Equipe de segurança da OKX Web3: Proteja sua chave privada como a menina dos seus olhos

Source: OKX

Not Your Keys, Not Your Coins — a liberdade descentralizada ao custo de uma "segurança da chave privada" absoluta.

Um relatório da Chainalysis de julho de 2025 mostra que 17%-23% de Bitcoin está permanentemente inativo devido à perda da chave privada ou danos ao dispositivo. Como a chave privada representa a propriedade do ativo, uma vez perdida, ela não pode ser redefinida, e não há atendimento ao cliente para ajudar a recuperá-la. Se a chave for comprometida e os fundos roubados, a recuperação é quase impossível. O mundo online nos concedeu liberdade, mas também colocou toda a responsabilidade de volta em nossas mãos. À medida que o ecossistema online prospera, vários incidentes de roubo de ativos ocorrem com frequência. No entanto, os indivíduos muitas vezes percebem tarde demais e lutam para identificar onde o problema ocorreu — A chave privada vazou? Eles clicaram em um link de phishing? Baixaram malware? Ou foi outro erro operacional?

A equipe de segurança Web3 da OKX visa aumentar a conscientização de todos sobre a segurança da chave privada por meio deste conteúdo educacional e destacar mais uma vez aqueles pontos cegos de segurança que são frequentemente ignorados.

1. Por que uma chave privada ou frase mnemônica pode vazar?

Em primeiro lugar, vamos corrigir um equívoco comum. Muitos usuários acreditam que um vazamento de chave privada ou frase mnemônica (doravante denominado "vazamento de chave privada") geralmente ocorre durante o uso de uma crypto wallet. Na realidade, se você baixar e usar uma carteira por meio de canais oficiais e usar uma carteira de uma marca respeitável, a chave privada geralmente não vaza durante o uso normal. Vazamentos de chave privada ocorrem principalmente devido ao armazenamento inadequado e aquisição por atores mal-intencionados. Uma vez que alguém possui sua chave privada, eles podem importá-la para qualquer carteira e controlar os ativos da conta.

Na verdade, existem muitas razões para vazamentos de chave privada, e a fonte exata é muitas vezes difícil de identificar completamente. No entanto, analisando inúmeros casos da indústria e auxiliando em investigações, compilamos alguns cenários e pistas típicos (conforme descrito abaixo).

Imagem: Desafios de análise no roubo de chave privada compartilhados por Xuandong da SlowMist

2. Cenários comuns de vazamento de chave privada e métodos de mitigação

(1) Cenário mais facilmente ignorado: Vazamento durante a criação da carteira

Estudo de caso 1: Assistência na criação de carteira por terceiros. O Sr. Li tinha acabado de começar a explorar a Web3 e, com a ajuda de um "mentor entusiasmado", criou uma carteira. O mentor o ajudou na criação da carteira, na definição da senha de transação e o guiou por depósitos e transações. Embora uma senha de transação tenha sido definida para a carteira, durante o processo de criação, o mentor já havia obtido sua chave privada. Alguns dias depois, os 5 ETH que o Sr. Li depositou foram rapidamente transferidos. Foi só então que ele percebeu que a senha de transação era apenas para validação local, e qualquer pessoa com a chave privada poderia importá-la para qualquer carteira e transferir diretamente seus ativos.

Recomendação de segurança: As carteiras devem ser criadas de forma independente, sem deixar ninguém "ajudar" ou "agir em nome de". Se houver suspeita de que a chave privada possa ter sido comprometida, os ativos devem ser prontamente transferidos para uma nova carteira.

Estudo de caso 2: Criação de carteira via compartilhamento de tela em videoconferência. A Sra. Zhang, sob orientação remota de um "professor", criou uma carteira via compartilhamento de tela em videoconferência. O professor demonstrou passo a passo: baixar a carteira, gerar a frase mnemônica, recarregar Gas e comprar tokens. Todo o processo parecia muito "íntimo" e, no final, ela foi até lembrada: "Nunca vaze sua chave privada para ninguém". No entanto, sem o conhecimento dela, no momento do compartilhamento de tela, a frase mnemônica pode ter sido gravada. Duas semanas depois, aproximadamente US$ 12.000 em USDT em sua conta foram transferidos.

Recomendação de segurança: Ao criar uma carteira, desative o compartilhamento de tela, gravação de tela ou funções de compartilhamento de tela. Se houver suspeita de que a chave privada possa ter sido comprometida, os ativos devem ser prontamente transferidos para uma nova carteira. Além disso, na página da carteira OKX que exibe a chave privada e a frase mnemônica, capturas de tela, gravação ou compartilhamento de tela não são permitidos, aumentando efetivamente a segurança.

Imagem: Quando o compartilhamento de tela é detectado, a carteira OKX oculta automaticamente a frase mnemônica e a chave privada, impedindo que outros visualizem o texto

(II) Cenário mais comum: Armazenamento inadequado da chave privada levando ao vazamento

Estudo de caso 3: APP falso, pesadelo de um usuário Android. O Sr. Wang, um usuário cauteloso, tirou uma captura de tela da frase mnemônica após criar uma carteira e a armazenou em sua galeria de fotos local, nunca a enviando para a nuvem, pensando que isso era mais seguro. No entanto, ele baixou uma suposta "versão aprimorada do Telegram" de um fórum, um APP cujo ícone e interface eram quase idênticos à versão oficial. Na realidade, ele escaneava continuamente a galeria do telefone em segundo plano, usava tecnologia de Reconhecimento Óptico de Caracteres (OCR) para identificar a frase mnemônica e a carregava automaticamente no servidor de um hacker. Três meses depois, todos os ativos na conta do Sr. Wang foram esvaziados, resultando em uma perda superior a US$ 50.000. A análise técnica revelou que seu telefone também tinha APPs falsos imToken, MetaMask, Google Authenticator e outros APPs maliciosos.

Caso quatro: APP malicioso BOM levando ao vazamento mnemônico. Em 14 de fevereiro de 2025, vários usuários sofreram incidentes concentrados de roubo de ativos de carteira. Por meio da análise de dados on-chain, todos esses casos de roubo apresentaram características típicas de vazamento de frase mnemônica/chave privada. Revisitas adicionais aos usuários afetados revelaram que a maioria deles havia instalado e usado anteriormente um aplicativo chamado BOM. Uma investigação aprofundada mostrou que este aplicativo era, na verdade, um software fraudulento cuidadosamente disfarçado. Atores mal-intencionados, por meio da manipulação de autorização do usuário, obtiveram ilegalmente permissões de frase mnemônica/chave privada, permitindo a transferência sistemática de ativos e tentando ocultar suas ações.

Conselho de segurança: Muitos usuários, por "conveniência", desenvolvem hábitos que são ironicamente os mais perigosos. Portanto, recomenda-se que todos: 1) Não tirem uma captura de tela da frase mnemônica! Sugere-se copiá-la manualmente em papel e armazená-la em um local seguro. 2) Ao baixar um aplicativo, certifique-se de usar apenas os canais oficiais, e não tente facilmente versões "aprimoradas" desconhecidas ou modificações de terceiros. 3) Se forem detectadas anomalias no dispositivo ou se a chave privada já tiver sido capturada em tela antes, não conte com a sorte e transfira imediatamente os ativos para uma nova carteira. 4) O que a OKX fez? Para evitar que os usuários tirem capturas de tela nas páginas de backup da chave privada e da frase mnemônica, desativamos a função de captura de tela nessas páginas sensíveis.

Imagem: A carteira OKX proíbe capturas de tela nas páginas de chave privada e mnemônica

Ao mesmo tempo, para reduzir o risco de usuários instalarem aplicativos falsos, a versão Android também fornece uma função de verificação de aplicativos maliciosos.

Imagem: A carteira OKX no Android fornece uma função de verificação de aplicativos maliciosos

(III) O cenário mais comum e fácil de ser enganado: Phishing de chaves privadas

Caso cinco: Phishing de airdrop falso. Um projeto NFT bem conhecido anunciou no Twitter que faria um airdrop de um novo token para os detentores. Em apenas 10 minutos após o anúncio, vários sites de phishing apareceram no topo dos resultados de pesquisa do Google (promovidos via anúncios pagos). Esses sites de phishing tinham nomes de domínio com apenas uma letra de diferença (por exemplo, opensae.io em vez de opensea.io), com designs de página quase idênticos ao site oficial. Quando os usuários conectavam suas carteiras, a página exibia um prompt: "Congestionamento de rede, conexão falhou, por favor, insira manualmente sua frase mnemônica para reivindicar o airdrop". Naquele dia, mais de 50 usuários caíram no golpe, resultando em uma perda total de mais de US$ 200.000. A vítima mais rápida teve seus ativos transferidos em 3,7 segundos após inserir sua frase mnemônica.

Caso seis: Ataque de engenharia social. A Sra. Zhao encontrou um problema operacional em um grupo Discord de um projeto. Um administrador com um avatar e apelido que pareciam muito "oficiais" enviou proativamente uma mensagem privada para ela, alegando ser o suporte ao cliente querendo ajudá-la a resolver o problema. Eles enviaram a ela um link para uma "página de verificação". Confiando no administrador, a Sra. Zhao clicou no link e inseriu sua frase mnemônica conforme instruído. A página parecia exatamente o site oficial. Alguns minutos depois, vários ativos foram continuamente transferidos de sua carteira. Foi só então que ela percebeu que o suposto administrador era na verdade um golpista, e qualquer "suporte ao cliente" que peça aos usuários para inserir sua frase mnemônica ou chave privada em um site é, sem dúvida, um golpe. Vale ressaltar que, além de se passar por administradores oficiais, os golpistas também podem se passar por amigos, membros da equipe do projeto ou outras identidades confiáveis.

Conselho de segurança: Uma DApp legítima nunca pedirá sua chave privada, e uma pessoa confiável nunca solicitará sua chave privada de você. Lembre-se: sua chave privada é a chave para seus ativos, então certifique-se de armazená-la com segurança e nunca a divulgue facilmente.

III. Por que os provedores de carteira podem fazer pouco depois que uma chave privada é comprometida?

Alguns usuários, ao descobrirem um suspeito vazamento de chave privada e ativos sendo movidos, entrarão em contato imediatamente com a equipe da carteira, esperando que possamos fornecer mais assistência. No entanto, na realidade, uma vez que a chave privada foi exposta, o espaço em que os provedores de carteira podem intervir é muito limitado.

Aqui, vamos explicar brevemente o processo básico que seguimos ao receber relatórios de "roubo de ativos", e também explicar por que muitas vezes não podemos "recuperar" diretamente os ativos on-chain:

Primeiro, ajudaremos o usuário a rastrear o fluxo de fundos, analisando se os fundos on-chain podem estar relacionados a grupos de hackers conhecidos ou clusters de endereços. Ao mesmo tempo, aconselharemos o usuário a transferir rapidamente quaisquer ativos que não tenham sido roubados para reduzir o risco de perdas adicionais. Em casos de roubo significativo, recomendaremos que os usuários entrem em contato prontamente com as autoridades locais para obter assistência por meio de canais legais. Nossa equipe interna também conduzirá uma análise completa do incidente, resumirá o modus operandi do hacker e fornecerá insights para a proteção futura do usuário.

Como provedor de ferramentas, as carteiras em si não podem congelar ou reverter ativos on-chain. Uma vez que um hacker obtém a chave privada, ele geralmente usa scripts automatizados para concluir a transferência de fundos em segundos, com uma velocidade muito rápida na qual é difícil intervir. Somente quando os fundos roubados acabam fluindo para uma plataforma de exchange centralizada é possível solicitar o congelamento temporário por meio de canais legais.

Quando a trajetória dos fundos está ligada a clusters de hackers conhecidos dos quais estamos cientes, começaremos a partir de seu modus operandi comum para ajudar os usuários a lembrar se eles se envolveram recentemente em quaisquer operações de alto risco, determinando assim em que ponto a chave privada pode ter sido exposta.

A OKX sempre priorizou a segurança dos fundos dos usuários, investindo pesadamente ao longo dos anos para construir um sistema de controle de risco e projetar mecanismos de autenticação multifator. Embora esses processos possam parecer complicados, todos visam proteger melhor a segurança dos ativos do usuário. Pode-se dizer que também somos uma das equipes da indústria que mais investiu em segurança.

Imagem: A pontuação de segurança da carteira OKX ocupa o primeiro lugar

Como mencionado anteriormente, se os usuários não tiverem consciência de segurança ou usarem práticas inadequadamente, eles ainda podem sofrer perdas devido a motivos como phishing ou vazamento de chave privada, independentemente da carteira que usarem. Portanto, proteger adequadamente a chave privada sempre permanece a base de segurança mais crítica. Além de melhorar continuamente as capacidades de segurança do próprio produto, também fortalecemos continuamente a análise de casos e compartilhamos dicas de segurança para ajudar os usuários a identificar melhor possíveis cenários de risco.

4. Em resumo, dicas de segurança da chave privada

Isenção de responsabilidade:

Este artigo é apenas para referência. Este artigo não pretende fornecer (i) conselhos de investimento ou recomendações de investimento, (ii) uma oferta, solicitação ou incentivo para comprar, vender ou manter ativos digitais, ou (iii) conselhos financeiros, contábeis, legais ou fiscais. Ativos digitais (incluindo stablecoin e NFTs) estão sujeitos a flutuações de mercado, envolvem alto risco e podem se depreciar. Para perguntas sobre se negociar ou manter ativos digitais é adequado para você, consulte seu profissional jurídico/fiscal/de investimento. A carteira OKX Web3 é apenas um tipo de serviço de software de carteira self-custody que permite que você descubra e interaja com plataformas de terceiros, e a carteira OKX Web3 não pode controlar os serviços de tais plataformas de terceiros e não será responsabilizada por eles. Nem todos os produtos estão disponíveis em todas as regiões. Você é responsável por entender e cumprir as leis e regulamentos locais relevantes. A carteira OKX Web3 e seus serviços relacionados não são fornecidos pela exchange OKX e são regidos pelos Termos de Serviço do Ecossistema OKX Web3.

Este artigo é um conteúdo contribuído e não representa as opiniões da BlockBeats.