As sete configurações que todo usuário do MetaMask deve mudar

MetaMask é a carteira Ethereum padrão para usuários de varejo. É também a mais-alvejada por operações de phishing, drainer toolkits e extensões maliciosas. Out of the box, os padrões do MetaMask priorizam usabilidade sobre segurança. As sete mudanças seguintes invertem essa prioridade.

As configurações, em ordem de impacto

  • Habilite pareamento com hardware wallet para qualquer endereço com mais de 1.000 USD. Conecte um Ledger ou Trezor ao MetaMask. Assine cada transação no dispositivo em hardware.
  • Desabilite "phishing detection" se também rodar um ad-blocker com suporte a lista de phishing. A detecção embutida do MetaMask é boa mas não exaustiva.
  • Ligue os alertas de segurança "blockaid". Settings → Experimental → Security alerts. Isso integra o risk scoring em tempo real do Blockaid para requests de assinatura.
  • Desabilite "allow access to my contract addresses". Settings → Advanced. Isso para a auto-detecção de tokens novos, que é a porta de entrada do ataque "dust airdrop".
  • Defina um endpoint RPC custom para transações de alto valor. Use Flashbots Protect (rpc.flashbots.net) ou MEV Blocker para swaps acima de 5K.
  • Trave a extensão depois de 5 minutos de inatividade. Settings → Advanced → Auto-lock timer.
  • Audite aprovações de token mensalmente via revoke.cash. Não é configuração do MetaMask, mas uma prática de higiene.

A postura de resistência a phishing

A maioria dos comprometimentos de MetaMask começa com um site de phishing. A camada defensiva que a maioria perde: use só URLs marcadas para qualquer wallet-connect. Nunca busque "uniswap" no Google.

A proteção da seed phrase

A seed phrase do MetaMask é armazenada criptografada no local storage do navegador, com a senha como chave de decriptação. Senha fraca (12345, seu nome) significa que a seed está efetivamente em texto plano. Use senha forte (16+ caracteres, gerada por gerenciador de senha).

A separação de perfis de navegador

Rode o MetaMask num perfil de navegador dedicado que tem só duas extensões: MetaMask e uBlock Origin. Use esse perfil só para interações de carteira.