Resposta curta
Ler saldo de wallet em Wi-Fi público é aceitavelmente seguro devido à criptografia HTTPS. Assinar transações ou digitar senhas em Wi-Fi público é arriscado e deve ser evitado quando possível. As principais ameaças são "olhada por cima do ombro" (alguém olhando para sua tela) e o raro ataque de AP hostil onde o operador da rede roda man-in-the-middle. Para transações não-triviais, mude para dados móveis; para checagens rotineiras de saldo, Wi-Fi público está bem com precauções normais.
O que HTTPS protege
HTTPS criptografa tudo entre seu navegador e o servidor da corretora/wallet. O operador do Wi-Fi vê apenas "seu dispositivo está falando com mercadobitcoin.com.br" e o volume de bytes criptografados — eles não podem ler sua senha, saldo, ou transações. Isto não era verdade pré-2016 quando muitos sites usavam HTTP/HTTPS misto; hoje todo serviço cripto regulado usa HTTPS-apenas com HSTS, e navegadores modernos o impõem.
O que HTTPS não protege
Olhada por cima do ombro. Alguém sentado atrás de você lê sua senha enquanto você digita. Isto não tem nada a ver com Wi-Fi mas é o vazamento de credencial relacionado a local público mais comum. Use uma tela de privacidade, sente-se com as costas para uma parede.
DNS malicioso / captive portal falso. O Wi-Fi hostil poderia redirecionar requisições mercadobitcoin.com.br para um clone falso. Navegadores modernos detectam o desencontro de certificado e mostram um aviso; muitos usuários clicam através. Defesa: nunca clique através de avisos de certificado HTTPS.
Access point hostil. Alguém configura uma rede Wi-Fi nomeada "Wi-Fi Grátis Cafeteria" perto de uma cafeteria. Você se conecta ao falso. De lá podem tentar MITM em apps específicos. Defesa: verifique o nome da rede com o estabelecimento, use VPN se incerto.
Tiers práticos de risco
Tier 1 (seguro em Wi-Fi público). Lendo o app da corretora para checagem de saldo. Lendo preços de mercado. Enviando uma notificação ou mensagem.
Tier 2 (aceitável com cuidado). Fazendo login (com Passkey ou hardware key 2FA, não SMS). Verificando histórico de transações.
Tier 3 (use dados móveis em vez). Configurando novo 2FA. Mudando senha. Digitando seed phrase. Assinando transações on-chain para valores não-triviais.
A consideração VPN
Uma VPN tuneliza seu tráfego Wi-Fi público através do servidor do provedor VPN. Isto protege contra ataques de AP hostil e DNS hostil. Mas VPNs introduzem sua própria dependência de confiança — o provedor VPN vê o que você está fazendo. Use uma VPN paga reputável (Mullvad, Proton, IVPN); VPNs grátis vendem seus dados de tráfego.
Para holders brasileiros, um plano móvel ilimitado de R$ 50/mês (Vivo, Claro, TIM, ou MVNO como Surf, Bemobi) é mais simples que VPN-em-cafeteria-Wi-Fi e elimina toda a preocupação para propósitos cripto.