Decripte — Cibersegurança Enterprise
Cripto e Web3 · Case de Cibersegurança

Segurança para Exchanges de Cripto: contenção de incidentes e blindagem de custódia

Em cripto não existe estorno. A Decripte protege exchanges nas três camadas — infraestrutura, custódia de chaves e Web3 — com SOC 24x7, monitoramento on-chain e Resposta a Incidentes com SLA de contenção de até 1 hora.

Resposta direta

Para proteger uma exchange de criptomoedas, a prioridade é eliminar a exposição de chaves privadas: mantenha a maioria dos ativos em cold storage com assinatura múltipla (multisig) ou MPC, isole as hot wallets com limites de saque e allowlists, audite todos os smart contracts e integrações Web3 antes de cada deploy, monitore a blockchain em tempo real para detectar drenagens de carteira e movimentações anômalas, e tenha um plano de resposta a incidentes capaz de congelar saques, acionar exchanges parceiras e rastrear fundos on-chain em minutos. A Decripte combina Segurança Web3, SOC 24x7, Pentest e Resposta a Incidentes com SLA de contenção de até 1 hora para que um vazamento de chave não se transforme em perda irreversível de tesouraria.

Comece grátis agora Ver planos pagos

24/7

SOC monitorando wallets e API

<=1h

SLA de contenção de incidente

On-chain

Rastreamento e atribuição de fundos

ISO 27001

Conformidade e gestão de riscos

Em resumo

  • Em cripto não há estorno: a defesa precisa ser preventiva (segregação de carteiras, multisig/MPC, limites de saque) porque a contenção pós-roubo recupera apenas uma fração dos fundos.
  • A superfície de ataque de uma exchange é tripla — infraestrutura tradicional (API, servidores, colaboradores), camada de custódia (hot/cold wallets, chaves) e camada Web3 (smart contracts, bridges, integrações) — e exige defesa em profundidade nas três.
  • Chaves privadas nunca devem residir em texto claro, em variáveis de ambiente ou em um único ponto; HSM, MPC e segregação de funções reduzem o impacto de um único comprometimento.
  • Monitoramento on-chain contínuo permite detectar a drenagem de uma hot wallet em segundos e acionar congelamento de saques, allowlist de stablecoins e parceiros antes que os fundos sejam lavados via mixers ou bridges.
  • A resposta a incidente em exchange é uma corrida contra o tempo de finalização da blockchain: cada minuto de atraso é fundo movido para fora de alcance, por isso o SLA de contenção de até 1 hora da Decripte é desenhado para esse setor.
  • Auditoria de smart contracts e pentest Web3 antes de cada deploy evitam que reentrância, controle de acesso quebrado e bugs de aprovação virem vetores de esvaziamento de tesouraria.
Cripto e Web3

Cibersegurança para Exchanges de Criptomoedas

Em cripto não existe estorno. A Decripte protege exchanges nas três camadas — infraestrutura, custódia de chaves e Web3 — com SOC 24x7, monitoramento on-chain e Resposta a Incidentes com SLA de contenção de até 1 hora.

Comece grátis agora Ver planos pagos

Por que exchanges de cripto são o alvo financeiro mais visado do mundo

Uma exchange de criptomoedas custodia, em um único conjunto de carteiras, o que para um banco tradicional estaria espalhado por cofres físicos, câmaras de compensação e sistemas de liquidação com múltiplas camadas de reversão. A diferença fundamental é a irreversibilidade: uma transação confirmada na blockchain não tem chargeback, não tem estorno, não tem ordem judicial que a desfaça no protocolo. Quando uma chave privada vaza e um atacante assina uma transferência da hot wallet para um endereço sob seu controle, o dinheiro saiu — e o que resta é uma corrida forense para rastrear, congelar em pontos de cash-out e, quando possível, recuperar uma fração via cooperação com outras exchanges e autoridades.

Esse desenho torna a exchange o alvo preferencial de grupos APT financeiros — incluindo atores estatais como o Lazarus Group, historicamente associado a furtos bilionários no ecossistema cripto. Para esses grupos, a exchange concentra o maior retorno por unidade de esforço: um único comprometimento bem-sucedido pode drenar carteiras inteiras de uma só vez, sem janela de reversão. Diferente de uma fraude de cartão, onde o ganho é diluído e estornável, aqui o ataque é binário e definitivo.

O fator irreversibilidade muda tudo

Em segurança bancária tradicional, muitos controles são detectivos e corretivos: você detecta a fraude e estorna. Em cripto, o controle precisa ser preventivo e em tempo real, porque depois da confirmação on-chain não existe correção. Isso eleva o custo de qualquer falha de custódia de 'prejuízo recuperável' para 'perda permanente de tesouraria e de confiança do mercado'.

Há ainda o componente reputacional e regulatório. Uma exchange que perde fundos de clientes enfrenta corrida de saques, congelamento por parte de bancos parceiros, escrutínio da imprensa e, no Brasil, obrigações junto à ANPD quando há vazamento de dados pessoais de usuários (KYC), além do regime de Prestadoras de Serviços de Ativos Virtuais (PSAVs) regulado pelo Banco Central a partir do Marco Legal das Criptos (Lei 14.478/2022). O incidente técnico vira crise existencial, e é por isso que a segurança de uma exchange precisa ser tratada como questão de sobrevivência do negócio, não como custo de TI.

A tripla superfície de ataque de uma exchange

Defender uma exchange exige entender que ela é, ao mesmo tempo, três sistemas sobrepostos, cada um com seu próprio modelo de ameaça. Tratar tudo como 'infraestrutura web' é o erro estratégico mais comum — e o mais caro.

Camada 1 — Infraestrutura e aplicação tradicional

É a parte que se parece com qualquer fintech: APIs de trading, matching engine, portais web e mobile, bancos de dados, microsserviços, identidade dos colaboradores. Aqui moram os vetores clássicos — credenciais vazadas, injeção, falhas de autorização, server-side request forgery, exposição de painéis administrativos, e o elo humano: phishing direcionado a engenheiros e operadores com acesso a sistemas de assinatura. Em quase todo grande roubo de exchange, o ponto de entrada inicial foi este: um colaborador-chave comprometido, não um bug exótico de blockchain.

Camada 2 — Custódia e gestão de chaves

É o coração do risco. Onde e como vivem as chaves privadas que controlam os fundos? Hot wallets (online, para liquidez operacional) versus cold storage (offline, para a tesouraria). Quem pode assinar uma transação? Quantas assinaturas são necessárias? As chaves são protegidas por HSM (módulo de segurança de hardware) ou por MPC (computação multipartidária, que nunca reconstrói a chave inteira em um único lugar)? Um único ponto de falha nesta camada — uma chave em texto claro num servidor, um seed em um arquivo de configuração, um signatário único — é o que transforma um incidente em catástrofe. Esta é a camada que distingue a segurança de uma exchange da de qualquer outra fintech.

Camada 3 — Web3 e contratos inteligentes

Exchanges modernas interagem com smart contracts: tokens, contratos de staking, bridges entre redes, integrações DeFi, contratos de aprovação (approve/allowance). Cada contrato é código imutável manipulando valor real. Falhas de reentrância, controle de acesso quebrado, lógica de aprovação excessiva, oráculos manipuláveis e bugs em bridges já causaram alguns dos maiores roubos da história do setor. Esta camada exige auditoria especializada que pentest tradicional não cobre. A defesa eficaz precisa cobrir as três camadas de forma integrada, porque os ataques reais as encadeiam: phishing rouba acesso, que extrai uma chave, que assina uma transação maliciosa — segurança em silos quebra exatamente nas costuras.

As cinco ameaças centrais do setor

  • Roubo de hot wallets e chaves privadas — o vetor mais direto e definitivo, geralmente via colaborador comprometido ou chave mal protegida.
  • Comprometimento de smart contracts — reentrância, controle de acesso, aprovações excessivas e bugs de bridge esvaziando contratos de tesouraria.
  • Phishing e ataques a colaboradores-chave — engenharia social contra quem tem acesso a sistemas de assinatura, deploy ou aprovação de saques.
  • Vulnerabilidades em integrações Web3 — bridges, oráculos, contratos de terceiros e bibliotecas que viram porta dos fundos.
  • Ataques à API de trading — abuso de chaves de API de clientes, falhas de autorização, manipulação de ordens e exfiltração de saldos.
Gestão de Ameaças · Grátis

Os dados de exchanges de criptomoedas já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Anatomia do esvaziamento de uma hot wallet a partir de chave vazada

O cenário mais temido por qualquer exchange segue um padrão reconhecível. Entender essa anatomia é o primeiro passo para quebrá-la. O ataque raramente começa na blockchain — começa em uma pessoa ou em um segredo mal guardado.

Fase 1 — Acesso inicial e reconhecimento

O atacante obtém um ponto de apoio: um e-mail de phishing convincente para um engenheiro de plataforma, um token de CI/CD vazado em um repositório, uma dependência comprometida na cadeia de suprimentos, ou uma credencial reutilizada encontrada em vazamento público. Com acesso, ele mapeia onde as chaves vivem e quais processos as utilizam para assinar transações de saque, movendo-se lateralmente sem disparar alertas porque seu comportamento ainda imita o do colaborador legítimo.

Fase 2 — Extração da chave

O alvo é o material criptográfico da hot wallet. Pode estar em uma variável de ambiente, em um secret manager mal configurado, em memória de um processo de assinatura, ou acessível através de um serviço interno sem segmentação. Se não houver HSM ou MPC, a chave inteira pode ser copiada — e a partir daí o atacante tem poder total de assinatura, indistinguível da própria exchange.

Por que MPC e HSM mudam o jogo

Com um HSM, a chave nunca sai do hardware: o servidor envia a transação para o HSM assinar e recebe de volta apenas a assinatura. Com MPC, a chave nem existe inteira em lugar nenhum — fragmentos distribuídos por partes independentes colaboram para assinar sem nunca reconstruir o segredo. Em ambos os casos, copiar 'a chave' deixa de ser possível, e o roubo silencioso vira inviável.

Fase 3 — A drenagem e o relógio da blockchain

De posse da capacidade de assinar, o atacante esvazia a hot wallet em uma ou várias transações para endereços sob seu controle. Se houver limites de saque, allowlist de destinos e detecção de anomalia, ele bate em paredes e gera alertas. Se não houver, a carteira é esvaziada em segundos e os fundos começam imediatamente a se dispersar — fragmentados, passados por mixers, convertidos em stablecoins ou movidos por bridges para outras redes, dificultando o rastreamento. Cada minuto entre a drenagem e a contenção é fundo movido para mais longe do alcance: a resposta a incidente em exchange não é um processo de horas, é uma janela de minutos onde congelar saques, acionar parceiros e iniciar o rastreamento on-chain define quanto se recupera.

O relógio da blockchain

É exatamente para essa janela de minutos que o SLA de contenção de até 1 hora da Decripte foi desenhado: detecção on-chain encadeada à ação imediata, para que a drenagem seja interrompida e rastreada antes que os fundos saiam de alcance pela bridge ou pelo mixer.

Como a Decripte estrutura a defesa de custódia

A blindagem de uma exchange não é um produto, é uma arquitetura. A Decripte estrutura a segurança de custódia em torno de um princípio: nenhum comprometimento único deve ser capaz de mover fundos materiais. Tudo se desdobra desse princípio.

Segregação hot/cold com proporção operacional mínima

A maior parte da tesouraria fica em cold storage, fisicamente offline e inacessível à rede. As hot wallets carregam apenas o necessário para liquidez operacional, com reposição controlada. Assim, mesmo o pior caso — esvaziamento total de uma hot wallet — limita-se a uma fração da tesouraria, não ao todo.

Multisig e MPC para eliminar o signatário único

Transferências materiais exigem múltiplas aprovações independentes (multisig) ou assinatura distribuída via MPC. Roubar uma chave deixa de ser suficiente: é preciso comprometer múltiplas partes, em locais e sob controles distintos, simultaneamente. O custo do ataque sobe em ordens de magnitude. Sobre isso somam-se limites de saque, timelocks para destinos novos e allowlists, que transformam uma drenagem instantânea em uma série de fricções que geram alertas e dão tempo de resposta.

Pilares de custódia que a Decripte implanta

  • Segregação hot/cold com tesouraria majoritária offline em cold storage.
  • HSM ou MPC para que chaves nunca existam inteiras em um ponto único.
  • Multisig com quórum de assinatura e segregação de funções entre operadores.
  • Limites de saque, timelocks e allowlist de destinos com quarentena para endereços novos.
  • Detecção de anomalia em tempo real sobre o fluxo de transações de saque.
  • Cofre de segredos auditado, sem chaves em variáveis de ambiente, código ou logs.

Sobre essa arquitetura, o SOC 24x7 da Decripte observa continuamente tanto a infraestrutura quanto o comportamento on-chain das carteiras, de forma que qualquer movimentação fora do padrão dispare resposta antes que vire perda.

Auditoria de smart contracts e segurança Web3

Código que manipula valor on-chain não admite a postura de 'corrige em produção'. Uma vez deployado, o contrato é imutável e o bug é explorável por qualquer pessoa no mundo, a qualquer hora. A auditoria precisa acontecer antes — e ser específica para as classes de falha que pentest web tradicional não enxerga.

Classes de vulnerabilidade que auditamos

Reentrância (chamadas externas que reentram no contrato antes de o estado ser atualizado), controle de acesso quebrado (funções críticas sem proteção de papel), lógica de aprovação excessiva (allowances infinitas que viram porta de saque), manipulação de oráculos e preços, falhas de inicialização de proxies upgradeable, e os riscos específicos de bridges — historicamente o ponto mais explorado do ecossistema, por concentrar valor e lógica complexa de validação cross-chain.

Integrações de terceiros são fronteira de confiança

Cada contrato externo com o qual a exchange interage — um token, um protocolo de staking, uma bridge — é código que você não controla manipulando seus fundos. A Decripte trata cada integração Web3 como uma fronteira de confiança que precisa de revisão, limites de exposição e monitoramento, não como uma dependência confiável por padrão.

Pentest e revisão alinhados ao OWASP

A camada de aplicação e API é testada seguindo metodologias reconhecidas, incluindo o OWASP Top 10 e o OWASP API Security Top 10, com atenção especial a autorização em nível de objeto (chaves de API de clientes acessando saldos alheios), exposição de funções administrativas e abuso de lógica de negócio no matching engine. A camada de contratos recebe revisão manual aprofundada complementada por análise estática especializada em Solidity e EVM.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em exchanges de criptomoedas? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Monitoramento on-chain e SOC 24x7 contínuo

Prevenção reduz a probabilidade; monitoramento reduz o tempo de descoberta. Em um setor onde a janela útil de resposta é medida em minutos, detectar tarde é quase equivalente a não detectar. Por isso o monitoramento de uma exchange tem que ser duplo: dentro da infraestrutura e fora dela, na própria blockchain.

Visão de dentro — SOC sobre infraestrutura e API

Correlação de logs, telemetria de endpoints, comportamento de colaboradores privilegiados, padrões de acesso aos sistemas de assinatura e tráfego anômalo na API de trading. O objetivo é pegar o atacante na camada 1, antes que ele alcance as chaves — no phishing, no movimento lateral, na tentativa de acessar o cofre de segredos.

Visão de fora — monitoramento on-chain das carteiras

A Decripte observa em tempo real o comportamento dos endereços da exchange na blockchain: saídas inesperadas, destinos não-allowlisted, fragmentação típica de lavagem, interações com contratos de mixer ou bridges suspeitas. Uma drenagem dispara alerta no instante em que a transação aparece na mempool ou é confirmada, acionando o playbook de contenção. Esse monitoramento alimenta também a inteligência de ameaças: endereços maliciosos conhecidos e padrões de campanhas de grupos APT financeiros são incorporados às regras de detecção.

Detecção que aciona contenção

O valor do monitoramento on-chain não é só ver a fraude — é encadear a detecção com a ação. No instante em que uma saída anômala é identificada, o playbook congela saques, notifica exchanges parceiras e inicia o rastreamento dos fundos. Detecção sem resposta automatizada perde a janela; é por isso que SOC e Resposta a Incidentes operam integrados na Decripte.

Conformidade, regulação e o regime de PSAV no Brasil

Segurança e conformidade caminham juntas em uma exchange. O Marco Legal das Criptos (Lei 14.478/2022) estabeleceu o regime das Prestadoras de Serviços de Ativos Virtuais e atribuiu ao Banco Central a competência de regular e supervisionar o setor no Brasil. Isso traz exigências de governança, gestão de riscos, segregação patrimonial e controles que se conectam diretamente à arquitetura de segurança.

Sobre os dados pessoais dos usuários — coletados em processos de KYC, prevenção à lavagem de dinheiro e operação — incide a LGPD, com fiscalização da ANPD. Um vazamento de base de clientes de exchange combina dado sensível, dado financeiro e exposição patrimonial, exigindo notificação à ANPD e aos titulares em prazo razoável quando houver risco relevante. A Decripte estrutura os controles de proteção de dados de forma integrada à segurança técnica.

Frentes de conformidade relevantes para exchanges

  • LGPD / ANPD — proteção dos dados de KYC e financeiros dos usuários, com plano de notificação de incidentes.
  • Marco Legal das Criptos (Lei 14.478/2022) e regulação do Banco Central sobre PSAVs — governança e gestão de riscos.
  • ISO 27001 — sistema de gestão de segurança da informação como espinha dorsal de governança.
  • PCI-DSS — quando há processamento de cartões nas rampas de entrada/saída fiat.
  • SOC 2 — demonstração de controles para parceiros institucionais e bancos.

A Decripte apoia a exchange a traduzir essas exigências em controles técnicos concretos e auditáveis, evitando o descompasso comum entre 'estar em conformidade no papel' e 'estar seguro na prática'. Conformidade bem feita é subproduto de uma arquitetura de segurança sólida, não um checklist paralelo.

Por que a Decripte para segurança de exchanges

O que diferencia a defesa de uma exchange não é uma ferramenta isolada, mas a integração de capacidades raras de encontrar juntas: entendimento profundo de custódia e criptografia, expertise específica em Web3 e contratos inteligentes, um SOC que monitora simultaneamente infraestrutura e blockchain, e uma equipe de resposta a incidentes capaz de operar na janela de minutos que o setor impõe.

Defesa em profundidade nas três camadas

A Decripte cobre a exchange inteira: pentest e SOC na camada de infraestrutura e API, arquitetura de custódia com HSM/MPC/multisig na camada de chaves, e auditoria de contratos com monitoramento Web3 na camada on-chain. Quando o ataque encadeia as três, a defesa também precisa estar encadeada — e é isso que oferecemos.

Comece com um diagnóstico gratuito de Gestão de Ameaças em decripte.io/free para enxergar sua exposição atual sem compromisso. Para estruturar a defesa completa, contrate em decripte.io/start ou fale com nossa equipe em /contato. Em caso de incidente em andamento, a Resposta a Incidentes da Decripte opera com SLA de contenção de até 1 hora — porque na sua operação, cada minuto é tesouraria.

Anatomia ilustrativa: o esvaziamento de uma hot wallet a partir de uma chave vazada

Cenário ilustrativo

Cenário ILUSTRATIVO, não baseado em cliente real. Uma exchange de médio porte, com volume diário relevante e tesouraria distribuída entre hot wallets operacionais e cold storage, opera uma hot wallet cuja chave privada é mantida em um secret manager interno acessível por um serviço de assinatura. Não há HSM nem MPC nessa carteira específica, os saques não têm timelock para destinos novos, e o monitoramento on-chain é limitado a dashboards consultados manualmente em horário comercial. Um engenheiro de plataforma com acesso ao serviço de assinatura é alvo de uma campanha de phishing direcionada. Este cenário ilustra como a Decripte atua — da detecção à blindagem — em um incidente típico do setor.

  1. Acesso inicial (dia 0)

    Um engenheiro-chave recebe um e-mail de spear phishing imitando uma ferramenta interna de CI/CD e insere suas credenciais em uma página falsa. O atacante obtém a sessão, contorna o MFA via fadiga de notificação, e ganha acesso ao ambiente de desenvolvimento com visibilidade sobre o serviço de assinatura. Durante dias, faz reconhecimento silencioso, mapeando onde a chave da hot wallet é carregada e quais processos a utilizam — sem disparar nenhum alerta, porque o comportamento ainda parece o do próprio engenheiro.

  2. Detecção (madrugada do dia 4)

    O atacante extrai o material da chave do secret manager e, na madrugada, assina uma transferência drenando a hot wallet para um endereço sob seu controle. O monitoramento on-chain contínuo da Decripte — ativo 24x7, ao contrário dos dashboards manuais da exchange — detecta na mempool uma saída de valor material para um destino fora da allowlist, com padrão incompatível com a operação. O alerta dispara o playbook de incidente em menos de dois minutos após a transação aparecer.

  3. Contenção (primeira hora)

    A equipe de Resposta a Incidentes da Decripte aciona o congelamento imediato de todos os saques da plataforma, isola o serviço de assinatura comprometido, revoga as sessões e credenciais do engenheiro afetado, e rota a hot wallet restante para um endereço seguro sob multisig. Em paralelo, notifica exchanges e provedores de stablecoin parceiros com os endereços do atacante, solicitando congelamento de fundos que cheguem a esses pontos de cash-out. A contenção fecha dentro do SLA de até 1 hora.

  4. Rastreamento on-chain

    Analistas forenses da Decripte rastreiam os fundos em tempo real enquanto o atacante tenta fragmentá-los, convertê-los em stablecoins e movê-los por uma bridge para outra rede. O grafo de transações é mapeado, os endereços intermediários catalogados, e parte do valor é congelada em emissores de stablecoin e em exchanges parceiras antes de ser sacada. Os indicadores são compartilhados com autoridades competentes e com a inteligência de ameaças do setor.

  5. Erradicação

    A análise de causa raiz confirma o vetor: phishing levando à extração de chave em texto utilizável, sem HSM/MPC, sem timelock e sem allowlist efetiva. A Decripte remove o acesso indevido, reconstrói o ambiente comprometido a partir de base confiável, rotaciona todos os segredos potencialmente expostos e elimina a chave vazada de circulação, migrando a custódia para um novo esquema.

  6. Recuperação e blindagem

    A custódia é reestruturada: hot wallets passam a operar sob MPC, a tesouraria majoritária é movida para cold storage com multisig, saques ganham limites, timelock para destinos novos e allowlist com quarentena. O SOC 24x7 assume o monitoramento integrado de infraestrutura e on-chain. Os colaboradores-chave passam por treinamento anti-phishing e MFA resistente a phishing (chaves de hardware). Auditoria de contratos e integrações Web3 é incorporada ao ciclo de deploy.

  7. Lições aprendidas

    O incidente consolida princípios duráveis: nenhuma chave deve existir inteira em um ponto único; nenhum saque material deve ocorrer sem fricção e revisão; o monitoramento precisa ser 24x7 e on-chain, não manual; e o elo humano é tão crítico quanto o técnico. A exchange sai com uma arquitetura onde um único comprometimento não mais drena a tesouraria — exatamente o objetivo que faltava antes do incidente.

Desfecho com a Decripte

No cenário ilustrativo, a detecção em minutos e a contenção dentro de 1 hora limitaram a perda à fração que estava na hot wallet operacional — a tesouraria em cold storage permaneceu intocada — e o rastreamento on-chain congelou parte dos fundos antes do cash-out. Mais importante que a recuperação parcial, a exchange saiu do incidente com uma arquitetura de custódia onde o mesmo ataque não voltaria a funcionar: chaves sob MPC, multisig na tesouraria, saques com fricção, e SOC 24x7 monitorando infraestrutura e blockchain de forma contínua. É esse desfecho — conter o dano imediato e blindar contra a repetição — que a Decripte entrega no setor.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar exchanges de criptomoedas hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Como a Decripte responde a um incidente em uma exchange

A resposta a incidente em exchange é uma corrida contra o tempo de finalização da blockchain. O playbook da Decripte é desenhado para a janela de minutos do setor, integrando SOC, Resposta a Incidentes e rastreamento on-chain.

  1. Detecção e triagem imediata — o monitoramento 24x7 de infraestrutura e on-chain identifica a anomalia (saída de wallet fora do padrão, acesso indevido a sistemas de assinatura) e classifica a severidade em minutos, acionando o playbook automaticamente.
  2. Contenção emergencial — congelamento de todos os saques da plataforma, isolamento dos sistemas de assinatura comprometidos, revogação de sessões e credenciais afetadas, e rota dos fundos restantes para custódia segura sob multisig, dentro do SLA de até 1 hora.
  3. Acionamento de parceiros e cash-out — notificação imediata a exchanges parceiras, emissores de stablecoin e provedores de liquidez com os endereços do atacante, para congelar fundos nos pontos de saída antes que sejam lavados.
  4. Rastreamento forense on-chain — mapeamento em tempo real do grafo de transações, atribuição de endereços, identificação de mixers e bridges usados, e preservação de evidências para autoridades e para recuperação parcial dos fundos.
  5. Erradicação e análise de causa raiz — identificação do vetor inicial (phishing, chave exposta, falha de contrato), remoção do acesso do atacante, reconstrução de ambientes comprometidos a partir de base confiável e rotação de todos os segredos expostos.
  6. Recuperação segura — restauração da operação de saques de forma controlada apenas após a custódia ser reestruturada (MPC/multisig, limites, timelocks, allowlists), garantindo que o mesmo vetor não esteja mais aberto.
  7. Notificação regulatória e de titulares — apoio na comunicação à ANPD e aos usuários quando há dado pessoal envolvido (LGPD), e às obrigações do regime de PSAV junto ao Banco Central, no prazo e formato adequados.
  8. Lições aprendidas e endurecimento — relatório executivo e técnico, com hardening permanente da arquitetura e ajuste das regras de detecção do SOC para a tática observada.

Como a Decripte estrutura a segurança de uma exchange

A blindagem é uma arquitetura em camadas, não um produto isolado. A Decripte estrutura a defesa em torno de um princípio central: nenhum comprometimento único deve ser capaz de mover fundos materiais.

Arquitetura de custódia resiliente

Segregação hot/cold com tesouraria majoritária offline, HSM ou MPC para que chaves nunca existam inteiras em um único ponto, multisig com quórum de assinatura, e limites/timelocks/allowlists nos saques. O objetivo é que roubar uma chave deixe de ser suficiente para drenar fundos.

Segurança Web3 e auditoria de contratos

Revisão aprofundada de smart contracts e integrações (reentrância, controle de acesso, aprovações excessivas, bridges e oráculos) antes de cada deploy, tratando cada contrato de terceiro como fronteira de confiança que exige limites e monitoramento.

Pentest e endurecimento da plataforma

Testes ofensivos da infraestrutura, API de trading e portais alinhados ao OWASP Top 10 e OWASP API Security Top 10, com foco em autorização em nível de objeto, exposição de funções administrativas e abuso de lógica de negócio no matching engine.

SOC 24x7 com monitoramento on-chain

Observação contínua e simultânea da infraestrutura (logs, endpoints, comportamento de privilegiados, API) e da blockchain (saídas anômalas, destinos suspeitos, padrões de lavagem), com detecção encadeada à contenção automatizada.

Proteção do elo humano

Treinamento anti-phishing dos colaboradores-chave, MFA resistente a phishing (chaves de hardware), segregação de funções e princípio do menor privilégio em todo acesso a sistemas de assinatura e deploy — porque o vetor inicial quase sempre é humano.

Governança, conformidade e prontidão de incidente

Alinhamento com LGPD/ANPD, ISO 27001 e o regime de PSAV do Banco Central (Lei 14.478/2022), com planos de resposta a incidentes testados, runbooks de congelamento de saques e canais pré-estabelecidos com exchanges parceiras e autoridades.

Planos recomendados para Exchanges de Criptomoedas

Seguranca Web3

Auditoria de smart contracts e integrações (bridges, oráculos, contratos de aprovação) e monitoramento on-chain contínuo das carteiras — a camada que pentest tradicional não cobre e que concentra os maiores roubos do ecossistema cripto.

Ver plano →

SOC 24x7

Monitoramento simultâneo de infraestrutura, API de trading e comportamento on-chain das wallets, 24 horas por dia, para detectar uma drenagem ou um acesso indevido a sistemas de assinatura na janela de minutos que o setor exige.

Ver plano →

Resposta a Incidentes

Contenção emergencial com SLA de até 1 hora — congelamento de saques, acionamento de exchanges parceiras e rastreamento on-chain dos fundos — essencial num setor onde a transação é irreversível e cada minuto é tesouraria movida para fora de alcance.

Ver plano →

Pentest

Testes ofensivos da plataforma, API e integrações alinhados ao OWASP, simulando o caminho real do atacante (do phishing à extração de chave) para fechar os vetores antes que um grupo APT financeiro os explore.

Ver plano →

Perguntas frequentes

Se um atacante roubar a chave da nossa hot wallet, dá para recuperar os fundos?

Parcialmente, e a janela é estreita. Como transações on-chain são irreversíveis, não há estorno no protocolo. O que se faz é congelar saques imediatamente, acionar exchanges parceiras e emissores de stablecoin com os endereços do atacante para travar os fundos nos pontos de cash-out, e rastrear on-chain antes da lavagem. Quanto mais rápida a contenção — por isso o SLA de até 1 hora — maior a fração recuperável. A defesa real, porém, é preventiva: com MPC, multisig e cold storage, roubar uma chave deixa de ser suficiente para drenar a tesouraria.

Qual a diferença entre HSM e MPC para proteger nossas chaves?

Com um HSM (módulo de segurança de hardware), a chave nunca sai do dispositivo: o sistema envia a transação para assinar e recebe de volta apenas a assinatura. Com MPC (computação multipartidária), a chave nunca existe inteira em lugar nenhum — fragmentos distribuídos colaboram para assinar sem reconstruir o segredo. Ambos eliminam o cenário de 'copiar a chave'. MPC tende a ser mais flexível para políticas de quórum e distribuição operacional; muitas exchanges combinam os dois. A Decripte ajuda a desenhar o esquema adequado ao seu volume e modelo operacional.

Pentest comum cobre nossos smart contracts?

Não. Pentest tradicional foca em infraestrutura, API e aplicação web. Smart contracts exigem auditoria especializada para classes de falha próprias — reentrância, controle de acesso quebrado, aprovações excessivas, manipulação de oráculos e riscos de bridge — feita com revisão manual aprofundada e análise estática de Solidity/EVM. Como contratos são imutáveis após o deploy, essa auditoria precisa acontecer antes de ir para produção. O plano de Segurança Web3 da Decripte cobre exatamente essa camada.

O monitoramento on-chain realmente detecta um roubo a tempo?

Sim, quando é contínuo e encadeado à resposta. O monitoramento on-chain 24x7 observa as carteiras da exchange na blockchain e dispara alerta no instante em que uma saída anômala aparece na mempool ou é confirmada — destino fora da allowlist, valor incompatível, padrão de fragmentação. O ganho não é só ver a fraude: é acionar o playbook de congelamento de saques e rastreamento em minutos. Dashboards consultados manualmente em horário comercial não dão essa janela; monitoramento automatizado e integrado ao SOC, sim.

Quais obrigações regulatórias incidem sobre uma exchange no Brasil?

Duas frentes principais. O Marco Legal das Criptos (Lei 14.478/2022) instituiu o regime das Prestadoras de Serviços de Ativos Virtuais e deu ao Banco Central a competência de regular e supervisionar o setor, com exigências de governança e gestão de riscos. Sobre os dados pessoais dos usuários (KYC, prevenção à lavagem) incide a LGPD, fiscalizada pela ANPD, incluindo dever de notificar incidentes com risco relevante. A Decripte traduz essas exigências em controles técnicos auditáveis.

O ataque a exchanges começa na blockchain ou na nossa equipe?

Quase sempre na equipe. Na maioria dos grandes roubos, o ponto de entrada foi um colaborador-chave comprometido por phishing ou engenharia social, não um bug exótico de blockchain. O atacante usa esse acesso para alcançar as chaves e só então atua on-chain. Por isso a defesa do elo humano — treinamento anti-phishing, MFA resistente a phishing com chaves de hardware, segregação de funções e menor privilégio em sistemas de assinatura — é tão crítica quanto a arquitetura técnica.

Já temos cold storage. Isso basta?

Cold storage protege a tesouraria majoritária, mas a operação precisa de hot wallets para liquidez, e é nelas que o risco vive. Basta significa também: HSM/MPC nas hot wallets, multisig com quórum, limites e timelocks de saque, allowlist de destinos, monitoramento on-chain 24x7 e auditoria das integrações Web3. Cold storage é um pilar essencial, mas isolado não impede o esvaziamento de uma hot wallet a partir de chave vazada — que é o vetor mais comum. A defesa é a arquitetura completa.

Como começar sem um grande compromisso inicial?

Comece com o diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mostra sua exposição atual sem custo nem compromisso. A partir do resultado, é possível priorizar — geralmente Segurança Web3, SOC 24x7 e Resposta a Incidentes para o setor. Para contratar, acesse decripte.io/start ou fale com a equipe em /contato. Se houver um incidente em andamento agora, a Resposta a Incidentes opera com contenção em até 1 hora.

Termos do setor

Hot wallet vs. cold storage
Hot wallet é uma carteira conectada à internet, usada para liquidez operacional da exchange — prática mas exposta. Cold storage é a custódia offline da tesouraria majoritária, inacessível à rede e, portanto, muito mais difícil de drenar remotamente.
MPC (Multi-Party Computation)
Técnica criptográfica em que a chave privada nunca existe inteira em um único lugar: fragmentos distribuídos por partes independentes colaboram para assinar uma transação sem jamais reconstruir o segredo completo, eliminando o roubo por cópia da chave.
Multisig
Esquema em que uma transação só é válida com múltiplas assinaturas independentes (por exemplo, 3 de 5 signatários). Roubar uma única chave deixa de ser suficiente para mover fundos, elevando drasticamente o custo de um ataque.
PSAV (Prestadora de Serviços de Ativos Virtuais)
Categoria definida pelo Marco Legal das Criptos (Lei 14.478/2022) para empresas que prestam serviços com ativos virtuais, como exchanges, sujeitas à regulação e supervisão do Banco Central no Brasil.
Reentrância
Classe de vulnerabilidade em smart contracts onde uma chamada externa reentra no contrato antes de seu estado interno ser atualizado, permitindo, por exemplo, sacar fundos repetidamente. É uma das falhas mais clássicas e exploradas em contratos Solidity.
Allowlist de saque
Lista de endereços de destino previamente aprovados para os quais a exchange permite enviar fundos. Destinos novos ou fora da lista são bloqueados ou colocados em quarentena, transformando uma drenagem instantânea em uma fricção que gera alerta.

A Decripte protege e responde a incidentes no setor de exchanges de criptomoedas.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.

Comece grátis agora Ver planos pagos