#Web3SecurityGuide

A sua frase-semente não é uma palavra-passe. É toda a sua identidade na blockchain. No momento em que sai das suas mãos — digitada num site, colada numa mensagem privada, fotografada e armazenada na cloud — você já não é o proprietário da sua carteira. Está apenas a emprestá-la a quem encontrar esse ficheiro primeiro.

A maioria das pessoas é drenada não porque são descuidadas, mas porque estão com pressa. Uma janela pop-up parece familiar. Um moderador do Discord parece útil. Uma aprovação de contrato parece rotineira. Esse instante de confiança, estendido ao endereço errado, é tudo o que é preciso.

Carteiras de hardware importam, mas não são o fim da sua responsabilidade. Assinar uma transação maliciosa numa carteira de hardware ainda é assinar uma transação maliciosa. O dispositivo protege a sua chave privada de ser extraída. Não o protege de aprovar algo que não deveria.

Antes de assinar qualquer coisa, pergunte o que está realmente a autorizar. Não o que o site diz que está a autorizar. O que a transação bruta diz. Ferramentas como Rabby ou os simuladores integrados em carteiras modernas mostram-lhe a saída real — transferências de tokens, aprovações, interações com contratos — antes de confirmar. Use-as sempre, sem exceções.

As aprovações de tokens são uma das superfícies de ataque mais negligenciadas no Web3. Quando aprova um contrato para gastar tokens ilimitados, essa permissão fica na blockchain indefinidamente. Revogue aprovações de que já não precisa. Trate cada aprovação aberta como uma porta que esqueceu de trancar.

Separe as suas carteiras por propósito. Uma carteira quente que usa diariamente para pequenas transações deve conter apenas o que está confortável em perder completamente. As suas principais holdings devem estar em armazenamento frio, acessado raramente, num dispositivo que não toque em outro software.

O phishing no Web3 evoluiu bem além de emails falsos. Os atacantes agora clonam protocolos inteiros até ao pixel, compram espaços patrocinados em motores de busca para URLs de scams, e comprometem servidores oficiais do Discord. Marque os protocolos que usa. Nunca pesquise por uma aplicação DeFi e clique no primeiro resultado.

Tenha especial cuidado com qualquer coisa que prometa recuperar fundos perdidos, ofereça um airdrop inesperado, ou entre em contacto consigo primeiro. Protocolos legítimos não entram em contacto. Se alguém se esforça para ajudá-lo a aceder a dinheiro grátis, está a tentar aceder ao seu dinheiro.

O hábito de segurança mais duradouro é simples: desacelere antes de confirmar. Cada ação irreversível na blockchain merece pelo menos dez segundos de atenção deliberada. A maioria dos exploits tem sucesso porque os utilizadores se movem mais rápido do que pensam.