Equipa de segurança da OKX Web3: Proteja a sua chave privada como a menina dos seus olhos

Fonte: OKX

Not Your Keys, Not Your Coins — A liberdade descentralizada tem o custo da "segurança da private key" absoluta.

Um relatório da Chainalysis de julho de 2025 mostra que 17%-23% de Bitcoin está permanentemente inativo devido à perda da private key ou danos no dispositivo. Como a private key representa a propriedade do ativo, uma vez perdida, não pode ser reposta e não existe apoio ao cliente para a recuperar. Se a chave for comprometida e os fundos roubados, a recuperação é quase impossível. O mundo online concedeu-nos liberdade, mas também colocou toda a responsabilidade nas nossas mãos. À medida que o ecossistema online prospera, vários incidentes de roubo de ativos ocorrem frequentemente. No entanto, os indivíduos apercebem-se muitas vezes demasiado tarde e têm dificuldade em identificar onde ocorreu o problema — A private key foi vazada? Clicaram num link de phishing? Descarregaram malware? Ou foi outro erro operacional?

A equipa de segurança Web3 da OKX visa aumentar a consciência de todos sobre a segurança da private key através deste conteúdo educativo e destacar novamente os pontos cegos de segurança que são frequentemente ignorados.

1. Por que pode ocorrer um vazamento de Private Key ou Mnemonic Phrase?

Em primeiro lugar, vamos corrigir um equívoco comum. Muitos utilizadores acreditam que um vazamento de private key ou mnemonic phrase (doravante referido como "vazamento de private key") ocorre geralmente durante a utilização da crypto wallet. Na realidade, se descarregar e utilizar uma wallet através de canais oficiais e utilizar uma wallet de uma marca reputada, a private key geralmente não vaza durante a utilização normal. Os vazamentos de private key ocorrem principalmente devido ao armazenamento inadequado e à aquisição por agentes maliciosos. Assim que alguém possui a sua private key, pode importá-la para qualquer wallet e controlar os ativos da conta.

De facto, existem muitas razões para vazamentos de private key, e a fonte exata é muitas vezes difícil de identificar completamente. No entanto, através da análise de numerosos casos da indústria e da assistência em investigações, compilámos alguns cenários e pistas típicos (conforme descrito abaixo).

Imagem: Desafios de Análise em Roubo de Private Key Partilhados por Xuandong da SlowMist

2. Cenários Comuns de Vazamento de Private Key e Métodos de Mitigação

(1) Cenário Mais Facilmente Ignorado: Vazamento Durante a Criação da Wallet

Estudo de Caso 1: Assistência na Criação de Wallet por Terceiros. O Sr. Li tinha acabado de começar a explorar DeFi e, com a ajuda de um "mentor entusiasta", criou uma wallet. O mentor ajudou-o com a criação da wallet, a definição da palavra-passe de transação, e guiou-o através de depósitos e transações. Embora tenha sido definida uma palavra-passe de transação para a wallet, durante o processo de criação, o mentor já tinha obtido a sua private key. Alguns dias depois, os 5 ETH que o Sr. Li tinha depositado foram rapidamente transferidos. Só então percebeu que a palavra-passe de transação era apenas para validação local, e qualquer pessoa com a private key poderia importá-la para qualquer wallet e transferir diretamente os seus ativos.

Recomendação de Segurança: As wallets devem ser criadas de forma independente, sem deixar que ninguém "ajude" ou "aja em nome de". Se houver suspeita de que a private key possa ter sido comprometida, os ativos devem ser prontamente transferidos para uma nova wallet.

Estudo de Caso 2: Criação de Wallet via Partilha de Ecrã em Videoconferência. A Sra. Zhang, sob orientação remota de um "professor", criou uma wallet via partilha de ecrã em videoconferência. O professor demonstrou passo a passo: descarregar a wallet, gerar a mnemonic phrase, recarregar para taxas de gas e comprar tokens. Todo o processo parecia muito "íntimo", e no final, foi até lembrada: "Nunca vaze a sua private key a ninguém". No entanto, sem ela saber, no momento da partilha de ecrã, a mnemonic phrase pode ter sido gravada. Duas semanas depois, aproximadamente $12.000 em USDT na sua conta foram transferidos.

Recomendação de Segurança: Ao criar uma wallet, desative a partilha de ecrã, a gravação de ecrã ou funções de partilha de ecrã. Se houver suspeita de que a private key possa ter sido comprometida, os ativos devem ser prontamente transferidos para uma nova wallet. Além disso, na página da OKX Wallet que exibe a private key e a mnemonic phrase, não é permitida a captura de ecrã, gravação ou partilha de ecrã, aumentando eficazmente a segurança.

Imagem: Quando a partilha de ecrã é detetada, a OKX Wallet oculta automaticamente a mnemonic phrase e a private key, impedindo que outros visualizem o texto

(II) Cenário Mais Comum: Armazenamento Inadequado da Private Key Levando ao Vazamento

Case Study 3: APP Falsa, Pesadelo de um Utilizador Android. O Sr. Wang, um utilizador cauteloso, tirou uma captura de ecrã da mnemonic phrase após criar uma wallet e guardou-a na sua galeria de fotos local, nunca a carregando para a cloud, pensando que isto era mais seguro. No entanto, descarregou uma suposta "versão melhorada do Telegram" de um fórum, uma APP cujo ícone e interface eram quase idênticos à versão oficial. Na realidade, digitalizava continuamente a galeria do telemóvel em segundo plano, utilizava tecnologia de Reconhecimento Ótico de Caracteres (OCR) para identificar a mnemonic phrase, e carregava-a automaticamente para o servidor de um hacker. Três meses depois, todos os ativos na conta do Sr. Wang foram esvaziados, resultando numa perda superior a $50.000. A análise técnica revelou que o seu telemóvel também tinha imToken, MetaMask, Google Authenticator falsos e outras APPs maliciosas.

Caso Quatro: APP Maliciosa BOM Levando ao Vazamento de Mnemonic. A 14 de fevereiro de 2025, vários utilizadores sofreram incidentes concentrados de roubo de ativos de wallet. Através da análise de dados on-chain, todos estes casos de roubo exibiram características típicas de vazamento de mnemonic/private key. Revisitar os utilizadores afetados revelou que a maioria tinha instalado e utilizado anteriormente uma aplicação chamada BOM. Uma investigação aprofundada mostrou que esta aplicação era, na verdade, um software fraudulento cuidadosamente disfarçado. Agentes maliciosos, através da manipulação de autorização do utilizador, obtiveram ilegalmente permissões de mnemonic/private key, permitindo a transferência sistemática de ativos e tentando ocultar as suas ações.

Conselho de Segurança: Muitos utilizadores, por "conveniência", desenvolvem hábitos que são ironicamente os mais perigosos. Portanto, recomenda-se que todos: 1) Não tirem uma captura de ecrã da mnemonic phrase! Sugere-se que a copiem manualmente em papel e a guardem num local seguro. 2) Ao descarregar uma app, certifiquem-se de usar apenas os canais oficiais, e não experimentem facilmente versões "melhoradas" desconhecidas ou modificações de terceiros. 3) Se forem detetadas anomalias no dispositivo ou se a private key já tiver sido capturada anteriormente, não confiem na sorte e transfiram imediatamente os ativos para uma nova wallet. 4) O que fez a OKX? Para evitar que os utilizadores tirem capturas de ecrã nas páginas de backup da private key e mnemonic, desativámos a função de captura de ecrã nessas páginas sensíveis.

Imagem: A OKX Wallet proíbe capturas de ecrã nas páginas de private key e mnemonic

Ao mesmo tempo, para reduzir o risco de os utilizadores instalarem apps falsas, o lado Android também fornece uma função de digitalização de apps maliciosas.

Imagem: A OKX Wallet no Android fornece uma função de digitalização de apps maliciosas

(III) O Cenário Mais Comum e Facilmente Enganado: Phishing de Private Keys

Caso Cinco: Phishing de Airdrop Falso. Um projeto NFT bem conhecido anunciou no Twitter que faria um airdrop de um novo token para os detentores. Apenas 10 minutos após o anúncio, vários websites de phishing apareceram no topo dos resultados de pesquisa do Google (promovidos através de anúncios pagos). Estes websites de phishing tinham nomes de domínio com apenas uma letra de diferença (por exemplo, opensae.io em vez de opensea.io), com designs de página quase idênticos ao website oficial. Quando os utilizadores conectavam as suas wallets, a página exibia um aviso: "Congestionamento de rede, falha na conexão, por favor insira manualmente a sua mnemonic phrase para reclamar o airdrop". Nesse dia, mais de 50 utilizadores caíram no golpe, resultando numa perda total superior a $200.000. A vítima mais rápida teve os seus ativos transferidos 3,7 segundos após inserir a sua mnemonic phrase.

Caso Seis: Ataque de Engenharia Social. A Sra. Zhao encontrou um problema operacional num grupo de Discord de um projeto. Um administrador com um avatar e alcunha que pareciam muito "oficiais" enviou-lhe proativamente uma mensagem privada, alegando ser apoio ao cliente querendo ajudá-la a resolver o problema. Enviaram-lhe um link para uma "página de verificação". Confiando no administrador, a Sra. Zhao clicou no link e inseriu a sua mnemonic phrase conforme instruído. A página parecia exatamente o website oficial. Alguns minutos depois, vários ativos foram continuamente transferidos da sua wallet. Só então percebeu que o suposto administrador era na verdade um burlão, e qualquer "apoio ao cliente" que peça aos utilizadores para inserir a sua mnemonic phrase ou private key num website é indubitavelmente um golpe. Vale a pena notar que, além de se fazerem passar por administradores oficiais, os burlões também podem fazer-se passar por amigos, membros da equipa do projeto ou outras identidades de confiança.

Conselho de Segurança: Uma DApp legítima nunca lhe pedirá a sua private key, e um indivíduo de confiança nunca solicitará a sua private key. Lembre-se: a sua private key é a chave para os seus ativos, por isso certifique-se de a guardar de forma segura e nunca a divulgue facilmente.

III. Por que os Fornecedores de Wallet Podem Fazer Pouco Quando uma Private Key é Comprometida?

Alguns utilizadores, ao descobrirem um suspeito vazamento de private key e ativos a serem movidos, contactarão imediatamente a equipa da wallet, esperando que possamos fornecer mais assistência. No entanto, na realidade, uma vez que a private key tenha sido exposta, o espaço no qual os fornecedores de wallet podem intervir é muito limitado.

Aqui, vamos explicar brevemente o processo básico que seguimos ao receber relatórios de "roubo de ativos", e também explicar por que muitas vezes não podemos "recuperar" diretamente ativos on-chain:

Em primeiro lugar, ajudaremos o utilizador a rastrear o fluxo de fundos, analisando se os fundos on-chain podem estar relacionados com grupos de hackers conhecidos ou clusters de endereços. Ao mesmo tempo, aconselharemos o utilizador a transferir rapidamente quaisquer ativos que não tenham sido roubados para reduzir o risco de perdas adicionais. Em casos de roubo significativo, recomendaremos que os utilizadores contactem prontamente as autoridades locais para obter assistência através de canais legais. A nossa equipa interna também conduzirá uma análise exaustiva do incidente, resumirá o modus operandi do hacker e fornecerá insights para a proteção futura do utilizador.

Como fornecedor de ferramentas, as wallets em si não podem congelar ou reverter ativos on-chain. Uma vez que um hacker obtém a private key, normalmente utiliza scripts automatizados para completar a transferência de fundos em segundos, com uma velocidade muito rápida na qual é difícil intervir. Apenas quando os fundos roubados fluem eventualmente para uma exchange de criptomoedas centralizada é possível solicitar o congelamento temporário através de canais legais.

Quando a trajetória dos fundos está ligada a clusters de hackers conhecidos de que temos conhecimento, começaremos pelo seu modus operandi comum para ajudar os utilizadores a recordar se se envolveram recentemente em quaisquer operações de alto risco, determinando assim em que ponto a private key pode ter sido exposta.

A OKX sempre priorizou a segurança dos fundos dos utilizadores, investindo pesadamente ao longo dos anos para construir um sistema de controlo de risco e conceber mecanismos de autenticação multifator. Embora estes processos possam parecer complicados, todos visam proteger melhor a segurança dos ativos dos utilizadores. Pode dizer-se que somos também uma das equipas da indústria que mais investiu em segurança.

Imagem: Pontuação de Segurança da OKX Wallet Classifica-se em Primeiro Lugar

Como mencionado anteriormente, se os utilizadores carecerem de consciência de segurança ou utilizarem práticas inadequadamente, podem ainda sofrer perdas devido a razões como phishing ou vazamento de private key, independentemente da wallet que utilizem. Portanto, salvaguardar adequadamente a private key permanece sempre a base de segurança mais crítica. Além de melhorar continuamente as capacidades de segurança do próprio produto, também fortalecemos continuamente a análise de casos e partilhamos dicas de segurança para ajudar os utilizadores a identificar melhor potenciais cenários de risco.

4. Em Resumo, Dicas de Segurança para Private Key

Aviso Legal:

Este artigo é apenas para referência. Este artigo não pretende fornecer (i) conselhos de investimento ou recomendações de investimento, (ii) uma oferta, solicitação ou incentivo para comprar, vender ou manter ativos digitais, ou (iii) aconselhamento financeiro, contabilístico, legal ou fiscal. Os ativos digitais (incluindo stablecoin e NFTs) estão sujeitos a flutuações de mercado, envolvem alto risco e podem desvalorizar. Para questões sobre se negociar ou manter ativos digitais é adequado para si, por favor consulte o seu profissional legal/fiscal/de investimento. A OKX Web3 Wallet é apenas um tipo de serviço de software de wallet de autocustódia que lhe permite descobrir e interagir com plataformas de terceiros, e a OKX Web3 Wallet não pode controlar os serviços de tais plataformas de terceiros e não será responsabilizada por eles. Nem todos os produtos estão disponíveis em todas as regiões. É responsável por compreender e cumprir as leis e regulamentos locais relevantes. A OKX Web3 Wallet e os seus serviços relacionados não são fornecidos pela exchange e são regidos pelos Termos de Serviço do Ecossistema Web3 da OKX.

Este artigo é conteúdo contribuído e não representa as opiniões da BlockBeats.