Recentemente, vi novamente pessoas a discutir o caso dos 300 mil U transferidos por engano. Para ser sincero, este tipo de história acontece todos os anos, apenas mudam as vítimas.

Uns atribuem a responsabilidade a uma “má operação de um familiar”, outros dizem que foi um “deslize”. Mas se realmente percebes o funcionamento de uma carteira cripto, vais perceber: no momento em que a seed phrase aparece numa conversa de WeChat, o jogo já acabou.

Muita gente não percebe realmente o que é uma seed phrase. Não é uma “password” no sentido tradicional — é mais como uma chave mestra que abre todo o teu cofre digital. Quem tem a seed phrase pode derivar todas as chaves privadas da carteira. Se um hacker a conseguir, em poucos minutos pode esvaziar os teus ativos e até apagar os rastos das transferências.

A operação daquele caso é um exemplo perfeito do que não fazer: guardar a seed phrase no WeChat e depois copiar e colar num telemóvel Android antigo. Isto é basicamente construir uma autoestrada para os atacantes — backup das mensagens do WeChat na cloud, vulnerabilidades do sistema em dispositivos antigos, monitorização da área de transferência em WiFi públicos... o hacker nem precisa de grande perícia, basta um script de monitorização para capturar a tua informação sensível em tempo real.

O meu conselho é simples: se ainda guardas a seed phrase por captura de ecrã, ou transmites através de qualquer rede social, isso é basicamente o mesmo que escrever o código do cartão bancário num poste na rua. Nem mesmo os familiares mais confiáveis devem ter acesso à seed phrase em dispositivos ligados à internet. Grava-a offline numa placa de metal e guarda-a num cofre de banco — é aí que ela deve estar.

No caso, a esposa ainda estava a usar um dispositivo ligado a uma origem duvidosa ao operar...

(Por continuar, mas a lógica principal já está clara: conveniência e segurança serão sempre opostas no mundo das criptomoedas.)