Código OKX8888XX

Cadastre-se na OKX com o código do site e pague 20% menos em taxas*

Criar conta na OKX
* Percentual de desconto conforme exibido na página oficial da OKX; pode mudar com a política da plataforma e não estar disponível para todas as regiões ou contas. Site independente, sem vínculo oficial com a OKX.
LWLianwuGuia prático de cripto em português

Manual completo de segurança da conta e dos ativos

Segurança de conta cripto e proteção contra roubo: escudo, chaves e camadas de defesa
Ilustração: Equipe editorial Lianwu

Aqui na equipe editorial existe um consenso meio desconfortável de admitir: no mundo cripto, a aula mais cara quase nunca é errar a leitura do mercado — é abrir a conta um dia e encontrá-la vazia. Preço que caiu pode voltar; ativo transferido para fora e chave privada vazada, na imensa maioria dos casos, não voltam. Por isso este manual não fala de ganhar dinheiro. Ele trata de uma coisa só: como evitar que aquilo que você já tem desapareça sem explicação. Vou destrinchar conta, saque, guarda e emergência em blocos separados, cada um com ações que você pode executar hoje. Use o sumário para pular direto ao que interessa; no fim tem um checklist completo.

Antes de tudo, ajuste a cabeça para segurança

Para muita gente, segurança se resume a "colocar uma senha difícil". Mas o modelo de segurança dos criptoativos tem uma diferença de raiz em relação a cartão de banco e rede social: a maior parte das operações não tem desfazer, e não existe atendente capaz de reverter nada por você. Uma transferência na blockchain confirmada é dinheiro que virou de outra pessoa; numa conta de corretora invadida a plataforma até pode ajudar, mas uma carteira esvaziada pela chave privada não tem instituição nenhuma que resolva.

A postura certa, então, é se tratar como o segurança do próprio cofre. O atacante não precisa acertar sempre; basta você vacilar uma vez. Na prática, a esmagadora maioria dos roubos cai nos mesmos golpes de sempre — senha fraca, verificação por SMS, clique em link de phishing, saque sem conferir o endereço, frase-semente guardada em lugar conectado. Feche essas portas e você já escapou de nove entre dez ataques.

Um ponto contraintuitivo: o inimigo da segurança raramente é a técnica sofisticada de hacker; é a preguiça. Print da frase-semente, verificação por SMS, saque sem conferência — cada atalho pequeno, somado aos outros, vira um buraco grande.

Camada da conta: senha, duas etapas e gestão de login

A camada da conta é a primeira porta entre você e seus ativos. Fazer bem feito não é difícil e rende muito.

Senha forte: comprimento vale mais que enfeite

Esqueça "aniversário + nome + !". Uma senha decente tem alguns requisitos: comprimento suficiente (16 caracteres ou mais), uma diferente para cada site, e nada que se relacione com você e possa ser adivinhado. O comprimento vale muito mais do que "acrescentar um símbolo". Não decorar tudo é normal — use um gerenciador de senhas (Bitwarden, 1Password, KeePass) para gerar e guardar senhas aleatórias; você só memoriza a senha-mestra. E capriche nela: bem forte e, de preferência, com duas etapas ativadas também.

Duas etapas: prefira o autenticador, não dependa do SMS

A autenticação em duas etapas (2FA) é o item de melhor custo-benefício da segurança de conta, mas o método escolhido muda tudo. A ordem de prioridade:

  • Chave de segurança física (como YubiKey) — a mais forte: é um dispositivo físico que nem o phishing leva embora. Boa para contas de valor alto.
  • Aplicativo autenticador TOTP (Google Authenticator, Authy etc.) — o código dinâmico existe só no seu celular, gerado offline. Dá conta do dia a dia e é a escolha da maioria.
  • SMS — melhor que nada, mas nunca como única linha de defesa. O SMS está sujeito a clonagem de chip (SIM swap) e a golpes de engenharia social contra a operadora; quem toma seu número pode interceptar os códigos.

Na prática: entre nas configurações de segurança das corretoras e carteiras que você usa e troque o 2FA de SMS para autenticador ou chave física. Ao configurar o TOTP, a plataforma mostra códigos de recuperação — copie-os à mão e guarde offline. Se trocar ou perder o celular, esses códigos são a única saída para vincular o autenticador de novo.

Contra credential stuffing: um site vazou, os outros não caem juntos

"Credential stuffing" é quando o atacante pega logins e senhas vazados de um site qualquer e testa em todas as suas outras contas. Se você repete a mesma senha em tudo, basta um site pequeno ser comprometido para a conta da corretora ficar exposta junto. A defesa cabe numa frase: uma senha diferente para cada site. Vale conferir no Have I Been Pwned se o seu e-mail aparece em vazamentos conhecidos — se aparecer, troque tudo imediatamente.

Dispositivos e sessões: faça a limpeza periódica

Corretoras sérias têm páginas de "dispositivos conectados" ou "sessões ativas", listando aparelho, IP e horário de cada login. Olhe de tempos em tempos: dispositivo desconhecido, derrube na hora e troque a senha. Ative também as notificações de login incomum (aparelho novo, local diferente) — se alguém entrar, você fica sabendo no ato.

Código antiphishing: e-mail falso denunciado de cara

Várias corretoras oferecem o "código antiphishing": você define um texto seu, e todos os e-mails legítimos da plataforma passam a exibi-lo. O golpista que forjar um e-mail não conhece o seu código e não tem como incluí-lo. São poucos minutos de configuração que barram uma pilha de e-mails falsos — ative nas configurações de segurança; o caminho está na central de ajuda oficial da OKX.

Checklist

Fechou todos os itens da camada da conta? Senha, autenticador, código antiphishing, lista de dispositivos — no fim do artigo tem um checklist de segurança completo para marcar item por item.

Ir para o checklist →

Reconhecer phishing e engenharia social: falso suporte, app falso, airdrop falso

De nada adianta blindar a conta se você mesmo entrega a chave ao golpista. Phishing e engenharia social existem exatamente para isso — fazer você entregar por vontade própria — e estão cada vez mais convincentes. Os roteiros mais comuns:

  • Falso suporte: alguém se apresenta como "oficial" e chega por mensagem privada, ligação ou como "funcionário" em grupos, alegando "conta com problema" ou "vamos desbloquear para você", e pede senha, código de verificação ou frase-semente — ou induz você a clicar num link e instalar um "plugin de segurança". Grave a regra de ferro: o suporte verdadeiro nunca pede senha, chave privada ou frase-semente; "suporte" que procura você primeiro é golpista em quase cem por cento dos casos.
  • App falso / site falso: anúncios pagos em buscadores, publicidade em redes sociais e lojas de aplicativos alternativas exibem sites e apps quase idênticos aos verdadeiros para capturar seu login ou sua frase-semente. Baixe apenas do domínio oficial ou da loja oficial e confira o endereço letra por letra — golpista adora trocar o por 0 e acrescentar hífen para enganar o olho.
  • Airdrop falso / promoção falsa: dizem que você recebeu um airdrop ou ganhou um prêmio e pedem para conectar a carteira e assinar uma autorização, ou "ativar" pagando o gas. Muitas assinaturas de aparência inofensiva na verdade entregam ao golpista a permissão de transferir seus ativos. Diante de airdrop de origem desconhecida, o seguro é não tocar, não conectar, não assinar.
  • QR code falso e "recarga com desconto": alguém no grupo publica um código de pagamento oferecendo "recarga mais barata". Escaneou, transferiu para um estranho — sem garantia nenhuma.

Mais variantes estão em golpes e phishing mais comuns. O critério de julgamento é sempre o mesmo: tudo que cria urgência, exige ação imediata, pede informação sensível ou induz assinatura de autorização merece uma pausa — saia da página e verifique você mesmo pelo canal oficial. O momento de maior risco é quando você está ansioso e alguém "aparece" na hora exata para ajudar. Se estão apressando você, a reação certa é desacelerar.

Segurança no saque: endereço, lista de permitidos e área de transferência

O saque é o passo de maior risco concentrado do dia a dia, porque não tem volta: endereço errado ou adulterado significa dinheiro que não retorna.

Confira o endereço por inteiro, não só as pontas

Quase todo mundo cola o endereço, bate o olho no começo e no fim e confirma. É exatamente essa brecha que o atacante explora — existem programas maliciosos que geram endereços com as mesmas pontas e o meio diferente para fazer a troca. O certo é conferir por inteiro: começo, meio e fim, por segmentos; com valores altos, conferir caractere por caractere não é exagero. Fizemos uma ferramenta que compara endereços e valida o formato: o verificador de endereço; o método completo está em como conferir um endereço antes do saque.

Contra o sequestro da área de transferência

O "sequestro de área de transferência" é um golpe comum: um malware monitora o que você copia e, ao detectar um endereço cripto, troca silenciosamente pelo endereço do atacante. Você acha que colou o seu; já foi substituído. Como se defender:

  • Depois de colar, confira de novo contra a fonte, posição por posição — é a última e mais eficaz das barreiras.
  • Mantenha o dispositivo limpo: nada de programas, extensões ou "mods" de origem duvidosa.
  • Quando possível, use o QR code de quem recebe para reduzir a etapa manual de copiar e colar.

Lista de endereços permitidos e teste com valor pequeno

Dois hábitos derrubam bastante o risco do saque:

  • Ativar a lista de endereços permitidos: cadastre os endereços que você usa; com a lista ativa, o saque só sai para eles. Mesmo com a conta invadida, fica difícil para o golpista mandar dinheiro para o endereço dele (alterar a lista costuma exigir nova verificação e um período de espera).
  • Testar com valor pequeno antes do valor cheio: para endereço novo ou quantia alta, envie primeiro um valor mínimo, confirme a chegada e só então transfira o resto. Alguns centavos de taxa de rede compram a certeza de que o endereço está certo — negócio excelente.

E não esqueça de conferir a rede (a blockchain). O mesmo USDT circula em redes diferentes (TRON, Ethereum e outras), com formatos e formas de chegada distintos; errar a rede também perde moedas. Saque e depósito precisam usar a mesma rede — é o descuido mais comum de iniciante.

Ferramenta

Antes de sacar, passe o endereço por uma verificação: o verificador de endereço roda inteiramente no navegador, sem enviar dados, compara dois endereços e checa o formato. Combine com o guia de conferência de endereço para mais segurança.

Abrir o verificador →

Guarda própria vs. custódia da corretora: como pesar

"Deixo as moedas na corretora ou levo para a minha carteira?" — todo iniciante chega a essa dúvida. A resposta curta: não existe padrão certo; é uma troca entre dois tipos de risco, não uma disputa entre bom e ruim.

DimensãoCustódia da corretoraGuarda própria (carteira sua)
Quem segura a chaveA plataforma (você não tem a chave privada)Você (chave privada / frase-semente com você)
Esqueceu a senha / perdeu o aparelhoEm geral dá para recuperar com verificação de identidadeFrase-semente perdida praticamente não tem recuperação
Risco principalRisco da plataforma, invasão de conta, saques restritosErro próprio, frase-semente vazada ou perdida
Cenário adequadoOperar no dia a dia, valores pequenos, praticidadeLongo prazo, valores altos, autonomia

A custódia é cômoda — a plataforma carrega por você a tarefa mais propensa a erro, que é gerenciar a chave privada, e ainda recupera a senha esquecida; o preço é assumir o risco da empresa e o de invasão. A guarda própria devolve o controle às suas mãos — "not your keys, not your coins" é sobre isso — e o preço é que toda a responsabilidade também vira sua: um descuido com a frase-semente é perda sem volta.

Para a maioria das pessoas, a resposta não é escolher um lado, e sim dividir em camadas (a próxima seção detalha). Para entender as diferenças entre carteira quente, fria e de hardware antes de decidir, leia quais tipos de carteira existem.

Frase-semente e chave privada: como guardar sem sustos

Se você optou pela guarda própria, a frase-semente (também chamada de seed phrase, normalmente 12 ou 24 palavras em inglês) é a chave-mestra de todos os seus ativos. Quem a tiver é dono de tudo que está lá dentro, sem nenhuma verificação adicional.

Como guardar

  • Cópia manual offline: escreva à mão em papel, com letra legível e na ordem certa. Quem quer capricho usa placa de metal, que resiste a fogo e água.
  • Locais separados: faça mais de uma cópia e guarde em lugares seguros diferentes, para que um único acidente não leve tudo.
  • Conheça a divisão em partes e a multiassinatura: quem quiser ir além pode dividir a frase em partes (só o conjunto restaura) ou usar carteira multiassinatura, de modo que uma cópia isolada vazada não movimente nada.

O que nunca fazer

  • Nunca fotografar, capturar a tela ou salvar na galeria — a galeria costuma sincronizar sozinha com a nuvem, o que equivale a publicar a frase na internet.
  • Nunca enviar para si mesmo — WhatsApp, e-mail e nota na nuvem podem ser invadidos ou vazar.
  • Nunca digitar em página web ou app de origem desconhecida — pedido de "importar a frase-semente para verificar" é phishing até prova em contrário.
  • Nunca contar a ninguém — inclusive quem se diz suporte, técnico ou administrador de grupo.

O método detalhado está em como guardar a frase-semente com segurança.

Uma frase para memorizar a linha de defesa: senha se troca, aparelho se substitui, 2FA se redefine — só a frase-semente e a chave privada, uma vez vazadas, não têm "cancelar e emitir de novo". O tratamento delas tem que ser diferente de tudo: prefira o trabalho dobrado, jamais a internet.

Fundos em camadas: não coloque tudo numa cesta só

"Camadas" significa distribuir valores e usos diferentes em níveis diferentes de segurança, para que nenhum ponto único de falha leve tudo de uma vez. A divisão mais comum:

  • Carteira quente / corretora, valor pequeno: a fatia que você vai negociar e movimentar em breve. Mantenha o valor controlado — se perder, dói, mas não quebra.
  • Armazenamento frio, valor grande: o patrimônio de longo prazo fica em carteira fria / de hardware, desconectada no dia a dia, fora do alcance de ataque remoto. Quando precisar, transfere uma parte para a ponta quente.

A essência é separar "conveniência" de "segurança": no lugar conveniente, só o que você aguenta perder; no lugar seguro, a parte grande. A proporção depende do seu patrimônio, mas "tudo empilhado numa única conta conectada" quase nunca é boa ideia.

Se algo der errado, siga esta ordem

Se você notar algo anormal — login que não reconhece, ativos se mexendo, notificação de saque que você não fez — não entre em pânico, mas seja rápido. Deixando claro desde já: estes passos servem para conter a perda e preservar provas; não garantem recuperação, e ativos transferidos na blockchain em geral não voltam.

  1. Congelar / estancar: corte o risco imediatamente. Se der para congelar a conta, os saques ou os ativos, faça agora; corretoras costumam ter canal de congelamento de emergência. Primeiro trave o que ainda não saiu.
  2. Trocar de aparelho e de senha: em outro dispositivo comprovadamente limpo, troque a senha, redefina o 2FA, revogue autorizações de terceiros e derrube todas as sessões. O aparelho comprometido pode continuar invadido — não opere mais nele.
  3. Transferir o que restou: se a chave privada ou a frase-semente pode ter vazado, a carteira inteira deixou de ser segura. Mova o que ainda não foi levado para um endereço novo em folha, jamais exposto — se precisar, comece pela parte mais crítica.
  4. Preservar provas: capture e guarde registros anormais, hashes de transação, e-mails e mensagens suspeitos, contas envolvidas. Tudo isso serve para contestação, boletim de ocorrência e rastreamento do dinheiro.
  5. Reportar e pedir ajuda: acione o suporte oficial da corretora (entrando pelo site ou app oficial — nunca pelo "suporte" que procurou você) e explique o caso; com valores maiores, registre ocorrência na polícia. E investigue a origem — senha vazada, phishing clicado ou aparelho infectado: achar a causa evita a repetição.

Falando com franqueza: a taxa de recuperação de cripto roubada é baixa, principalmente quando a chave privada vazou e houve transferência na blockchain. Esta sequência existe para reduzir a perda e reunir provas, não para alimentar a ilusão de que "vai voltar". O que salva de verdade é fazer bem feito, antes, tudo que está nas seções anteriores.

Um checklist de segurança para executar

Percorra a lista abaixo e complete o que estiver faltando. Vale repetir a checagem de tempos em tempos.

CategoriaItem de verificaçãoFeito?
ContaSenha forte e exclusiva por site, guardada em gerenciador de senhas(  )
2FA migrado para app autenticador ou chave física, sem depender de SMS(  )
Códigos de recuperação do 2FA guardados offline; notificações de anomalia e código antiphishing ativos(  )
DispositivosRevisão periódica dos dispositivos conectados, derrubando os desconhecidos(  )
Aparelho limpo, sem programas ou extensões de origem duvidosa(  )
AntigolpeClaro na cabeça: o oficial nunca pede senha / chave privada / frase-semente(  )
Downloads só do site/loja oficiais, endereço conferido letra por letra(  )
SaqueEndereço conferido posição por posição, com a rede (blockchain) igual nas duas pontas(  )
Lista de endereços permitidos ativada(  )
Endereço novo / valor alto: teste pequeno primeiro, chegada confirmada, depois o resto(  )
GuardaFrase-semente copiada à mão, offline, em locais separados, nunca na rede(  )
Frase-semente e chave privada jamais reveladas a pessoa / página / app(  )
CamadasPonta quente só com valor pequeno; valor grande em armazenamento frio offline(  )
EmergênciaOrdem de resposta memorizada: congelar → trocar senha → transferir → preservar provas(  )

Se sobraram vários itens em branco, sem ansiedade — complete por ordem de importância: primeiro as duas etapas, depois os hábitos de saque, depois a guarda da frase-semente. Segurança é hábito, não tarefa de uma vez só.

Perguntas frequentes

Duas etapas por SMS ou por aplicativo autenticador?

Prefira o autenticador TOTP ou uma chave de segurança física, não o SMS. O SMS pode ser interceptado por clonagem de chip ou engenharia social contra a operadora; o código do autenticador existe só no seu celular. SMS pode ficar de reserva, mas nunca como única linha de defesa.

Descobri que minha conta foi invadida. O que fazer primeiro?

Primeiro congele o que puder, depois, em outro dispositivo limpo, troque a senha, redefina o 2FA e derrube todas as sessões. Se a chave privada ou a frase-semente pode ter vazado, transfira o que restou para um endereço totalmente novo. Preserve as provas do início ao fim e não conte com recuperação garantida.

Posso fotografar a frase-semente e deixar na galeria do celular?

Não é recomendado. Fotografar, capturar a tela ou enviar para si mesmo por WhatsApp ou e-mail transforma a frase em dado conectado; basta a galeria sincronizar com a nuvem ou o aparelho ser invadido para vazar. O mais seguro é copiar à mão em papel ou metal e guardar em locais separados.

Guardar na própria carteira ou deixar na corretora: qual é mais seguro?

Não há resposta absoluta; são dois tipos de risco em troca. A custódia é prática e recupera senha, mas você carrega o risco da plataforma e o de invasão; na guarda própria o controle é seu, mas frase-semente perdida não tem socorro. O meio-termo comum é dividir: valor pequeno na corretora, valor grande em armazenamento frio próprio.

Por que enviar um valor pequeno de teste antes de sacar?

Porque transferência na blockchain não tem volta: endereço errado ou trocado por malware manda os ativos para o destino errado. Envie primeiro uma quantia bem pequena, confirme a chegada e só então transfira o valor cheio — um custo mínimo que bloqueia o erro mais fatal.

Leituras complementares e fontes oficiais

Para reforçar ainda mais, estas fontes valem a leitura (páginas externas, abrem em nova janela): a central de ajuda oficial da OKX, a área educativa da Ledger, a página de segurança do ethereum.org, o guia proteja sua carteira do bitcoin.org, o explorador Etherscan, o material de segurança da CISA (Estados Unidos) e a checagem de vazamento de e-mail Have I Been Pwned.

Continue lendo