Seus dados de KYC são um alvo e os "ataques de chave inglesa" estão crescendo

Eu passo anos acompanhando o mercado de cripto e, enquanto todo mundo fica obcecado com o fluxo dos ETFs ou se o Bitcoin vai bater um teto de dominância de 60%, eles ignoram uma tendência bem mais assustadora. A gente fala de "hackear" como se fosse apenas um garoto em um porão com um script, mas existe um lado físico disso que não recebe atenção suficiente. Estou falando do "wrench attack" — o ataque de chave inglesa — onde alguém não precisa quebrar sua criptografia porque tem uma ferramenta física e o seu endereço residencial. Se você está procurando uma forma segura de guardar chaves privadas de cripto, precisa perceber que sua maior vulnerabilidade pode não ser um bug em um contrato inteligente, mas os dados de KYC que você entregou a cada exchange que já usou. Já cobrimos anteriormente a Postura de Blanche sobre Cripto para dar mais contexto.

O perigo do rastro de KYC

A maioria de nós trata o Know Your Customer (KYC) como uma burocracia chata. Você envia a foto do passaporte ou RG, tira uma selfie e consegue acesso à conta. Mas, na minha experiência, nós basicamente construímos um banco de dados global e vazado de quem possui o quê. Quando uma exchange é invadida, não são apenas senhas que vazam. São nomes completos, endereços e números de telefone.

Junte isso aos dados on-chain e você tem um mapa. Se um criminoso consegue ligar uma carteira de alto valor a uma identidade real através de um banco de dados de KYC vazado, ele não precisa achar uma falha na blockchain. Ele só precisa descobrir onde você mora. É aqui que entra o ataque de chave inglesa. É a forma mais primitiva de hackear: extorsão física. Você não está lutando contra um bot; você está lutando contra alguém que sabe que você tem dinheiro e sabe onde você dorme. No Brasil, onde a segurança pública já é um desafio constante, esse risco é ainda mais palpável.

Por que a forma segura de guardar chaves privadas de cripto não é só software

Já vi pessoas passarem horas discutindo qual carteira de software é a mais segura, para depois guardarem a frase de recuperação em um arquivo de texto simples no desktop ou, pior, em uma foto na nuvem. Isso é um desastre anunciado. Mas até um pedaço de papel em uma gaveta é um risco se alguém souber que ele está lá.

O problema é que fomos condicionados a pensar na segurança como um muro digital. Esquecemos que o muro tem uma porta. Se você usa uma exchange centralizada, está confiando a eles sua identidade e seus fundos. Se eles forem invadidos, sua identidade vira um farol para qualquer um procurando um alvo. É por isso que eu sempre bato na tecla da autocustódia.

Para se proteger de verdade, você precisa de um assinador de hardware que mantenha suas chaves offline. Eu prefiro a Ledger Nano Gen5 se o orçamento estiver apertado, porque ela traz a tecnologia de tela E Ink por um preço de 99 dólares. Ter um chip de Elemento Seguro (CC EAL6+) significa que suas chaves privadas nem sequer tocam a internet. Mas o aparelho é só metade da batalha. A segurança real está em como você lida com a semente de recuperação.

Onde as pessoas erram

O maior erro que vejo é o "teatro da segurança". As pessoas compram uma carteira sofisticada, mas guardam as 24 palavras de recuperação de um jeito fácil de achar. Se um criminoso sabe que você tem uma Ledger, ele não vai tentar hackear o dispositivo. Ele vai procurar o pedaço de papel que você escondeu embaixo do colchão.

Notei uma tendência de pessoas acharem que usar VPN ou navegador privado é o suficiente. Embora tenhamos falado sobre como os riscos de negociação P2P no Reino Unido aumentaram devido a batidas governamentais, a ameaça do crime organizado é diferente. Eles não estão procurando por evasão fiscal; eles querem o dinheiro.

Se você quer ser realmente seguro, precisa desvincular sua identidade da sua riqueza. Isso significa usar serviços não custodiais sempre que possível e ser extremamente rigoroso com suas informações pessoais.

Minha visão sobre o caminho a seguir

Não estou dizendo que você nunca deve usar uma exchange. Elas são convenientes e, para alguns, são a única porta de entrada. Mas manter as economias da sua vida em uma plataforma que exige a digitalização do seu passaporte é uma aposta. Você está apostando que a segurança da exchange é maior do que a motivação de um criminoso que encontrou seu endereço em um vazamento.

Acho que a única solução real é a combinação de segurança de hardware e um sigilo operacional extremo. Não conte às pessoas quanto você tem. Não poste seus lucros nas redes sociais. E, pelo amor de tudo, tire seus ativos da exchange e coloque em uma cold wallet.

Se você cansou da roda de hamster do KYC e só quer trocar ativos sem deixar um rastro permanente, achei a StealthEX uma opção sólida. É um serviço de swap não custodial que não exige registro de conta ou KYC para trocas padrão. É um jeito simples de manter algum nível de privacidade em um mundo que tenta indexar cada satoshi que você possui.

Negocie as notícias na exchange escolhida pelo nosso editorial: Gate