed phrase vazada: frase de recuperação armazenada digitalmente em print, nuvem, e-mail, bloco de notas ou app de mensagens.
  • Clipboard hijacking: malware que substitui endereços copiados antes da transação.
  • Extensão maliciosa: instalação de carteira falsa ou ferramenta de navegador que enviou chaves privadas ou dados sensíveis ao atacante.

Depois de identificar o vetor provável, faça uma limpeza profunda do dispositivo afetado. Não confie apenas em antivírus. Malwares mais sofisticados podem escapar de varreduras comuns. O mais seguro é resetar para configurações de fábrica ou reinstalar o sistema operacional.

A nova estrutura de segurança deve se apoiar em dois pilares: assinatura por hardware e permissões mais granulares. A assinatura por hardware isola a chave privada do ambiente online; padrões como EIP-4337 podem, em determinados contextos, permitir controles mais flexíveis, como recuperação social e políticas de permissão. Além disso, sempre que possível, prefira assinaturas legíveis via EIP-712, para entender claramente o que está assinando e reduzir o risco de “blind signing”.

Linha do tempo de recuperação em 24 horas

JanelaPrioridadeAção principal
0–30 minConter o danoDesconectar DApps, revisar aprovações, revogar permissões suspeitas e registrar evidências
1–4 hProteger saldo remanescenteTransferir ativos restantes para uma carteira nova e segura, preferencialmente uma hardware wallet OneKey
4–12 hAuditarRevisar extensões, DApps usados, aprovações, malware e comportamento da área de transferência
12–24 hReconstruirResetar dispositivos comprometidos, criar novo setup e adotar assinatura por hardware

Como evitar que aconteça de novo

Uma hot wallet comprometida raramente é um evento totalmente isolado. Em muitos casos, é o resultado de hábitos de segurança negligenciados por meses.

As medidas principais para reduzir recorrência são:

  • Mantenha a maior parte dos ativos em cold storage, preferencialmente em uma hardware wallet.
  • Use hot wallets apenas com valores mínimos necessários para operações do momento.
  • Revise aprovações de tokens pelo Revoke.cash pelo menos uma vez por mês.
  • Remova permissões de protocolos que você não usa mais.
  • Nunca digite sua seed phrase em sites, aplicativos, formulários ou conversas com supostos “suportes”.
  • Desconfie de urgência artificial: “valide agora”, “recupere seus fundos”, “claim expira em minutos” e mensagens semelhantes.
  • Confira sempre os primeiros e últimos caracteres do endereço antes de confirmar uma transação.

Documentações sobre phishing, como as referências da OWASP, mostram que atacantes são muito bons em imitar interfaces oficiais e criar pressão psicológica. Uma carteira legítima não precisa da sua seed phrase para “verificar”, “sincronizar” ou “recuperar” sua conta.

Reconstruindo sua base de segurança com OneKey

Depois de um incidente, a melhor resposta não é apenas criar outra hot wallet igual à anterior. É subir o padrão de segurança.

A OneKey oferece hardware wallets com armazenamento de chave privada fisicamente isolado e suporte a gestão multichain. Para quem também opera derivativos, a combinação com OneKey Perps permite continuar negociando perps em um fluxo mais prático, sem KYC, mantendo uma separação melhor entre custódia, assinatura e execução de trades.

Acesse o site oficial da OneKey para conhecer os modelos, o app e a arquitetura de segurança. O código aberto disponível no GitHub também permite auditoria pública. Se você usa DEX front-ends, consulte a documentação do WalletConnect para entender como conectar uma hardware wallet com mais segurança.

CTA simples: se você ainda opera valores relevantes apenas com hot wallet, considere baixar o app da OneKey, configurar uma hardware wallet e testar o fluxo com OneKey Perps usando valores pequenos antes de migrar sua rotina de trading.

FAQ

Q1: Descobri que minha carteira foi roubada. Qual deve ser o primeiro passo?

O primeiro passo não é sair transferindo tudo em pânico. Desconecte a carteira de todos os DApps e use o Revoke.cash para revogar aprovações de tokens suspeitas. Isso pode impedir que contratos já autorizados continuem movimentando ativos. Se os fundos ainda estiverem saindo, mova o saldo remanescente — mas apenas usando um dispositivo limpo.

Q2: Consigo recuperar cripto roubada?

Na maioria dos casos, não. Transações on-chain são irreversíveis. Em situações raras, se os fundos forem enviados para uma corretora centralizada regulada e o valor for relevante, pode haver tentativa de congelamento via denúncia, mas a chance de sucesso costuma ser baixa. O objetivo mais realista é conter perdas, proteger o que restou e evitar um novo ataque.

Q3: O que é clipboard hijacking e como saber se fui afetado?

Clipboard hijacking é um malware que monitora sua área de transferência. Quando detecta um endereço cripto, ele troca o endereço copiado por um endereço do atacante. Para testar, copie um endereço e cole em um editor de texto simples. Se o texto colado for diferente do endereço original, o dispositivo está comprometido. Para se proteger, opere apenas em dispositivos confiáveis e confira sempre os primeiros e últimos caracteres do endereço.

Q4: Se minha seed phrase vazou, adianta criar um novo endereço?

Não, se o novo endereço for derivado da mesma seed phrase. Quem tem a seed consegue derivar todos os endereços associados. Você precisa criar uma seed phrase totalmente nova, em um dispositivo limpo, e nunca reutilizar a frase antiga.

Q5: Hyperliquid ou dYdX conseguem congelar meus ativos?

Hyperliquid e dYdX são plataformas descentralizadas e não possuem um mecanismo centralizado de congelamento de ativos como uma corretora custodial. Depois que os ativos são movimentados por contratos inteligentes, a plataforma normalmente não consegue intervir. Por isso, defesa preventiva — hardware wallet, gestão de aprovações e cuidado contra phishing — é mais importante do que tentar remediar depois.

Conclusão: use a crise para reconstruir melhor

Ter uma hot wallet comprometida é uma experiência difícil, mas também pode ser o ponto de virada para adotar um setup realmente mais profissional. Siga a linha do tempo de 24 horas para conter danos, auditar o incidente e reconstruir sua base de segurança.

Depois disso, considere experimentar a OneKey, configurar uma hardware wallet e usar OneKey Perps de forma gradual, com valores controlados, para manter sua rotina de trading sem abrir mão de uma estrutura de custódia mais segura.

Aviso de risco

Este conteúdo é apenas educacional e não constitui aconselhamento jurídico, financeiro, de investimento ou de segurança. Criptoativos e trading envolvem alto risco, e nenhuma medida de segurança oferece proteção absoluta. Em caso de perda de ativos, considere registrar ocorrência junto às autoridades competentes e preserve todos os registros on-chain como evidência. Tome decisões somente após entender os riscos envolvidos.

Proteja sua jornada criptográfica com o OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

A carteira de hardware mais avançada do mundo.

View details for Baixar aplicativoBaixar aplicativo

Baixar aplicativo

Alertas de golpe. Todas as moedas suportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clareza Cripto—A uma chamada de distância.