Recentemente vi um caso bastante absurdo, quero falar sobre isso para alertar a todos.

Houve um usuário que registrou uma conta em uma das principais exchanges através da carteira SafePal. Naquela época, as políticas eram flexíveis, e ele conseguiu usar normalmente sem verificação de identidade. Ele transferiu os fundos para fazer investimentos e ainda definiu uma senha para saques, tudo parecia bastante seguro.

Onde está o problema? A frase de recuperação foi acidentalmente divulgada. Supostamente, as contas das exchanges e as carteiras na blockchain são diferentes, e a divulgação da frase de recuperação não deveria resultar na perda de moedas. Mas desta vez houve um problema - a plataforma depois exigiu que todos os usuários completassem a verificação de identidade.

Durante este período de janela, alguém usou uma frase de recuperação vazada para acessar a sua conta, completando a verificação de identidade antes (usando informações que não eram suas, é claro), e mudou também a senha de saque. Quando o verdadeiro proprietário da conta percebeu, descobriu que já estava "legalmente" trancado do lado de fora.

Esta situação é aterradora: as palavras-passe eram originalmente para proteger os ativos na blockchain, e agora até as contas centralizadas podem ser sequestradas. Uma vez que as regras da plataforma mudam, as vulnerabilidades de segurança das contas antigas são ampliadas. A senha de retirada parece ser uma linha de defesa, mas após a falha na verificação de identidade, nenhuma senha serve de nada.

Sugestões para todos: a gestão das palavras-passe não deve ser levada na brincadeira, mesmo que você ache que é apenas uma conta de exchange; as novas regras da plataforma devem ser respondidas de imediato, não deixe espaço para que outros operem; contas antigas que não foram verificadas, completem rapidamente as informações de autenticação, não esperem acontecer algo para se arrepender.