Segurança para Criptocustódia Institucional
Custodiantes guardam as chaves privadas que controlam volumes irrecuperáveis. A Decripte audita o esquema MPC/multisig, blinda a infraestrutura de assinatura e responde a incidentes on-chain com contenção em menos de uma hora.
Resposta direta
Proteger uma operação de criptocustódia institucional exige tratar a infraestrutura de chaves privadas como o ativo mais crítico da empresa: nenhuma chave deve existir inteira em um único lugar (use MPC ou multisig com quórum), o caminho de assinatura precisa de segregação de funções e aprovação dupla, os HSMs e enclaves devem ser auditados contra extração e abuso, e cada transação tem de passar por política on-chain (allowlists, limites, time-locks) antes de ser assinada. Acima de tudo, é preciso monitoramento 24x7 que correlacione sinais off-chain (acessos, comandos de assinatura, comportamento de operadores) com sinais on-chain (transações inesperadas, interações com contratos desconhecidos, drift de saldo) para detectar uma assinatura anômala antes que ela seja transmitida e se torne irreversível. A Decripte estrutura essa defesa de ponta a ponta e responde a incidentes em tempo real. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free.
24/7
SOC on-chain e off-chain
<=1h
SLA de contenção de incidente
ISO 27001
Base de governança de chaves
Red Team
Infra de assinatura testada ofensivamente
Em resumo
- ›Em criptocustódia, o comprometimento de uma chave privada é perda irreversível: não há chargeback, não há reversão, não há seguro que devolva o ativo on-chain. A defesa precisa ser preventiva e ter detecção em tempo de assinatura.
- ›Esquemas MPC e multisig só protegem se o quórum estiver corretamente distribuído entre fronteiras de confiança independentes. Mal configurados, concentram risco no mesmo operador, na mesma nuvem ou no mesmo HSM.
- ›O insider com acesso ao caminho de assinatura é a ameaça mais subestimada. Segregação de funções, aprovação dupla e gravação imutável de cada comando de assinatura são controles inegociáveis.
- ›A detecção tem de unir mundo off-chain (quem pediu a assinatura, de onde, com qual comando) e on-chain (para onde vai, com qual contrato interage, quanto). Monitorar só um dos lados deixa metade do ataque invisível.
- ›A Decripte audita o esquema de custódia, faz Red Team da infraestrutura de chaves, opera SOC 24x7 correlacionando os dois mundos e responde a incidentes Web3 com contenção em menos de uma hora.
Cibersegurança para Criptocustódia Institucional
Custodiantes guardam as chaves privadas que controlam volumes irrecuperáveis. A Decripte audita o esquema MPC/multisig, blinda a infraestrutura de assinatura e responde a incidentes on-chain com contenção em menos de uma hora.
Por que criptocustódia institucional é um alvo de altíssimo valor
Um custodiante institucional de criptoativos concentra, em um punhado de chaves privadas, o controle de volumes que podem representar o patrimônio de fundos, exchanges, tesourarias corporativas e investidores. Diferentemente de uma instituição financeira tradicional, onde uma transferência fraudulenta pode ser estornada, contestada ou bloqueada na rede bancária, uma transação on-chain assinada e transmitida é definitiva. Não existe câmara de compensação que reverta, não existe banco intermediário que segure o valor, não existe prazo de contestação. A assinatura é o ponto de não-retorno, e quem controla a chave controla o ativo. Essa é a propriedade que torna a custódia ao mesmo tempo o produto mais valioso e o maior alvo do ecossistema.
Por isso, atacar um custodiante não é como atacar um sistema qualquer: o atacante não busca dados para vazar ou ransomware para extorquir. Ele busca a capacidade de produzir uma assinatura válida sobre uma transação que ele controla. Todo o resto — phishing de operador, persistência na rede, escalonamento de privilégio, comprometimento de HSM, abuso de chave de API do orquestrador de assinatura — é meio para esse fim. A segurança de criptocustódia, portanto, se organiza em torno de uma pergunta central: quem, sob quais condições, consegue fazer o sistema assinar, e o que precisa falhar simultaneamente para que uma assinatura ilegítima seja produzida e transmitida.
O risco que define o setor
Em custódia de cripto, o comprometimento da chave privada não é um incidente recuperável. Não há reversão de transação, não há reemissão do ativo, não há intermediário para bloquear o valor. A defesa precisa impedir a assinatura ilegítima ou detectá-la na janela entre o comando e a transmissão. Depois disso, o dano é permanente.
Esse caráter irreversível eleva o padrão de tudo: a engenharia de chaves precisa garantir que nenhuma chave exista inteira em um único componente; a operação precisa garantir que nenhum indivíduo isolado possa autorizar uma movimentação; e o monitoramento precisa garantir que uma tentativa de assinatura anômala dispare alerta e contenção em segundos, não em horas. A Decripte trata cada um desses três eixos — engenharia, operação e detecção — como camadas independentes que se reforçam, de modo que a falha de uma não signifique a perda dos ativos.
As quatro ameaças que mais comprometem custodiantes
Comprometimento de chave privada e cold wallet
A cold wallet — a chave mantida offline, ar-gapped, fora do alcance da internet — é a última linha de defesa do volume principal sob custódia. Justamente por isso, ela é o alvo mais cobiçado e o que mais sofre com falhas de processo. O comprometimento raramente vem de uma quebra criptográfica direta: vem de falhas no cerimonial de geração da chave (entropia fraca, ambiente não confiável, backup inseguro do material), de extração de fragmentos durante o processo de assinatura offline, de comprometimento da máquina assinante que se imaginava isolada mas mantinha algum canal lateral, ou de engenharia social contra os custodiantes humanos do quórum. Uma cold wallet que parece intocável on-chain pode estar comprometida no exato momento em que a chave foi gerada ou copiada.
Falha em esquema MPC ou multisig
MPC (Multi-Party Computation) e multisig são as tecnologias que eliminam o ponto único de falha: em vez de uma chave inteira, existem fragmentos ou assinaturas parciais que precisam se combinar para produzir uma assinatura válida. O problema é que a proteção depende inteiramente da independência das partes. Se os fragmentos MPC rodam todos na mesma conta de nuvem, sob o mesmo papel IAM, na mesma região, gerenciados pela mesma equipe — o quórum existe no diagrama, mas não na realidade do risco. Um único comprometimento de credencial de nuvem, uma única falha de configuração, e todos os fragmentos caem juntos. O mesmo vale para multisig com chaves que vivem todas no mesmo HSM ou são controladas pelo mesmo grupo de pessoas.
MPC e multisig protegem o que está distribuído, não o que está rotulado
Um esquema de M-de-N só vale o número de fronteiras de confiança realmente independentes que ele atravessa. Fragmentos na mesma nuvem, sob o mesmo IAM, na mesma equipe, com o mesmo processo de deploy, formam um quórum de fachada. A auditoria de custódia da Decripte mede a independência real de cada parte do quórum — não a contagem nominal.
Insider com acesso à assinatura
O caminho de assinatura passa por pessoas: operadores que iniciam transações, aprovadores que confirmam, engenheiros que mantêm a infraestrutura, administradores que controlam HSMs e orquestradores. Qualquer um com acesso suficiente ao caminho de assinatura — ou capaz de combinar seu acesso com o de um cúmplice — representa risco de movimentação ilegítima. O insider não precisa quebrar criptografia: ele usa o sistema como ele foi feito para ser usado, apenas para o destino errado. Sem segregação rígida de funções, aprovação dupla genuína e registro imutável de cada comando, o custodiante depende da boa-fé individual de quem opera, o que é inaceitável para o nível de valor envolvido. O mesmo cuidado vale para o ataque à infraestrutura de assinatura e HSM: comprometer o orquestrador, as filas de transação ou abusar de uma sessão autenticada de HSM permite injetar transações e assinar fora da política, mesmo sem extrair a chave.
O HSM não é uma bala de prata
Um HSM impede que a chave seja extraída em claro. Ele não impede que uma sessão de assinatura autenticada e sequestrada assine uma transação maliciosa, nem que uma política de aprovação fraca permita a movimentação. A segurança da custódia está tanto na proteção da chave quanto no controle de quem e sob quais condições consegue acionar a assinatura.
Os dados de criptocustódia institucional já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Detecção: unir o mundo on-chain e o off-chain
A maioria das operações de custódia monitora bem um dos dois mundos e fica cega no outro. Quem vem de segurança de TI tradicional monitora o off-chain — logs de acesso, autenticação, comandos no orquestrador, comportamento de operadores — mas não enxerga o que acontece na blockchain. Quem vem do mundo cripto monitora o on-chain — saldos, transações, interações com contratos — mas não correlaciona com o que aconteceu na infraestrutura interna que originou cada movimentação. O ataque sofisticado vive justamente na costura entre os dois: um comando off-chain aparentemente legítimo que resulta em uma transação on-chain anômala.
A detecção que importa é a correlação
Uma assinatura anômala em cold wallet só vira alerta acionável quando o sistema cruza: quem iniciou o comando, de qual sessão e horário (off-chain), com para onde vai o valor, com qual contrato interage e se o destino já apareceu em allowlist (on-chain). O SOC 24x7 da Decripte foi montado para enxergar esse cruzamento em tempo real, não para somar dois painéis separados.
O SOC 24x7 da Decripte ingere telemetria dos dois lados e a correlaciona em regras específicas de custódia. Do lado off-chain: tentativas de autenticação no orquestrador, comandos de assinatura, mudanças em política de aprovação, acessos a HSM, alterações de configuração de MPC, comportamento atípico de operadores. Do lado on-chain: transações originadas das carteiras sob custódia, destinos novos ou não-allowlisted, interações com contratos desconhecidos, aprovações de token (approve) que abrem drenagem, e qualquer drift de saldo inconsistente com a operação esperada. Quando uma tentativa de assinatura para um destino não reconhecido aparece, o sistema não espera a transação ser minerada — ele já deveria ter alertado e, idealmente, bloqueado no nível de política antes da transmissão.
Sinais que o monitoramento de custódia precisa capturar
- ✓Comando de assinatura para endereço de destino fora da allowlist ou nunca visto antes
- ✓Transação que excede limite por valor, por janela de tempo ou por contraparte
- ✓Interação das carteiras custodiadas com contratos inteligentes desconhecidos ou recém-criados
- ✓Aprovações (approve) de token com allowance ilimitada ou para spenders não autorizados
- ✓Acesso ao orquestrador de assinatura fora de horário, geografia ou dispositivo esperados
- ✓Mudança em política de aprovação, quórum MPC ou configuração de HSM sem mudança aprovada
- ✓Operador iniciando volume ou frequência de transações fora do padrão histórico
- ✓Drift de saldo on-chain inconsistente com as movimentações registradas internamente
Como a Decripte audita o esquema de custódia
Antes de defender, é preciso entender exatamente como o ativo pode ser movido. A auditoria de custódia da Decripte mapeia, ponta a ponta, o caminho que vai do comando de uma transação até a assinatura transmitida na rede. Esse mapeamento responde perguntas concretas: quantas fronteiras de confiança independentes uma assinatura precisa atravessar? Onde vivem os fragmentos MPC ou as chaves do multisig, e eles são realmente independentes? Qual é a política de aprovação, e ela pode ser contornada por quem tem acesso administrativo ao orquestrador? O que acontece se a credencial de nuvem de um único papel for comprometida? Quantas pessoas, isoladamente ou em conluio, conseguem produzir uma movimentação não autorizada?
O que a auditoria de custódia entrega
Um modelo de ameaças específico do seu desenho de chaves: o diagrama real do caminho de assinatura, a contagem honesta de fronteiras de confiança independentes, os cenários de comprometimento mínimo (quantos componentes precisam cair juntos para perder ativos) e um plano priorizado de correção. Tudo ancorado em boas práticas de governança alinhadas a ISO 27001 e ao OWASP para a camada de aplicação e smart contracts.
A análise cobre o cerimonial de geração de chaves (entropia, ambiente, testemunhas, custódia de backups), o esquema criptográfico (parametrização do MPC, threshold do multisig, rotação), a camada de política (allowlists, limites, time-locks, segregação de funções), a infraestrutura (isolamento dos HSMs, hardening dos enclaves, segurança das APIs internas), e a operação humana (quem aprova o quê, como o conluio é prevenido, como cada ação é registrada de forma imutável). Onde a operação envolve smart contracts — vaults, contratos de multisig on-chain, integrações DeFi — a Decripte conduz revisão de segurança alinhada às práticas do OWASP e ao estado da arte de auditoria de contratos.
O teste do comprometimento mínimo
A pergunta-guia da auditoria não é se cada controle existe, mas: qual é o menor conjunto de componentes que, comprometidos simultaneamente, permite mover os ativos? Se a resposta for um único operador, um único papel de nuvem ou um único HSM, o esquema tem ponto único de falha — independentemente de quantos fatores e camadas de aparência existam ao redor.
Red Team da infraestrutura de chaves
Auditar o desenho é necessário, mas não suficiente. O Red Team da Decripte testa a infraestrutura de assinatura como um adversário real e motivado faria, com um objetivo único e mensurável: chegar a produzir uma assinatura não autorizada — ou demonstrar, de forma controlada, o quão perto disso é possível chegar — sem jamais movimentar ativos reais. O exercício parte de diferentes pontos de origem (comprometimento de uma estação de operador, de uma credencial de nuvem, de um acesso de engenheiro, de uma chave de API interna) e tenta atravessar o caminho até a assinatura, expondo cada controle que falha e cada suposição de segurança que não se sustenta sob pressão.
Por que testar ofensivamente o caminho de assinatura
Controles de custódia são frequentemente projetados contra o ataque imaginado, não contra o ataque real. O Red Team revela o caminho que ninguém modelou: a chave de API esquecida que ignora a aprovação dupla, o papel IAM amplo demais que toca todos os fragmentos MPC, a sessão de HSM que pode ser reutilizada, o operador que aprova as próprias transações por uma rota administrativa. É barato descobrir isso em um exercício e caríssimo descobrir em produção.
Os vetores típicos incluem: tentar acessar e combinar fragmentos MPC explorando a falta de independência real entre eles; abusar de uma sessão autenticada com o HSM para assinar fora da política; manipular a fila de transações ou a política de aprovação a partir de acesso administrativo ao orquestrador; encontrar caminhos que contornem a aprovação dupla (APIs internas, automações, contas de serviço); e simular o insider que combina seu acesso legítimo com uma falha de configuração para mover valor. Cada caminho bem-sucedido vira uma recomendação concreta de correção, e o exercício é repetido após as correções para confirmar que o caminho foi fechado de verdade.
Vetores que o Red Team de chaves exercita
- ✓Comprometimento de estação de operador e progressão até o orquestrador de assinatura
- ✓Abuso de credenciais e papéis de nuvem que tocam múltiplos fragmentos MPC
- ✓Sequestro ou reutilização de sessão autenticada de HSM para assinatura indevida
- ✓Contorno da aprovação dupla via APIs internas, automações e contas de serviço
- ✓Manipulação de política de aprovação, limites e allowlists por acesso administrativo
- ✓Simulação de insider isolado e de conluio entre funções do caminho de assinatura
- ✓Injeção de transação maliciosa na fila antes da etapa de assinatura
Quanto custaria um incidente em criptocustódia institucional? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Estruturação contínua da segurança de custódia
Segurança de custódia não é um projeto com data de término; é um regime permanente. O desenho de chaves muda, novos ativos e cadeias entram em operação, integrações DeFi são adicionadas, a equipe rotaciona, e o ecossistema de ameaças evolui semana a semana. A Decripte estrutura a operação para que cada mudança passe por avaliação de segurança, cada nova chave nasça sob cerimonial controlado, cada operador entre e saia com seus acessos rigorosamente gerenciados, e o monitoramento acompanhe a superfície real, não a superfície de seis meses atrás.
Da resposta reativa à postura preventiva
O objetivo da estruturação é inverter a assimetria: fazer com que o atacante precise vencer múltiplas camadas independentes e detectáveis, enquanto o defensor precisa que apenas uma delas dispare. Quando a contenção de uma assinatura anômala leva minutos e o quórum exige fronteiras de confiança genuinamente separadas, o custo do ataque dispara e a janela de oportunidade encolhe.
Essa estruturação se apoia em governança alinhada a ISO 27001 para gestão de acessos, gestão de mudanças e gestão de incidentes; em conformidade com a LGPD para os dados pessoais de clientes institucionais e seus beneficiários, sob a régua da ANPD; e, quando há interface com o sistema financeiro brasileiro, na atenção às exigências regulatórias do Banco Central aplicáveis. A segurança técnica das chaves e a conformidade caminham juntas, porque um custodiante institucional precisa provar a clientes, auditores e reguladores que o controle existe e funciona.
Conformidade que sustenta a operação
Custodiantes institucionais respondem a clientes exigentes, auditores e, conforme a estrutura, a reguladores. A Decripte alinha a estruturação de segurança a ISO 27001, à LGPD/ANPD para dados pessoais e às exigências do Banco Central aplicáveis ao arranjo, de modo que o controle de segurança das chaves seja demonstrável — não apenas afirmado.
Anatomia de um incidente de assinatura anômala em cold wallet (cenário ilustrativo)
Cenário ilustrativo
Cenário ilustrativo, não baseado em cliente real. Um custodiante institucional opera um esquema MPC de 3-de-5 para suas carteiras quentes e uma cold wallet multisig para o volume principal. Em um turno de madrugada, o módulo de política do orquestrador de assinatura registra uma tentativa de iniciar uma transação a partir da cold wallet para um endereço de destino que não está na allowlist e nunca foi visto antes, com valor próximo do limite máximo configurado. A tentativa parte de uma sessão de operador autenticada, mas o comportamento — horário, destino e valor combinados — destoa completamente do padrão histórico. O SOC 24x7 da Decripte, que correlaciona o comando off-chain com a inteligência on-chain do destino, dispara alerta crítico em segundos.
Detecção
A regra de correlação do SOC cruza o comando de assinatura (off-chain: operador, sessão, horário) com a análise do destino (on-chain: endereço novo, sem histórico com a operação, ligado a um padrão de mistura suspeito). O alerta é classificado como crítico imediatamente porque combina destino não-allowlisted, valor alto e horário atípico. A janela entre comando e transmissão é a única chance de evitar perda irreversível, e o SOC age dentro dela.
Contenção
Dentro do SLA de menos de uma hora — e, neste caso, em minutos — a Decripte aciona a contenção: a transação é bloqueada na camada de política antes de qualquer assinatura parcial ser combinada, a sessão do operador é revogada, a capacidade de assinatura da cold wallet é congelada via quebra deliberada do quórum, e a allowlist é colocada em modo restritivo. Nenhum ativo se move. O objetivo da contenção é tornar fisicamente impossível produzir uma assinatura válida enquanto a investigação corre.
Investigação e forense
A equipe de resposta conduz forense paralela nos dois mundos. Off-chain: como a sessão do operador foi obtida ou abusada, se houve comprometimento de credencial, malware na estação, ou abuso de acesso interno; revisão dos logs imutáveis de comando de assinatura. On-chain: rastreamento do endereço de destino, suas conexões, e identificação de que se tratava de uma carteira de coleta preparada pelo atacante. A análise revela que o vetor real foi o abuso de uma chave de API interna que, por configuração incorreta, conseguia injetar comandos na fila contornando uma das etapas de aprovação dupla.
Erradicação
A chave de API abusada é revogada e o caminho que permitia contornar a aprovação dupla é fechado. A Decripte revisa todas as rotas de iniciação de transação em busca de outras que tenham a mesma fraqueza, remove acessos órfãos e contas de serviço excessivamente privilegiadas, e reforça a segregação entre quem inicia, quem aprova e quem administra o orquestrador. Os fragmentos MPC envolvidos são auditados quanto à independência real entre suas fronteiras de confiança.
Recuperação
Com o caminho de ataque erradicado e a infraestrutura validada, a capacidade de assinatura é restaurada de forma controlada: o quórum da cold wallet é reconstituído sob cerimonial supervisionado, a allowlist é reativada com revisão de cada destino, e os limites e time-locks são recalibrados. A operação volta ao normal com monitoramento reforçado e regras de correlação ajustadas para capturar variações do mesmo vetor.
Redesenho do quórum e lições
A Decripte conduz a auditoria completa do esquema MPC e do desenho de assinatura, redistribuindo o quórum entre fronteiras de confiança genuinamente independentes, eliminando as rotas que contornavam a aprovação dupla, instituindo time-locks para destinos novos e endurecendo o registro imutável de cada comando. As lições viram controles permanentes e exercícios de Red Team recorrentes para validar que o caminho fechado permanece fechado.
Desfecho com a Decripte
Nenhum ativo foi perdido. A detecção pela correlação on-chain e off-chain capturou a tentativa na única janela em que ainda era reversível, a contenção em minutos congelou a capacidade de assinatura, e a forense revelou um caminho de contorno da aprovação dupla que, sem o exercício de resposta, teria sido explorado em silêncio. O esquema de custódia saiu do incidente com quórum redesenhado, rotas de contorno eliminadas e monitoramento contínuo — convertendo um quase-desastre irreversível em um endurecimento estrutural da operação.
Não espere o incidente acontecer. Comece a blindar criptocustódia institucional hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente de custódia
Em criptocustódia, a resposta a incidentes corre contra a janela entre o comando de assinatura e a transmissão na rede. Depois que a transação é minerada, não há reversão. Por isso o processo da Decripte prioriza congelar a capacidade de assinatura primeiro e investigar com o ativo já protegido.
- Detectar e classificar em tempo real, correlacionando o comando de assinatura off-chain (operador, sessão, horário, comando) com a inteligência on-chain do destino (endereço novo, sem histórico, ligado a padrões suspeitos), elevando a criticidade quando os sinais combinam.
- Conter congelando a capacidade de assinatura antes de qualquer perda: bloquear a transação na camada de política, revogar sessões suspeitas, quebrar deliberadamente o quórum da carteira afetada e colocar allowlists em modo restritivo — tudo dentro do SLA de menos de uma hora.
- Preservar evidências dos dois mundos: capturar logs imutáveis de comando de assinatura, estado da infraestrutura de assinatura e HSM, e o rastreamento on-chain do destino e suas conexões, mantendo a cadeia de custódia da evidência.
- Investigar o vetor real conduzindo forense paralela on-chain e off-chain para responder como a tentativa foi originada — comprometimento de credencial, malware, insider, abuso de API ou falha de configuração — e qual etapa de controle falhou.
- Erradicar fechando o caminho de ataque: revogar credenciais abusadas, eliminar rotas que contornem a aprovação dupla, remover acessos órfãos e contas de serviço excessivamente privilegiadas e auditar a independência dos fragmentos do quórum.
- Recuperar restaurando a capacidade de assinatura de forma controlada e supervisionada: reconstituir o quórum sob cerimonial, revisar e reativar allowlists, recalibrar limites e time-locks e validar a infraestrutura antes do retorno à operação.
- Redesenhar o esquema de custódia com base nas lições: redistribuir o quórum entre fronteiras de confiança independentes, instituir time-locks para destinos novos, endurecer o registro imutável e ajustar as regras de correlação do SOC.
- Validar com Red Team recorrente que o caminho explorado foi de fato fechado e que novas variações do mesmo vetor não conseguem mais atravessar o caminho de assinatura.
Como a Decripte estrutura a segurança da sua custódia
A estruturação organiza a defesa em camadas independentes — engenharia de chaves, política de movimentação, infraestrutura e detecção — de modo que o atacante precise vencer várias delas ao mesmo tempo, enquanto basta uma disparar para defender. Cada pilar é montado para o desenho específico da sua operação.
Engenharia de chaves sem ponto único de falha
Garantir que nenhuma chave exista inteira em um único componente e que o quórum MPC ou multisig atravesse fronteiras de confiança genuinamente independentes — nuvens, equipes, HSMs e processos de deploy separados. Inclui cerimonial controlado de geração de chaves, custódia segura de backups e rotação planejada.
Política de movimentação e segregação de funções
Instituir allowlists de destino, limites por valor e janela, time-locks para destinos novos, aprovação dupla genuína e segregação rígida entre quem inicia, quem aprova e quem administra o orquestrador — eliminando rotas administrativas e de automação que contornem os controles e impedindo que um indivíduo isolado ou um conluio mínimo movimente ativos.
Infraestrutura de assinatura endurecida
Isolar e endurecer HSMs e enclaves, proteger as APIs internas e o orquestrador de assinatura, controlar e auditar cada sessão de assinatura e impedir reutilização ou sequestro de sessões autenticadas. A chave fica protegida contra extração e, igualmente importante, contra abuso de uma sessão legítima.
Detecção 24x7 on-chain e off-chain
Operar o SOC que correlaciona telemetria interna (acessos, comandos de assinatura, mudanças de política e HSM) com inteligência on-chain (destinos, contratos, aprovações de token, drift de saldo), capturando a assinatura anômala na janela em que ela ainda é reversível e acionando a contenção automaticamente.
Governança e conformidade demonstrável
Alinhar a operação a ISO 27001 para gestão de acessos, mudanças e incidentes, à LGPD/ANPD para dados pessoais de clientes institucionais e às exigências do Banco Central aplicáveis ao arranjo, de modo que o controle de segurança das chaves seja auditável e demonstrável a clientes e reguladores.
Validação ofensiva contínua
Repetir exercícios de Red Team sobre a infraestrutura de chaves e de revisão de smart contracts a cada mudança relevante, confirmando que os caminhos de ataque conhecidos permanecem fechados e descobrindo novos antes que um adversário real o faça.
Planos recomendados para Criptocustódia Institucional
Segurança Web3
Auditoria do esquema de custódia (MPC/multisig), revisão de smart contracts e vaults, e avaliação da independência real do quórum — o núcleo da defesa de quem guarda chaves privadas institucionais.
Ver plano →SOC 24x7
Monitoramento contínuo que correlaciona sinais off-chain (comandos de assinatura, acessos, HSM) com sinais on-chain (destinos, contratos, aprovações, drift de saldo) para detectar a assinatura anômala na janela em que ela ainda é reversível.
Ver plano →Resposta a Incidentes
Contenção em menos de uma hora congelando a capacidade de assinatura antes da perda, com forense paralela on-chain e off-chain e redesenho do quórum — essencial onde toda movimentação ilegítima é irreversível.
Ver plano →Pentest
Red Team da infraestrutura de chaves testa ofensivamente o caminho de assinatura, expondo rotas que contornam a aprovação dupla, abusos de sessão de HSM e fragilidades de independência do MPC antes que um adversário real as explore.
Ver plano →Perguntas frequentes
MPC e multisig já não eliminam o ponto único de falha da minha custódia?
Eles eliminam o ponto único de falha apenas se as partes do quórum forem genuinamente independentes. Se os fragmentos MPC rodam na mesma nuvem, sob o mesmo papel IAM, na mesma equipe e com o mesmo processo de deploy, um único comprometimento derruba todos juntos. A auditoria da Decripte mede a independência real de cada parte do quórum, não a contagem nominal de M-de-N. Você pode começar avaliando sua superfície no diagnóstico gratuito em decripte.io/free.
Um HSM não basta para proteger minhas chaves?
O HSM impede que a chave seja extraída em claro, o que é fundamental, mas não impede o abuso de uma sessão de assinatura autenticada e sequestrada, nem compensa uma política de aprovação fraca. Muitos ataques sofisticados não tentam extrair a chave: eles tentam fazer o sistema assinar para o destino errado usando uma sessão legítima. A defesa precisa cobrir tanto a proteção da chave quanto o controle de quem e sob quais condições aciona a assinatura.
Como vocês detectam uma assinatura maliciosa antes que ela seja irreversível?
Correlacionando os dois mundos em tempo real. O SOC 24x7 cruza o comando de assinatura off-chain (qual operador, qual sessão, qual horário) com a inteligência on-chain do destino (endereço novo, fora da allowlist, ligado a padrões suspeitos). Quando os sinais combinam, o alerta é crítico e a contenção bloqueia a transação na camada de política antes que qualquer assinatura parcial seja combinada e transmitida.
E o risco de um funcionário interno com acesso à assinatura?
É a ameaça mais subestimada do setor. A defesa é estrutural: segregação rígida entre quem inicia, quem aprova e quem administra; aprovação dupla genuína sem rotas de contorno; e registro imutável de cada comando de assinatura. A estruturação da Decripte é desenhada para que nenhum indivíduo isolado — e nenhum conluio mínimo — consiga produzir uma movimentação não autorizada.
Vocês movimentam ou tocam meus ativos durante uma auditoria ou Red Team?
Não. A Decripte nunca movimenta ativos reais. O Red Team tem como objetivo demonstrar, de forma controlada e sem transmitir nenhuma transação, o quão perto um adversário chegaria de produzir uma assinatura não autorizada. Cada caminho exposto vira recomendação de correção, e o exercício é repetido após as correções para confirmar que o caminho foi fechado.
A custódia institucional precisa se preocupar com LGPD e regulação do Banco Central?
Sim. Dados pessoais de clientes institucionais e beneficiários estão sob a LGPD e a régua da ANPD, e arranjos que fazem interface com o sistema financeiro brasileiro precisam observar as exigências do Banco Central aplicáveis. A Decripte alinha a estruturação de segurança a ISO 27001, à LGPD e às normas regulatórias pertinentes, para que o controle das chaves seja demonstrável a clientes, auditores e reguladores.
Já tenho uma equipe de segurança. Onde a Decripte agrega?
Na correlação on-chain e off-chain que poucas equipes internas conseguem operar 24x7, na visão ofensiva independente do caminho de assinatura (Red Team), na auditoria da independência real do quórum e na capacidade de resposta com contenção em menos de uma hora. A Decripte atua como camada especializada e externa que valida e reforça o que sua equipe constrói.
Por onde começo sem compromisso?
Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia sua exposição inicial sem custo. Quando quiser avançar para auditoria de custódia, Red Team, SOC 24x7 ou resposta a incidentes, os planos pagos estão disponíveis de forma self-service em /planos.
Termos do setor
- MPC (Multi-Party Computation)
- Técnica criptográfica em que uma assinatura é produzida pela combinação de fragmentos de chave mantidos por partes diferentes, sem que a chave privada inteira jamais exista em um único lugar. Sua segurança depende da independência real entre as partes do quórum.
- Multisig (assinatura múltipla)
- Esquema em que uma transação só é válida quando assinada por um número mínimo de chaves distintas (M de N). Distribui o controle entre vários signatários, eliminando o ponto único de falha desde que as chaves vivam em fronteiras de confiança separadas.
- Cold wallet
- Carteira cuja chave privada é mantida offline e isolada da internet, usada para guardar o volume principal sob custódia. É a última linha de defesa e o alvo mais cobiçado, frequentemente comprometida por falhas no cerimonial de geração ou no processo de assinatura, não por quebra criptográfica.
- HSM (Hardware Security Module)
- Dispositivo de hardware que armazena chaves e executa operações criptográficas sem expor o material da chave. Protege contra extração da chave, mas não contra o abuso de uma sessão de assinatura legítima sequestrada nem contra políticas de aprovação fracas.
- Allowlist de destino
- Lista de endereços previamente aprovados para os quais uma carteira sob custódia pode transacionar. Movimentações para destinos fora da allowlist são bloqueadas ou exigem aprovação reforçada e time-lock, reduzindo a janela de uma drenagem por assinatura ilegítima.
- Quórum de assinatura
- Conjunto mínimo de partes (fragmentos MPC ou chaves multisig) que precisam concordar para produzir uma assinatura válida. Sua robustez depende menos do número nominal e mais de quantas fronteiras de confiança genuinamente independentes ele atravessa.
A Decripte protege e responde a incidentes no setor de criptocustódia institucional.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.