Carteira Ethereum Roubada: O Que Fazer Imediatamente | Ethereum IA

Quem pesquisa carteira ethereum roubada normalmente acaba de ver os saldos desaparecerem ou recebeu um alerta de transação não reconhecida e precisa agir em minutos. A sensação é de pânico, mas a ordem certa de ação importa mais que a velocidade cega: prioridades trocadas (tentar rastrear o atacante antes de proteger os fundos restantes, por exemplo) costumam amplificar o prejuízo. A primeira regra prática é proteger o que ainda existe na carteira antes de qualquer outra coisa.

Este guia é educativo. Ele não recupera fundos por você, não recomenda serviços de rastreamento ou carteiras específicas para o seu caso, nem garante qualquer resultado. O objetivo é organizar, em português, os primeiros passos técnicos e as obrigações e canais brasileiros (Polícia Federal, Banco Central, COAF, Receita Federal) que compõem uma resposta responsável a um roubo de criptoativos. Criptomoedas são ativos de alto risco e este conteúdo não constitui aconselhamento financeiro, jurídico ou tributário.

Antes de tudo: proteja o que sobrou

A primeira janela após um roubo é decisiva e frequentemente desperdiçada. Muitas vítimas passam os primeiros minutos copiando endereços do atacante, abrindo reclamações em redes sociais ou procurando ferramentas de rastreamento, enquanto novos depósitos automáticos (salário em cripto, rendimento de staking, reembolso de bridge) ainda chegam na carteira comprometida e são drenados em seguida.

A sequência segura, antes de qualquer registro ou denúncia, é a seguinte. Primeiro, crie uma carteira totalmente nova, em um dispositivo que você considere limpo, e gere uma nova frase de recuperação que jamais foi digitada em qualquer site. Segundo, transfira para ela todo saldo remanescente: ETH, stablecoins, tokens de governança e recibidos de staking pendentes. Terceiro, se a carteira comprometida for uma conta inteligente ou tiver integrações com serviços de custódia, desvincule-as imediatamente pelo painel do próprio serviço.

Atenção especial para os tokens que parecem ter ficado: em muitos golpes o atacante não consegue mover um token porque falta ETH para o gas, e ele deposita um pequeno valor de ETH para então drenar o restante. Não assuma que um token que “sobrou” está seguro. Mova-o para a nova carteira assim que possível, mesmo que precise de uma pequena quantia de ETH proveniente de uma fonte externa.

Revogue as aprovações de tokens (approvals)

O segundo passo técnico, ainda na prioridade de contenção, é revogar as aprovações de tokens ERC-20. No Ethereum, autorizar um contrato a mover seus tokens (approvals) é uma operação comum em DeFi, mas aprovações concedidas a contratos maliciosos ou comprometidos funcionam como uma porta aberta: enquanto existirem, qualquer novo depósito na carteira pode ser drenado automaticamente.

Revogar uma aprovação não devolve o que já foi levado, mas interrompe a sangria futura. Use uma ferramenta de revogação conectada à carteira nova (nunca à comprometida) para inspecionar todas as aprovações ativas, e desautorize contratos desconhecidos, em especial aqueles com limite infinito. Ferramentas populares listam, por carteira, os contratos autorizados e permitem a revogação em lote, cobrando apenas o gas da operação.

Este é também o momento de listar, em um documento, todas as integrações que a carteira comprometida tinha: sites conectados, assinaturas periódicas (recorrentes via EIP-3009 ou similares), permissões de Permit e delegações. Cada uma dessas portas precisa ser fechada, porque o atacante as conhece e pode reutilizá-las enquanto existirem.

Documente tudo antes de prosseguir

Com os fundos remanescentes protegidos, o terceiro passo é coletar e preservar provas. Blockchains são públicas e imutáveis, então as evidências das transações fraudulentas não desaparecem, mas correlacioná-las com o seu caso, registrar endereços e salvar recibos acelera qualquer boletim, denúncia ou pedido de compensação tributária. Apressar-se nesta etapa é a causa mais comum de pedidos de prejuízo rejeitados depois.

Reúna o seguinte: endereço da sua carteira comprometida; endereço ou endereços do atacante (visíveis no explorador de blocos como o Etherscan); hashes das transações fraudulentas; valores, tokens e datas de cada movimentação; capturas de tela das mensagens, e-mails, anúncios, sites ou aplicativos que levaram ao golpe; e, se existirem, comprovantes da origem dos fundos (depósitos de corretora, recibos de salário, histórico de compra). Guarde cópias em local seguro e fora do dispositivo comprometido.

Se o golpe envolveu uma mensagem não solicitada, um airdrop falso, uma falsa central de suporte ou um site que imitava uma corretora, registre o domínio, o número de telefone e qualquer identificador de conta do contato. Esses dados são úteis à Polícia Federal e podem evitar novas vítimas, mas não compartilhe publicamente informações que identifiquem terceiros sem confirmação.

Boletim de ocorrência na Polícia Federal

O quarto passo é o registro formal do crime. No Brasil, crimes envolvendo criptoativos, invasão de dispositivo e fraude eletrônica são de competência da Polícia Federal quando há indícios de organização, transnacionalidade ou uso de infraestrutura de telecomunicações. Mesmo quando o caso é de delegacia comum, registrar na PF é o caminho mais indicado para golpes com essa natureza, porque eles concentram a perícia em cybercrime.

O boletim de ocorrência pode ser iniciado pela internet, pelo portal da Polícia Federal, e complementado presencialmente quando exigido. Leve ou anexe toda a documentação reunida no passo anterior: hashes de transação, endereços, capturas de tela e uma linha do tempo dos eventos. Descreva com clareza como ocorreu a abordagem do golpe, sem omitir detalhes aparentemente irrelevantes, pois pequenos elementos frequentemente conectam casos diferentes investigados juntos.

O boletim não recupera o dinheiro sozinho, mas é o documento que sustenta praticamente todas as outras providências: denúncia ao regulador, pedido de compensação de perda no imposto de renda, comunicação a corretoras para bloqueio de contas do atacante e eventuais ações civis. Trate o registro como prioridade documental, ainda que a recuperação seja improvável.

Denúncia ao Banco Central e ao COAF

O quinto passo é a comunicação aos órgãos reguladores brasileiros. A Lei 14.478/2022, o marco legal das criptoativas, estabelece obrigações para provedores de serviços de ativos virtuais e prevê competência supervisória do Banco Central. Denunciar o golpe ao BC cumpre um dever regulatório, alimenta estatísticas oficiais e pode gerar ações contra provedores que facilitaram, por negligência, a movimentação dos fundos roubados.

O Banco Central mantém canal específico para denúncias envolvendo criptoativos em seu portal de estabilidade financeira. A denúncia deve incluir os mesmos documentos reunidos (preferencialmente com o número do boletim de ocorrência já em mãos), a descrição do golpe, os endereços e, quando aplicável, a identificação de corretoras ou provedores brasileiros que tenham participado do fluxo, ainda que indiretamente.

O Conselho de Controle de Atividades Financeiras (COAF), vinculado ao Ministério da Fazenda, recebe comunicações de operações suspeitas. Em casos de valores relevantes, especialmente quando há indícios de lavagem de dinheiro, a comunicação ao COAF reforça o rastreamento e cumpre o papel preventivo do sistema brasileiro. Para o cidadão, o caminho prático costuma passar pela PF e pelo BC, que repassam as informações conforme o caso.

Receita Federal e o prejuízo no imposto de renda

O sexto passo, frequentemente negligenciado, é o tratamento tributário da perda. A Instrução Normativa RFB 1.888/2019 dispõe sobre a apuração de ganhos e perdas em criptoativos no Brasil, e eventos extremos como roubo podem, conforme as regras vigentes e a documentação apresentada, ser considerados na apuração do imposto, reduzindo a base em operações futuras ou, em hipóteses específicas, sendo reconhecidos como perda.

As regras são técnicas e exigem comprovação robusta: o boletim de ocorrência, os hashes das transações, o histórico de aquisição (para provar a posse e o custo de aquisição) e a demonstração inequívoca da perda são peças centrais. A Receita Federal não reconhece perdas com base em relatos isolados; exige lastro documental que conecte a vítima, os ativos e o evento. Por isso, a documentação reunida no passo três é reutilizada aqui.

Este guia não substitui orientação de um contador ou advogado tributarista. As regras sobre criptoativos evoluem, interpretações variam conforme o volume e a natureza das operações, e a aplicação ao caso concreto depende de detalhes que só um profissional pode avaliar. Trate este item como um lembrete de que o prejuízo tem tratamento formal previsto em lei, não como uma recomendação específica.

Rastreamento on-chain: expectativas realistas

Com a contenção e os registros em andamento, muitas vítimas partem para o rastreamento on-chain na esperança de recuperar os fundos. A realidade é que transações em redes públicas como o Ethereum são projetadas para serem irreversíveis, e atacantes experientes usam misturadores, bridges entre redes, exchanges sem KYC e carteiras transitórias para dificultar o rastreamento. Recuperação total é exceção, não regra.

Existem firmas e serviços especializados em rastreamento de criptoativos que, em casos de valores elevados, conseguem seguir o fluxo dos fundos e, em conjunto com autoridades e corretoras cooperativas, eventualmente congelar parte dos ativos quando eles atingem plataformas reguladas. O custo desses serviços costuma ser proporcional ao valor envolvido, e a contratação exige cautela: o momento após um roubo é fértil para golpes secundários de falsos recuperadores, que cobram adiantamento prometendo devolução impossível.

A regra prática é nunca pagar adiantado por serviços de recuperação sem verificação cuidadosa e, preferencialmente, conduzir o rastreamento em paralelo às autoridades competentes. Anote os endereços do atacante em ferramentas públicas de marcação de endereços fraudulentos para ajudar outras vítimas e corretoras a identificá-los, mas não construa expectativas de devolução.

Reforce a segurança da nova carteira

O sétimo passo é tornar a nova carteira, e os hábitos ao redor dela, significativamente mais seguros que os anteriores, porque o segundo golpe é comum. Vítimas recentes são alvo frequente de novas abordagens, em especial mensagens fingindo ser da equipe de suporte da carteira, falsos especialistas em recuperação e promessas de reembolso mediante pagamento de taxa.

As medidas de maior impacto são: guardar a maior parte dos fundos em uma carteira de hardware, desconectada do computador; escrever a frase de recuperação em papel ou metal, guardada em local físico seguro, jamais em nuvem, fotos ou gerenciadores de senhas conectados à internet; usar carteiras separadas por finalidade, com limites definidos para uso diário; e revisar periodicamente as aprovações de tokens concedidas.

Além disso, mantenha o hábito de simular transações antes de assiná-las, desconfie de qualquer airdrop ou mensagem não solicitada, nunca conecte a carteira principal a sites desconhecidos e desative integrações que não usa mais. Nenhuma dessas medidas elimina todo o risco, mas cada uma reduz a superfície de ataque de forma mensurável.

Erros comuns que amplificam o prejuízo

Conhecer os erros típicos ajuda a evitá-los sob pressão. O primeiro é continuar usando a carteira comprometida na esperança de receber de volta o que foi levado: novos fundos que chegam são drenados em seguida. O segundo é digitar a frase de recuperação em sites ou aplicativos apresentados como ferramentas de verificação ou recuperação, expondo a nova carteira ao mesmo golpe.

O terceiro erro é priorizar o rastreamento do atacante em detrimento da contenção, perdendo janelas críticas para mover saldos remanescentes. O quarto é confiar em serviços de recuperação pagos adiantados, frequentemente golpes secundários. O quinto é omitir o registro por vergonha ou por acreditar que o valor é pequeno, perdendo a base documental para qualquer providência futura e alimentando a subnotificação que dificulta a ação regulatória.

Um sexto erro, mais sutil, é focar apenas na carteira afetada e esquecer contas relacionadas: e-mails e senhas usados em corretoras, redefinições de autenticador, perguntas de segurança. Se o golpe envolveu phishing, o atacante pode ter obtido credenciais além da carteira, e blindar apenas a carteira deixa portas abertas para um novo ataque.

Recuperação de acesso quando o problema é outro

Vale distinguir roubo de outros problemas que parecem roubo à primeira vista. Saldo que desaparece após interagir com um token desconhecido pode ser um token-iscosa que o atacante usa para monitorar sua carteira, sem ter acesso real, e o movimento certo é revogar a aprovação em vez de transferir tudo às pressas. Saldo que some após conectar a carteira a um site pode ser roubo por assinatura de Permit, caso em que mover os fundos para uma carteira nova é a contenção correta.

Outro cenário é a perda de acesso à própria carteira por esquecimento da frase de recuperação, falha de dispositivo ou golpe que induziu à revelação da seed. A diferença técnica importa: no roubo, alguém tem acesso ativo; na perda de acesso, ninguém (exceto quem eventualmente recuperou a frase). As providências se assemelham na proteção (criar carteira nova) mas divergem na documentação e nos canais, porque a perda de acesso não configura crime patrimonial da mesma forma.

Quando houver dúvida sobre a natureza do problema, o caminho seguro é agir como se fosse roubo na contenção (proteger os fundos restantes em carteira nova) e esclarecer a natureza com o explorador de blocos e, se necessário, suporte qualificado, antes de registrar o boletim. Registrar um evento como roubo sem lastro prejudica a investigação e a própria credibilidade da vítima em pedidos futuros.

Quando o valor é pequeno

A maior parte dos roubos de cripto envolve valores pequenos, que não justificam contratar serviços especializados ou abrir ação civil. Mesmo nesses casos, os passos de contenção e registro continuam válidos: proteger os fundos restantes é necessário independentemente do valor, revogar aprovações evita drenos futuros e o boletim de ocorrência cumpre papel estatístico e preventivo, ainda que sem expectativa de recuperação individual.

Para valores pequenos, priorize a contenção (passos um e dois) e a reflexão sobre o que permitiu o golpe (passos sete e oito), que é onde está o aprendizado que evita repetição. O registro na PF e no BC continua recomendado pela função preventiva, mas pode ser feito de forma sucinta. Em todos os casos, valor pequeno não deve servir de desculpa para manter hábitos que permitiram o golpe, porque o segundo incidente tende a envolver valores maiores.

Síntese da resposta segura

Diante de uma carteira Ethereum roubada, a sequência que preserva o máximo possível de patrimônio e cumpre os deveres brasileiros é: primeiro, proteger os fundos restantes em carteira nova; segundo, revogar todas as aprovações de tokens; terceiro, documentar todas as transações e o contexto do golpe; quarto, registrar boletim de ocorrência na Polícia Federal; quinto, denunciar ao Banco Central e, quando aplicável, ao COAF; sexto, avaliar com profissional o tratamento tributário da perda; sétimo, reforçar a segurança da nova carteira.

Nenhum desses passos garante a recuperação dos fundos roubados. A irreversibilidade é uma característica de projeto do Ethereum, e a prudência começa por aceitar essa realidade e concentrar energia onde ela rende: na proteção do que ainda existe, na documentação correta e na construção de hábitos que tornem improvável a repetição. Criptomoedas são ativos de alto risco, a autocustódia é poder e responsabilidade em iguais medidas, e a prevenção continua sendo a única estratégia de recuperação com taxa de sucesso próxima a 100%.

Para aprofundar a postura defensiva, vale revisar os guias de segurança cripto, de como evitar golpes e de boletim de provas em golpes de carteira, que complementam este guia com medidas preventivas de longo prazo.