Vazou a chave privada: primeiras 24 horas

O que fazer nos primeiros 30 minutos

Você acabou de perceber que sua chave privada ou seed phrase foi comprometida. Talvez você tenha digitado num "update do Ledger" falso. Talvez tenha fotografado para backup e a foto sincronizou para uma conta de nuvem agora violada. Talvez tenha notado um pequeno saque não autorizado.

Os próximos 30 minutos determinam quanto você recupera e quanto perde.

Minuto 0–5: Triagem

• Abra um dispositivo limpo — um celular ou laptop que nunca teve a carteira comprometida.
• Gere uma seed nova num hardware wallet fresco, ou importe num hot wallet sabidamente limpo. Anote a nova seed offline.
• Note os endereços da nova carteira. Para cá você vai mandar fundos.

Minuto 5–15: Mova stablecoins primeiro

Stablecoins são o alvo de drenagem de maior prioridade para o atacante. Mova primeiro. Em ordem:

• USDC, USDT, DAI, BUSD na chain com mais holdings.
• Aí as mesmas stablecoins em outras chains (Polygon, Arbitrum, BSC) se você tem lá.
• Mande cada transferência para a carteira nova. Use gas moderado.

Minuto 15–25: Mova majors líquidos

ETH, BTC, SOL, BNB, MATIC. Têm liquidez mas o atacante pode dumpar com slippage pequeno, então são alvo de segunda prioridade.

Se você tem NFTs na carteira comprometida, mova os de maior valor agora também.

Minuto 25–30: Long-tail e despedida

Mova o que sobrou — long-tail tokens, posições vested, ativos staked se conseguir unstake rápido.

A carteira em si deve agora estar vazia ou quase vazia. Não "salve" como carteira de baixo valor — ela está permanentemente na fila do atacante.

A primeira hora após o resgate

• Revogue todas as aprovações. Vá em revoke.cash, conecte a carteira (agora vazia) comprometida, revogue toda aprovação.
• Audite todos os serviços vinculados. A carteira comprometida tinha aprovações em Uniswap, Aave, Compound? Tinha endereços de depósito CEX vinculados?
• Confira vazamentos relacionados. Se a seed vazou via site de phishing, o que mais você deu a esse site? Email? Telefone? Login de CEX?

A verdade dura

A maioria dos comprometimentos perde tudo na carteira afetada. O protocolo de resgate de 30 minutos descrito acima é para os casos onde você notou cedo. Para os casos onde notou tarde, os fundos sumiram. Construa o próximo setup de custódia com a suposição que você vai ser atacado de novo — e projete para que um comprometimento não perca tudo.