Leia a versão traduzida deste blog do japonês aqui.

Na BitGo, a segurança está no centro de tudo o que fazemos. Com um histórico de longa data como prestadora de serviços de custódia segura, nunca perdemos fundos de clientes nessa configuração. À medida que o ecossistema de ativos digitais evolui, o mesmo ocorre com as ameaças que enfrentamos. Os invasores continuam a desenvolver táticas cada vez mais sofisticadas, e é nossa responsabilidade - assim como a de todo o setor - antecipar-nos a essas ameaças.

Amenças em constante evolução no âmbito dos ativos digitais

Recentemente, temos observado um aumento nos ataques direcionados no setor de ativos digitais. Incidentes notáveis têm destacado um vetor de ataque comum: um invasor que gera solicitações de transação indesejadas que passam pelas verificações de segurança. O FBI abordou publicamente esse tipo de ameaça, reforçando a necessidade de vigilância constante.

A BitGo monitora ativamente as mudanças nas táticas de ataque. Por meio de rigorosas análises internas, confirmamos que nossa arquitetura de segurança não permite vetores de ataque semelhantes. No entanto, não dependemos exclusivamente de nossa própria expertise. Mantemos sólidas relações de trabalho com as autoridades policiais e administramos um programa público de recompensa por bugs, incentivando pesquisadores de segurança a identificar e relatar vulnerabilidades. Em resposta às ameaças emergentes, reforçamos ainda mais a segurança do nosso portal, minimizando até mesmo os riscos teóricos, incluindo aqueles representados por funcionários mal-intencionados.

Testes e validação independentes de segurança

Além das medidas de segurança internas, recorremos continuamente a especialistas externos para validar nossas práticas. Além dos testes de penetração de rotina, contratamos uma empresa de segurança terceirizada para realizar uma avaliação independente do nosso processo de assinatura de transações. As conclusões deles foram tranquilizadoras: não foram detectadas vulnerabilidades graves que causassem preocupação.

Além disso, realizamos testes regulares e totalmente independentes com equipes de simulação de ataques (red team). No ano passado, fomos um passo além: uma equipe externa de simulação de ataques recebeu um laptop e acesso de administrador com privilégios elevados ao nosso ambiente, incluindo o GitHub. Durante seu reconhecimento inicial, nossos sistemas de monitoramento detectaram e bloquearam suas atividades. Apesar das tentativas contínuas ao longo de vários meses, seu ataque final ao nosso ambiente de produção foi detectado em poucos minutos e frustrado. Isso demonstra a solidez de nossa postura de segurança - protegendo-nos até mesmo contra pessoas internas com credenciais de alto nível.

Uma abordagem em várias camadas para a segurança

Na BitGo, a segurança não se resume apenas à tecnologia - trata-se de uma questão de cultura. Implementamos uma estratégia de defesa em várias camadas para mitigar riscos em todos os níveis:

  • Conscientização e treinamento em segurança: Os funcionários passam por testes mensais de phishing, e qualquer falha é acompanhada. Isso garante uma vigilância contínua contra ataques de engenharia social.

  • Segurança de terminais e de rede: Aplicamos restrições rigorosas aos dispositivos, utilizamos soluções antimalware e impedimos o uso de senhas armazenadas no navegador. As tentativas de sequestro de sessão enfrentam barreiras adicionais por meio da nossa autenticação de dois fatores (2FA) obrigatória baseada em hardware.

  • Monitoramento contínuo: Todos os aspectos do nosso ambiente, desde o uso de SaaS até o tráfego DNS dos terminais, são monitorados ativamente. Qualquer atividade incomum é prontamente investigada.

  • Controles de acesso: Aplicamos o princípio do acesso com o mínimo de privilégios, ajustamos continuamente as permissões e exigimos o uso de dispositivos fornecidos pela BitGo para todas as interações com os sistemas internos.

  • Segurança física: Os funcionários devem trabalhar no escritório para fins de verificação de identidade, reduzindo ainda mais os riscos relacionados a violações de segurança no trabalho remoto.

Essas medidas estão em conformidade com as melhores práticas do setor, incluindo a estrutura MITRE ATT&CK, diretrizes regulatórias e os principais padrões de segurança. Ao aprimorar continuamente nossa postura de segurança, garantimos que nossas defesas permaneçam robustas diante de um cenário de ameaças em constante mudança.

Nosso compromisso contínuo

A BitGo construiu uma reputação de proteger os ativos dos clientes, e continuamos inabaláveis em nosso compromisso com a segurança. Conseguimos isso por meio de uma combinação de conhecimento interno, validação externa e uma abordagem proativa em relação às ameaças emergentes. A segurança é uma responsabilidade compartilhada e, trabalhando juntos, podemos continuar a oferecer o mais alto nível de proteção aos nossos clientes.

Continuaremos vigilantes, flexíveis e transparentes em nossas práticas de segurança - porque proteger ativos digitais não é apenas o nosso negócio, é a nossa missão.

The digital asset infrastructure company.

The latest

All News arrowRight icon

About BitGo

BitGo is the digital asset infrastructure company, delivering custody, wallets, staking, trading, financing, and settlement services from regulated cold storage. Since our founding in 2013, we have been focused on accelerating the transition of the financial system to a digital asset economy. With a global presence and multiple regulated entities, BitGo serves thousands of institutions, including many of the industry's top brands, exchanges, and platforms, and millions of retail investors worldwide. For more information, visit www.bitgo.com.

(c)2026 BitGo, Inc. (collectively with its parent, affiliates, and subsidiaries, "BitGo"). All rights reserved. BitGo Bank & Trust, National Association ("BitGo Bank & Trust") is a national trust bank chartered and regulated by the Office of the Comptroller of the Currency (OCC). BitGo Bank & Trust is a wholly-owned subsidiary of BitGo Holdings, Inc., a Delaware corporation headquartered in Palo Alto, California. Other BitGo entities include BitGo, Inc. and BitGo Prime LLC, each of which is a separately operated affiliate of BitGo Bank & Trust.

BitGo does not offer legal, tax, accounting, or investment advisory services. The information contained herein is for informational and marketing purposes only and should not be construed as legal, tax, or investment advice. You should consult with your own legal, tax, and investment advisor for questions about your specific circumstances.

Digital assets are subject to a high degree of risk, including the possible loss of the entire principal amount invested. Past performance and illustrative examples do not guarantee future results. The value of digital assets can fluctuate significantly and may become worthless. No BitGo communication is intended to imply that any digital asset services are low-risk or risk-free. BitGo is not a registered broker-dealer and is not a member of the Securities Investor Protection Corporation ("SIPC") or the Financial Industry Regulatory Authority ("FINRA"). Digital assets held in custody are not guaranteed by BitGo and are not subject to the insurance protections of the Federal Deposit Insurance Corporation ("FDIC") or SIPC. Custody and other digital asset services are subject to eligibility, jurisdictional, and regulatory restrictions. Availability of specific products and services may vary by location and entity.

BitGo endeavors to provide accurate information on its websites, press releases, blogs, and presentations, but cannot guarantee all content is correct, completed, or updated. Content is subject to change without notice. BitGo disclaims any obligation to update or supplement such information except as required by applicable law or regulation.

BitGo makes no representation that the information contained herein is appropriate for use in any jurisdiction where its distribution or use would be contrary to law or regulation or would subject BitGo or any of its affiliates to any registration or licensing requirements in such jurisdiction. Persons who access this information are responsible for complying with all applicable laws and regulations.