A segurança de extensões crypto para navegador é a superfície de ataque mais explorada para usuários de autocustódia em 2026. Clones falsificados do MetaMask, aprovações de tokens maliciosas e extensões que interceptam a área de transferência roubaram coletivamente centenas de milhões de dólares de carteiras — a maior parte irrecuperável. Este guia mostra exatamente como verificar extensões legítimas, proteger seu ambiente de navegador, reconhecer sites drainers e se recuperar após uma violação.
Por que Extensões de Carteira Falsas São Tão Perigosas
A Chrome Web Store e o marketplace Firefox Add-ons permitem que qualquer desenvolvedor publique uma extensão. Google e Mozilla aplicam verificação automatizada e revisão manual, mas nenhuma delas é em tempo real ou infalível. Atores maliciosos rotineiramente fazem upload de clones quase idênticos de MetaMask, Phantom e Coinbase Wallet usando logos roubados, descrições copiadas e títulos repletos de palavras-chave como "MetaMask Pro" ou "MetaMask – Carteira Oficial 2026".
Uma vez instalada, uma extensão falsa pode:
- Exfiltrar silenciosamente sua Secret Recovery Phrase (SRP) se você a digitar no fluxo de configuração
- Interceptar dados de transação e trocar o endereço do destinatário antes da confirmação
- Injetar um keylogger em cada página que você visita
- Injetar prompts falsos de "aprovação" que concedem gastos ilimitados de tokens para um endereço do invasor
O ataque é assimétrico: uma instalação imprudente pode esvaziar uma carteira com anos de economia em menos de um minuto.
Como Invasores Colocam Extensões na Sua Frente
Anúncios de mecanismos de busca são o mecanismo de entrega primário. Invasores compram Google Ads para consultas como "download MetaMask" e vinculam a páginas de phishing convincentes que hospedam a extensão falsa ou redirecionam para uma listagem de Chrome Web Store weaponizada. Uma listagem clonada pode sobreviver por horas ou dias antes da remoção — mais do que tempo suficiente para coletar milhares de instalações.
Vetores secundários incluem:
- DMs no Discord e Telegram oferecendo "acesso beta" a novas versões de carteira
- Posts no Reddit vinculando a builds de extensão "mais rápidas" ou "atualizadas"
- Repositórios GitHub que parecem oficiais mas são forks com código malicioso injetado
- Sequestradores de navegador já na máquina que substituem URLs de atualização de extensão
Verificando uma Extensão Legítima Antes de Instalar
A verificação leva menos de três minutos e elimina completamente o vetor de ataque mais comum.
Passo 1: Vá Diretamente ao Site Oficial do Editor
Nunca procure uma extensão de carteira no Google e clique no primeiro resultado. Navegue diretamente para o domínio oficial do projeto — digite você mesmo ou use um favorito que criou manualmente.
- MetaMask: metamask.io → o botão "Download" vincula diretamente à listagem correta de Chrome Web Store
- Phantom: phantom.app
- Coinbase Wallet: coinbase.com/wallet
- Rabby Wallet: rabby.io
Cada site vincula à listagem exata e verificada. Seguir esse link garante que você chegue na página correta.
Passo 2: Confirme o Nome do Editor na Loja
Na listagem de Chrome Web Store, procure diretamente abaixo do nome da extensão pelo nome do desenvolvedor. Aparece em texto cinza menor. Para MetaMask, o editor deve ler exatamente Consensys Software Inc. — não "Consensys", não "MetaMask Team", não qualquer variação. Se o nome do editor diferir por um único caractere, feche a aba.
Para Phantom no Chrome, o editor é Phantom Technologies Inc. Para Brave Wallet (integrado, não uma extensão), não há listagem de loja — ele vem com o navegador.
Passo 3: Verifique o ID da Extensão
Cada extensão do Chrome tem um ID permanente e imutável — uma string de 32 caracteres em minúsculas visível na URL da loja e em chrome://extensions uma vez instalada.
IDs legítimos conhecidos (a partir de 2025-06):
| Extensão | ID Chrome Web Store |
|---|---|
| MetaMask | nkbihfbeogaeaoehlefnkodbefgpgknn |
| Phantom | bfnaelmomeimhlpmgjnjophhpkkoljpa |
| Coinbase Wallet | hnfanknocfeofbddgcijnmhnfnkdnaad |
| Rabby Wallet | acmacodkjbdgmoleebolmdjonilkdbch |
Faça validação cruzada deste ID contra o repositório GitHub oficial do projeto ou documentação. O ID do MetaMask é publicado em sua documentação oficial. Se o ID na sua extensão instalada não corresponder, remova-a imediatamente.
Passo 4: Revise Permissões Antes de Aceitar
Clique em "Adicionar ao Chrome" mas leia o diálogo de permissões antes de clicar em "Adicionar extensão". Extensões de carteira legítimas exigem permissões como:
- Ler e alterar dados em todos os sites — necessário para injetar o provedor Web3 em dApps
- Exibir notificações — para confirmações de transação
Permissões que devem levantar preocupação imediata:
- Acesso ao histórico de área de transferência
- Acesso a abas que você não visitou
- Mensagens nativas para aplicações externas (a menos que você esteja usando um bridge de carteira de hardware como MetaMask Flask)
Se as permissões parecerem mais amplas que o esperado, aborte a instalação e verifique que está na listagem correta.
Protegendo Seu Ambiente de Navegador
Instalar uma extensão legítima é necessário mas não suficiente. O ambiente do seu navegador em si é uma superfície de ataque.
Use um Navegador Dedicado ou Perfil para Crypto
A estratégia de isolamento mais eficaz é executar toda atividade de crypto em um navegador completamente separado sem nenhuma outra extensão instalada. Duas abordagens práticas:
Opção A — Brave Browser (recomendado): Brave bloqueia anúncios e rastreadores por padrão, inclui uma carteira criptográfica integrada e não tem nenhuma outra extensão pré-instalada. Use Brave exclusivamente para atividades de carteira, MetaMask e interações com dApps. Use um navegador diferente (Chrome, Firefox, Safari) para toda navegação diária.
Opção B — Um Perfil Chrome Dedicado: No Chrome, clique no seu avatar → "Adicionar" → crie um perfil nomeado "Apenas Crypto". Instale MetaMask apenas naquele perfil. Nunca instale outras extensões naquele perfil. Nunca faça login no Google naquele perfil se quiser máxima separação.
Ambas opções impedem que uma extensão de propósito geral comprometida (um cortador de cupons, uma ferramenta de gramática, um conversor PDF) leia dados injetados pela sua extensão de carteira.
Desabilite ou Remova Extensões Que Você Não Reconhece
Abra chrome://extensions (ou brave://extensions) e faça auditoria de cada entrada. Para cada extensão, pergunte-se:
- Você se lembra de tê-la instalado?
- Você sabe o que ela faz?
- O nome do desenvolvedor é reconhecível?
Remova qualquer coisa para a qual você não consiga responder "sim" para os três. Muitos usuários descobrem 3-5 extensões que não instalaram conscientemente — frequentemente incluídas em instaladores de software.
Mantenha o Navegador e Extensões Atualizados
Extensões desatualizadas perdem patches de segurança. Ative atualizações automáticas no Chrome (chrome://settings/help). No Brave, atualizações são agrupadas com a atualização do navegador. MetaMask publica um changelog com cada lançamento em seu repositório GitHub — siga-o para saber quando atualizações críticas de segurança são lançadas.
Use uma Carteira de Hardware como Camada de Assinatura
Mesmo em um navegador perfeitamente protegido, uma extensão comprometida poderia exibir uma transação maliciosa. Uma carteira de hardware — Ledger Nano X, Trezor Model T ou Coldcard — requer confirmação física de cada transação na tela do próprio dispositivo. A carteira de hardware mostra o endereço real na cadeia de destino, não o que a interface do navegador alega. Isso torna a manipulação de transação na camada do navegador detectável antes da confirmação.
Conecte MetaMask a um Ledger Nano X navegando para MetaMask → seletor de conta → Adicionar conta → Carteira de Hardware → Ledger. Suas chaves privadas nunca deixam o dispositivo de hardware.
Sites Drainers e Aprovações de Token Maliciosas
Mesmo com uma extensão legítima e não comprometida instalada, você pode perder fundos interagindo com o dApp errado.
O Que um Site Drainer Faz
Um site drainer é um front-end de contrato inteligente projetado para enganá-lo para assinar uma transação que transfere ativos para um invasor. Táticas comuns:
- Aprovação ERC-20 ilimitada: Um botão "mint" ou "claim" dispara uma chamada
approve()concedendo a um endereço do invasor o direito de gastar cada token de um determinado tipo na sua carteira — para sempre, sem confirmação adicional necessária - Phishing de assinatura
permit(): Alguns tokens ERC-20 (USDC, DAI) suportam assinatura off-chain sem gas. Um drainer coleta sua mensagempermit()assinada e a submete on-chain eles mesmos — sua carteira mostra apenas um diálogo "assinatura off-chain", não uma transação, então parece baixo risco - Spoofing de order Seaport / Blur: Drainers de marketplace de NFT criam listagens falsas que transferem seu NFT por 0 ETH
Como Identificar uma Aprovação Maliciosa Antes de Assinar
Antes de clicar em "Confirmar" no MetaMask, leia o painel de detalhes da transação:
- Expanda os detalhes da transação. MetaMask exibe o nome da função decodificado. Se você está "mintando" um NFT mas a função mostrada é
approveousetApprovalForAll, pare — você não está mintando. - Verifique o endereço do spender. Copie o endereço do contrato mostrado na aprovação e cole em Etherscan. Um protocolo legítimo terá um contrato verificado com um nome conhecido. Um contrato não verificado sem nome e implementação recente é uma bandeira vermelha.
- Verifique o montante de aprovação. Uma aprovação para
115792089...(o máximo uint256) significa gastos ilimitados. Um protocolo legítimo deve pedir um montante específico ou usarpermit()com uma expiração. - Nunca assine requisições
permit()em sites aos quais você chegou via link de anúncio ou DM.
Revogando Aprovações de Token com Revoke.cash
Se você já concedeu aprovações — maliciosas ou não — pode revogá-las. Revoke.cash é a ferramenta padrão para isso. É de código aberto, não-custodial e não exige que você entre com nenhuma chave privada ou frase semente.
Passos para auditar e revogar aprovações:
- Navegue para revoke.cash diretamente (digite a URL — não a procure).
- Conecte sua carteira usando MetaMask ou cole seu endereço público no campo de busca para uma visualização somente leitura.
- Selecione a rede (Ethereum, Arbitrum, Base, Polygon, etc.).
- Revise a lista de aprovações ativas. Cada linha mostra o token, o endereço aprovado do spender e o montante aprovado.
- Clique em "Revogar" em qualquer aprovação que você não concedeu intencionalmente ou não precisa mais.
- Confirme a transação de revogação no MetaMask. Cada revogação custa uma pequena taxa de gas.
Faça esta auditoria no mínimo a cada 90 dias e imediatamente após interagir com qualquer dApp novo ou desconhecido.
Quando Resetar ou Reinstalar Sua Extensão de Carteira
Às vezes a resposta correta é começar do zero. Reinstalar a extensão não recupera fundos de uma carteira comprometida — mas pode parar uma exfiltração contínua se a própria extensão for o componente comprometido.
Sinais de Que Você Deveria Reinstalar a Extensão
- Você instalou MetaMask de uma fonte diferente de metamask.io e desde então verificou que o ID da extensão não corresponde ao ID legítimo
- A extensão está pedindo sua Secret Recovery Phrase sem solicitação (MetaMask legítimo nunca pede sua SRP exceto durante configuração inicial ou fluxo de restauração explícito)
- Você notar transações inesperadas deixando sua carteira que você não iniciou
- Seu antivírus ou navegador marca a extensão
O Processo Seguro de Reinstalação
- Não digite sua SRP na extensão comprometida novamente. Assuma que a SRP já é conhecida pelo invasor se a extensão for falsa.
- Em um dispositivo limpo (ou após reinstalação completa do SO se a máquina em si pode estar comprometida), baixe MetaMask de metamask.io.
- Verifique que o ID da extensão corresponde a
nkbihfbeogaeaoehlefnkodbefgpgknnantes de prosseguir. - Mova fundos para uma nova carteira antes de restaurar a antiga. Se a SRP está comprometida, restaurá-la em uma nova instalação não o protege. Gere uma nova carteira, obtenha seu endereço e então restaure a carteira antiga em um dispositivo secundário para enviar fundos para o novo endereço — faça isso o mais rápido possível.
- Revogue todas aprovações de token associadas à carteira antiga usando Revoke.cash antes de abandoná-la.
- Configure uma carteira de hardware como camada de assinatura para a nova carteira daqui em diante.
O Que Reinstalar Não Corrige
- Uma Secret Recovery Phrase comprometida — se o invasor tem sua SRP, ele possui os endereços associados permanentemente
- Aprovações já concedidas on-chain — estas persistem na blockchain independentemente do software que você executa localmente
- Fundos já transferidos — transações blockchain são irreversíveis
FAQ
P: Como verifico que o ID da extensão MetaMask está correto?
Abra chrome://extensions, ative o Modo de Desenvolvedor (toggle no canto superior direito) e encontre MetaMask na lista. O ID exibido abaixo do nome da extensão deve ser nkbihfbeogaeaoehlefnkodbefgpgknn. Faça validação cruzada contra a página oficial de suporte MetaMask para confirmar. Qualquer outro ID significa que você tem uma falsa instalada — remova-a imediatamente sem digitar nenhuma frase semente.
P: O navegador Brave é realmente mais seguro que Chrome para crypto?
Brave bloqueia anúncios, rastreadores de terceiros e fingerprinting por padrão sem nenhuma extensão adicional, o que reduz a superfície de ataque significativamente. Brave é construído no mesmo engine Chromium que Chrome, então MetaMask e outras extensões se comportam identicamente. O ganho de segurança vem do bloqueio padrão de Brave das redes de anúncios mais comumente usadas para distribuir links de drainer sites — não de qualquer diferença arquitetural fundamental. Usar um perfil Chrome dedicado sem outras extensões alcança isolamento similar se você preferir Chrome.
P: Qual é a diferença entre uma aprovação de token e uma transação?
Uma transação move fundos da sua carteira para outro endereço e requer que você pague gas. Uma aprovação de token concede a outro contrato inteligente ou endereço permissão para mover tokens em seu nome em transações futuras — não move fundos imediatamente. É por isso que as aprovações são perigosas: uma aprovação maliciosa parece uma ação pequena ou sem custo, mas dá a um invasor acesso ilimitado futuro a esse tipo de token em sua carteira até revogação explícita.
P: Uma carteira de hardware pode me proteger de aprovações maliciosas?
Parcialmente. Uma carteira de hardware como o Ledger Nano X exibirá os dados da transação em sua tela e exigirá confirmação de botão físico, tornando mais difícil para uma extensão comprometida submeter transações silenciosamente. Porém, se você ler a tela da carteira de hardware incorretamente ou for socialmente engenhado para confirmar uma aprovação maliciosa, a carteira de hardware ainda a assina. A carteira de hardware elimina roubo remoto mas não transações confirmadas por usuário ruins. Sempre leia o nome da função e endereço do spender na tela da carteira de hardware antes de confirmar.
P: Com que frequência devo revogar aprovações de token?
Audite suas aprovações no mínimo a cada 90 dias usando Revoke.cash e imediatamente após cada um desses eventos: interagir com um dApp novo ou desconhecido, clicar em um link do Discord, Telegram ou Twitter que levou a um dApp, ou qualquer hora em que você suspeite que seu navegador pode ter sido comprometido. Revogação custa uma taxa de gas por aprovação mas vale a pena para qualquer aprovação ilimitada ou de longa duração concedida a um contrato que você não usa mais ativamente.
