Meu NFT foi roubado — posso recuperar?

Resposta curta

Quase nunca recuperáveis. NFTs são tokens bearer no blockchain — quem controla o endereço que detém o NFT é o dono. Se sua wallet foi drenada e o NFT moveu para o endereço de um atacante, o blockchain considera-os o dono legítimo. As exceções são estreitas: NFTs roubados de alto perfil às vezes são retornados através de pressão da comunidade, OpenSea ou magiceden podem congelar o NFT de listings de marketplace (mas não do blockchain), e autoridades americanas e brasileiras ocasionalmente apreendem NFTs roubados em casos maiores.

O que "recuperação" pode realmente significar

1. O atacante retorna voluntariamente. Raro. Acontece com pesquisadores white-hat que roubam para demonstrar vulnerabilidade e depois retornam.

2. Congelamentos de marketplace previnem revenda legítima-aparente. OpenSea, Blur, LooksRare mantêm listas de "NFT roubado". Se você reportar seu roubo dentro de horas, podem congelar listings de marketplace. O NFT ainda pertence ao atacante on-chain, mas não podem facilmente vendê-lo através de marketplaces principais.

3. Apreensão de law enforcement. Para casos de alto valor (coleções multi-milhão-dólar), FBI e Chainalysis Reactor traçaram NFTs roubados para atacantes e apreenderam. Lento (meses a anos), caro, e apenas para perdas substanciais.

4. Reivindicação de seguro. Coincover e outras apólices especializadas de seguro de roubo cripto cobrem NFTs. Prêmios são altos (1-3% do valor segurado anualmente). A maioria das apólices brasileiras de seguro residencial não cobre roubo cripto/NFT.

Ações imediatas após roubo

Dentro de 24 horas:

1. Reporte ao OpenSea (e qualquer outro marketplace onde o NFT foi listado) para sinalização de NFT-roubado.
2. Tweet sobre o roubo com o ID do NFT e endereço da wallet do atacante. Conscientização da comunidade às vezes pressiona compradores a recusar o NFT roubado.
3. Registre boletim de ocorrência com detalhes da transação. Requerido para reivindicações de seguro e qualquer envolvimento futuro de autoridades.
4. Documente tudo: IDs de transação, wallet do atacante, linha do tempo dos eventos.

O congelamento do OpenSea e pressão da comunidade são sensíveis ao tempo. Agir dentro de 24 horas significativamente aumenta a chance de que o NFT não possa ser rapidamente liquidado.

Por que isto é mais difícil que roubo de tokens fungíveis

100 USDC drenados é fungível — o atacante mistura com outro USDC e vende. Não há 100 USDC específicos para "recuperar". Um NFT é único — token ID #4242 no Bored Ape Yacht Club é identificável para sempre. Isto torna a revenda do atacante mais difícil (bom para vítima) mas não muda as regras de propriedade on-chain (ruim para vítima).

Prevenção

As mesmas defesas approval-phishing se aplicam: nunca assine setApprovalForAll para marketplaces que você não usa ativamente, rode revoke.cash quartralmente, use uma wallet "vault" separada para NFTs valiosos que nunca conecta a qualquer dApp, só transfira para uma wallet "trading" quando você realmente quer listar.

Leitura adicional: setApprovalForAll, Phishing.