#Web3SecurityGuide

A sua chave privada é a sua identidade. Não a sua palavra-passe. Não o seu email. A sua chave privada. O dia em que a partilhar — seja por acidente, pressão ou um website com aparência convincente — é o dia em que entrega a alguém as chaves de tudo o que possui na blockchain. Não há chargebacks. Nem equipas de recuperação. Nem recursos. Apenas uma carteira vazia e uma lição aprendida à força.

O phishing continua a ser o ataque mais eficaz no Web3, e tornou-se mais inteligente. Já não parece uma má tradução de um domínio suspeito. Parece um anúncio urgente de um protocolo em que confia, uma mensagem direta no Discord de alguém com um nome de utilizador familiar, ou um link de "mintar agora" que aparece exatamente quando o hype está no auge. Pense duas vezes antes de clicar em qualquer coisa. A oferta que desaparece em 10 minutos é quase sempre a que foi criada para fazer com que pare de pensar.

As carteiras de hardware existem por uma razão: garantir que a sua chave privada nunca toque num dispositivo conectado à internet. Se estiver a segurar qualquer quantia de criptomoeda que realmente lhe causaria preocupação em perder, uma carteira de hardware não é um equipamento opcional. É o mínimo. As carteiras quentes são aceitáveis para saldos pequenos e ativos — trate-as como uma carteira de gastos, não como um cofre.

As aprovações de tokens são um risco silencioso que a maioria das pessoas ignora. Sempre que interage com um contrato inteligente e aprova o acesso a tokens, está a dar a esse contrato o direito de mover os seus fundos. Aprovações ilimitadas são comuns porque são convenientes. São também a forma como um protocolo comprometido drena carteiras meses após a interação inicial. Revise as suas aprovações regularmente. Revogue tudo o que já não usa.

Frases de recuperação devem ficar offline. Escritas em papel, guardadas em algum lugar fisicamente seguro, nunca fotografadas, nunca digitadas em qualquer aplicação ou extensão de navegador, nunca guardadas numa aplicação de notas ou na cloud. Assim que a sua frase de recuperação existir digitalmente, ela fica vulnerável. Uma violação na cloud, uma infecção por malware, uma sincronização comprometida — e ela desaparece.

O risco de contratos inteligentes não desaparece após uma auditoria. As auditorias detectam padrões de vulnerabilidade conhecidos num momento específico. Não garantem que um protocolo seja seguro para sempre. Antes de investir uma quantia significativa em qualquer protocolo DeFi, verifique se a equipa está doxxed, se os contratos estão verificados na blockchain, se há um bloqueio de tempo nas funções de administração e se o protocolo tem um histórico além de algumas semanas de hype.

Configurações de multi-assinatura não são apenas para DAOs e instituições. Se estiver a gerir uma carteira que detém valor significativo, exigir múltiplas aprovações antes de qualquer transação ser enviada é uma das proteções menos utilizadas pelos titulares individuais. Aumenta dramaticamente o custo de um ataque.

A última linha de defesa é a disciplina, não a tecnologia. Nenhuma configuração de carteira protege alguém que aprova todos os pop-ups, conecta a todos os sites e trata a urgência como motivo para ignorar a verificação. A segurança no Web3 não é um produto que se instala. É um hábito que se constrói — e que se reforça à medida que se mantém consistente.