Pontos principais:

  • O armazenamento em frio mantém as chaves offline para reduzir os vetores de ataque remoto, mas não elimina os riscos físicos, os riscos internos, os riscos da cadeia de suprimentos ou os riscos de processo; ainda é necessária uma defesa em profundidade.

  • Como as transferências na cadeia de blocos são efetivamente irreversíveis uma vez finalizadas, o comprometimento das chaves geralmente é irrecuperável; portanto, isole as chaves e teste rigorosamente os procedimentos de recuperação e os controles ([2], [3]).

  • Escolha entre custódia qualificada e autocustódia; caso recorra a terceiros, busque uma certificação independente (SOC 1/2, ISO 27001) e compreenda o escopo/cobertura ([12], [15]).

"Armazenamento frio" refere-se à manutenção das chaves privadas offline. Ao minimizar a exposição à rede, reduz certos vetores de ataque em comparação com as carteiras sempre online ("quentes"). No entanto, o armazenamento frio implica responsabilidades operacionais (backup, cerimônia de chaves, controles de acesso) e não garante proteção contra roubo físico, coação, comprometimento da cadeia de suprimentos, ameaças internas ou processos inadequados.

Por que usar armazenamento frio para criptomoedas? Benefícios e limites

As blockchains públicas oferecem garantias sólidas de liquidação assim que as transações atingem a finalidade na rede. Embora os detalhes variem de acordo com o protocolo (por exemplo, as confirmações probabilísticas do Bitcoin em comparação com os pontos de verificação de finalidade do PoS do Ethereum), as transferências na cadeia geralmente não são reversíveis pela própria rede. Isso torna a violação de chaves uma situação grave: os fundos movimentados por um invasor normalmente não são recuperáveis. O armazenamento frio visa reduzir o risco de violação remota, isolando as chaves privadas de sistemas conectados à Internet.

Dito isto, câmara frigorífica isso não elimina outros riscos: roubo físico das cópias de segurança das chaves, coação ou pressão, conluio interno, firmware adulterado, cadeia de suprimentos maliciosa, manuseio inadequado das cópias de segurança ou erros operacionais, como etiquetagem incorreta ou perda. Programas eficazes combinam a custódia offline das chaves com governança, controles duplos, registro de atividades e procedimentos de recuperação testados.

O papel da custódia qualificada versus a autocustódia

As instituições costumam distinguir entre guarda compartilhada (entidades regulamentadas que oferecem segregação, certificação e governança) e autocustódia (a organização mantém suas próprias chaves).

Os provedores de serviços de custódia qualificados podem ser submetidos a auditorias independentes (por exemplo, auditorias SOC 1/SOC 2) e estar em conformidade com normas de segurança (por exemplo, ISO/IEC 27001), mas os controles e a cobertura variam de acordo com o provedor e a jurisdição. Custódia própria atribui à organização toda a responsabilidade pela concepção e operação de processos seguros (controle de acesso, backups, recuperação de desastres, auditorias e resposta a incidentes).

Riscos que o armazenamento em baixa temperatura pode reduzir em comparação com os riscos residuais

O armazenamento em frio pode reduzir: a exfiltração de chaves por malware, o ransomware remoto, extensões de navegador que roubam credenciais, o sequestro da área de transferência e certos resultados de phishing, uma vez que a chave privada nunca fica armazenada em uma estação de trabalho conectada à rede.

Os riscos residuais incluem roubo físico/adulteração, captura de seeds durante a geração, ataques à cadeia de suprimentos direcionados ao hardware, pontes QR/USB comprometidas, conluio interno, engenharia social e erros operacionais (backups perdidos, restaurações não testadas).

Princípios gerais de configuração

O que se segue são princípios, e não instruções. Os procedimentos exatos dependem da sua tolerância ao risco, dos seus ativos, do tamanho da sua equipe e das obrigações regulatórias.

  1. Geração de chaves em ambiente isolado: Use um dispositivo dedicado que nunca se conecte à internet. Verifique o software que você instala (hash/assinatura) e realize a geração em um ambiente controlado, com testemunhas e registro, quando for o caso.

  2. Gerenciamento da frase-semente (BIP39): Se utilizar frases mnemônicas, gere-as offline e registre-as uma única vez em um suporte durável. Considere backups em metal em vez de papel para mitigar danos causados por incêndio ou água. Limite o uso de câmeras e microfones durante as cerimônias [9].

  3. Conhecimento distribuído versus ponto único: Quando for o caso, aplique esquemas de chave dividida ou de limite (por exemplo, compartilhamento mnemônico baseado em Shamir, conforme a norma SLIP-39, ou política de assinaturas múltiplas) para evitar que um único custodiante tenha controle unilateral.

  4. Pontes de transação: Transfira transações não assinadas/assinadas entre ambientes online e offline usando códigos QR ou mídias removíveis. Considere essas pontes como interfaces de alto risco; controle rigorosamente a proveniência e higienize as mídias removíveis.

  5. Mostre que você é capaz de se recuperar: Antes do financiamento, realize um teste de restauração completa a partir de backups em hardware novo para verificar se o procedimento, os suportes de mídia e a documentação funcionam de ponta a ponta.

  6. Gerenciamento de alterações e registro de atividades: Controle as versões e os procedimentos de armazenamento com segurança; registre quem fez o quê, quando e onde. Faça a rotação periódica dos dispositivos e revalide o firmware e as assinaturas.

Tipos de carteiras de armazenamento frio (com ressalvas)

Carteiras de hardware (preferidas pela maioria das pessoas/equipes): Dispositivos desenvolvidos especificamente para esse fim mantêm as chaves em chips isolados e assinam as transações offline. Utilize apenas software/firmware oficial, verifique a autenticidade do dispositivo durante a configuração e ative as proteções por PIN/senha.

Carteiras de software offline (avançadas): Um computador totalmente offline (sem conexão de rede nem armazenamento de dados de uso anterior) pode funcionar como um dispositivo de assinatura com ferramentas de código aberto (por exemplo, o Electrum). Isso exige disciplina rigorosa no que diz respeito ao fortalecimento do sistema operacional, à proveniência do software e à higiene da ponte.

Carteiras de papel (geralmente desaconselhadas): Quando estão fora de linha, são frágeis, fáceis de manuseá-las incorretamente e, muitas vezes, são criadas com ferramentas ou impressoras inseguras. Pequenos danos, manchas ou o fato de um invasor fotografá-las podem ter consequências catastróficas.

Cópias de segurança em disco (para sementes, não para assinaturas ativas): Placas resistentes para palavras BIP39 ajudam a resistir ao fogo, à água e à corrosão; trate o armazenamento, a identificação e o controle de acesso da mesma forma que trataria o conteúdo de um cofre físico.

Novos métodos (por exemplo, carteiras de som): A codificação de segredos em áudio ou outros formatos ocultos aumenta a complexidade e os riscos de falha, sem oferecer benefícios significativos de segurança para a maioria dos usuários. Geralmente, não é recomendado para proteger bens de valor.

Controles avançados de armazenamento refrigerado para programas institucionais

Multassinatura (política na cadeia): Distribua o controle entre os signatários (por exemplo, 2 de 3, 3 de 5). Entre os benefícios estão a eliminação de pontos únicos de falha e uma política explícita na cadeia. Leve em consideração a localização geográfica dos signatários, sua independência e a recuperação em caso de perda de chaves.

Fluxos de trabalho baseados em MPC: A computação multipartidária permite a assinatura distribuída sem expor nenhuma chave privada completa. A adequação depende da qualidade da implementação, das garantias do fornecedor e do projeto operacional. Realize análises de segurança e compreenda os modos de falha.

Armazenamento em frio profundo protegido por HSM: Para ativos classificados como "vault-tier", utilize Módulos de Segurança de Hardware (HSM) validados de acordo com a norma FIPS 140-3, quando apropriado. Mantenha os módulos offline (sem conexão à rede), controle o acesso por meio de procedimentos que envolvam várias pessoas e documente todos os processos [11].

Verificação independente e estruturas: Procure por avaliações independentes (por exemplo, SOC 1/SOC 2) e conformidade com normas de segurança (por exemplo, ISO/IEC 27001). Esses relatórios ajudam a avaliar se os controles foram projetados e estão funcionando de maneira eficaz; o escopo e os resultados variam.

Backups, distribuição e continuidade

Mantenha backups distribuídos geograficamente para reduzir o risco associado a desastres naturais ou incidentes locais. Proteja os locais sob domínios administrativos distintos, sempre que possível, e audite periodicamente os contêineres lacrados. Teste regularmente a recuperação de desastres e registre as lições aprendidas para aprimorar os processos.

Autenticidade do dispositivo, verificação do firmware e higiene das cerimônias

Antes de confiar bens de valor, verifique a autenticidade do dispositivo (por meio das verificações fornecidas pelo fornecedor), realize a certificação do firmware, quando disponível, e adquira o hardware por meio de canais confiáveis. Inspecione as embalagens invioláveis, mas não confie apenas na embalagem; execute as verificações de autenticidade do fabricante como parte do processo de integração.

Lista de verificação prática para avaliação (não exaustiva)

  • Âmbito e classificação por níveis: definir quais ativos ou valores se enquadram nos fluxos de trabalho de análise aprofundada versus análise superficial.

  • Principais cerimônias: documentar os participantes, as etapas e as evidências; registrar os hashes dos arquivos binários e das configurações utilizadas.

  • Separação de funções: exigem controle duplo para ações delicadas, como desbloquear, assinar ou mover backups.

  • Exercícios de recuperação: realizar restaurações periódicas a partir de backups em equipamentos novos; coletar métricas como o tempo de recuperação e os pontos de falha.

  • Controle de alterações: acompanhar atualizações de firmware, retiradas de dispositivos e alterações na lista de signatários.

  • Preparação para incidentes: predefinir manuais de resposta para casos de suspeita de violação, perda da semente ou falha do dispositivo.

Perguntas frequentes sobre armazenamento refrigerado

O armazenamento em cold storage torna minhas criptomoedas invioláveis?

Não. O armazenamento em frio reduz a superfície de ataque remota ao manter as chaves offline, mas não elimina riscos como roubo físico, coação, ameaças internas, problemas na cadeia de suprimentos ou erros operacionais. Ainda são necessárias medidas de defesa em profundidade e uma governança sólida.

O que é mais seguro: assinatura múltipla ou MPC?

Elas abordam problemas diferentes e apresentam modelos de confiança distintos. A multi-sig impõe políticas na cadeia de blocos; a MPC distribui o material de chaves e gera assinaturas de forma colaborativa. A adequação depende dos seus ativos, do ambiente jurídico, da equipe e do modelo de ameaças.

Devo publicar os detalhes exatos dos meus controles?

Evite revelar detalhes operacionais, como locais, limites, modelos exatos de dispositivos ou cronogramas de cerimônias. A divulgação excessiva pode criar riscos de exposição. Compartilhe apenas o que for exigido por políticas ou regulamentações e dê preferência a atestados independentes em vez de planos detalhados divulgados publicamente.

O armazenamento frio de criptomoedas pode reduzir certos tipos de risco ao isolar as chaves das redes, mas transfere o foco para a integridade do processo: cerimônias de geração de chaves, boas práticas de backup, controle distribuído e recuperação testada. Trate o programa como um sistema dinâmico: revise os pressupostos, realize testes regularmente e adapte-se à medida que as ameaças e a tecnologia evoluem.

Referências

[1] NIST SP 800-57 Parte 1 Rev. 5: Recomendação para o gerenciamento de chaves - Parte 1 (Geral). https://doi.org/10.6028/NIST.SP.800-57pt1r5

[2] Satoshi Nakamoto (2008). Bitcoin: Um sistema de dinheiro eletrônico ponto a ponto. https://bitcoin.org/bitcoin.pdf

[3] Ethereum.org. Finalidade na prova de participação (Gasper). https://ethereum.org/en/developers/docs/consensus-mechanisms/pos/

[4] CISA. Orientações sobre phishing / Como evitar ataques de engenharia social e phishing. https://www.cisa.gov/stopransomware/phishing

[5] NCSC (Reino Unido). Ataques de phishing: como proteger sua organização. https://www.ncsc.gov.uk/guidance/phishing

[6] Documentação do Electrum. Armazenamento frio. https://electrum.readthedocs.io/en/latest/coldstorage.html

[7] Suporte ao Ledger. Autenticidade do dispositivo e configuração segura.
https://support.ledger.com/

[8] Documentação do Coinkite (Coldcard). Guia para os mais cautelosos / Práticas de segurança. https://coldcard.com/docs/paranoid/

[9] BIP-39. Código mnemônico para geração de chaves determinísticas. https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki

[10] SLIP-39. O método de partilha de segredos de Shamir para mnemônicos. https://github.com/satoshilabs/slips/blob/master/slip-0039.md

[11] NIST FIPS 140-3: Requisitos de segurança para módulos criptográficos. https://csrc.nist.gov/publications/detail/fips/140/3/final

[12] ISO/IEC 27001:2022 Sistemas de Gestão da Segurança da Informação (visão geral). https://www.iso.org/standard/27001.html

[13] IOSCO. Recomendações de política para as finanças descentralizadas (DeFi). 2023. https://www.iosco.org/library/pubdocs/pdf/ioscopd754.pdf

[14] Tesouro dos Estados Unidos. Avaliação dos riscos financeiros ilícitos das finanças descentralizadas. 2023. https://home.treasury.gov/system/files/136/DeFi-Risk-Full-Review.pdf

[15] AICPA. SOC 2 - Critérios e Relatórios de Serviços de Confiança (Visão Geral).
https://www.aicpa.org/

[16] NIST SP 800-34 Rev. 1. Guia de Planejamento de Contingência para Sistemas de Informação Federais. https://csrc.nist.gov/publications/detail/sp/800-34/rev-1/final

The digital asset infrastructure company.

The latest

All News arrowRight icon

About BitGo

BitGo is the digital asset infrastructure company, delivering custody, wallets, staking, trading, financing, and settlement services from regulated cold storage. Since our founding in 2013, we have been focused on accelerating the transition of the financial system to a digital asset economy. With a global presence and multiple regulated entities, BitGo serves thousands of institutions, including many of the industry's top brands, exchanges, and platforms, and millions of retail investors worldwide. For more information, visit www.bitgo.com.

(c)2026 BitGo, Inc. (collectively with its parent, affiliates, and subsidiaries, "BitGo"). All rights reserved. BitGo Bank & Trust, National Association ("BitGo Bank & Trust") is a national trust bank chartered and regulated by the Office of the Comptroller of the Currency (OCC). BitGo Bank & Trust is a wholly-owned subsidiary of BitGo Holdings, Inc., a Delaware corporation headquartered in Palo Alto, California. Other BitGo entities include BitGo, Inc. and BitGo Prime LLC, each of which is a separately operated affiliate of BitGo Bank & Trust.

BitGo does not offer legal, tax, accounting, or investment advisory services. The information contained herein is for informational and marketing purposes only and should not be construed as legal, tax, or investment advice. You should consult with your own legal, tax, and investment advisor for questions about your specific circumstances.

Digital assets are subject to a high degree of risk, including the possible loss of the entire principal amount invested. Past performance and illustrative examples do not guarantee future results. The value of digital assets can fluctuate significantly and may become worthless. No BitGo communication is intended to imply that any digital asset services are low-risk or risk-free. BitGo is not a registered broker-dealer and is not a member of the Securities Investor Protection Corporation ("SIPC") or the Financial Industry Regulatory Authority ("FINRA"). Digital assets held in custody are not guaranteed by BitGo and are not subject to the insurance protections of the Federal Deposit Insurance Corporation ("FDIC") or SIPC. Custody and other digital asset services are subject to eligibility, jurisdictional, and regulatory restrictions. Availability of specific products and services may vary by location and entity.

BitGo endeavors to provide accurate information on its websites, press releases, blogs, and presentations, but cannot guarantee all content is correct, completed, or updated. Content is subject to change without notice. BitGo disclaims any obligation to update or supplement such information except as required by applicable law or regulation.

BitGo makes no representation that the information contained herein is appropriate for use in any jurisdiction where its distribution or use would be contrary to law or regulation or would subject BitGo or any of its affiliates to any registration or licensing requirements in such jurisdiction. Persons who access this information are responsible for complying with all applicable laws and regulations.