Segurança para On-Ramp e PSP Cripto: forense on-chain, contenção de drenagem de hot wallet e redesenho de custódia

Provedores de on/off-ramp e PSPs cripto vivem no ponto exato onde o Pix encontra a blockchain. É ali que a fraude, a lavagem e a drenagem de carteira atacam. Veja como a Decripte responde a um comprometimento de chave de hot wallet e reconstrói a custódia, o quórum e o monitoramento on-chain.

Resposta direta

Para proteger um provedor de on/off-ramp ou um PSP cripto você precisa tratar três superfícies simultaneamente: a fronteira fiat (conta de liquidação Pix, conciliação e antifraude de entrada), a fronteira on-chain (custódia de chaves, política de assinatura e monitoramento de transações) e a fronteira de identidade (KYC, prevenção de account takeover e detecção de mule accounts). Na prática isso significa tirar a chave privada de produção de qualquer lugar acessível pela aplicação, exigir quórum multi-assinatura ou MPC para movimentação de hot wallet, instrumentar alertas on-chain em tempo real para saídas anômalas, casar cada conversão fiat-cripto com sinais de risco de PLD/FT e ter uma equipe capaz de fazer forense on-chain e contenção em menos de uma hora quando algo escapa. A Decripte entrega essas camadas como serviço — SOC 24x7 com visão on-chain e antifraude, Pentest da plataforma e do fluxo Pix, Segurança Web3 com auditoria de carteira, e Conformidade Bacen e PLD/FT. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center para mapear sua exposição antes que ela vire incidente.

24/7

SOC monitorando on-chain e antifraude

≤1h

SLA de contenção em resposta a incidentes

PLD/FT

Conformidade Bacen e prevenção à lavagem

On-chain

Forense de blockchain e rastreio de fundos

Em resumo

  • A drenagem de hot wallet de PSP cripto quase nunca começa na blockchain: começa em uma chave privada exposta em variável de ambiente, repositório, backup ou no comprometimento de um operador com acesso de assinatura.
  • A janela útil de contenção on-chain é de minutos. Sem quórum de assinatura e sem alertas de saída anômala em tempo real, o atacante esvazia a carteira antes de qualquer humano reagir.
  • Custódia segura de PSP cripto se baseia em segregação fria/quente, MPC ou multisig com quórum, limites por janela e allowlist de endereços de saque — não em uma única chave operacional.
  • A fronteira fiat (Pix) e a fronteira cripto compartilham o mesmo risco de lavagem: conversão fiat-cripto por mule accounts e off-ramp de fundos ilícitos exigem antifraude e PLD/FT integrados, não silos.
  • Account takeover e bypass de KYC convertem usuários legítimos em vetores de fraude; defesa exige MFA resistente a phishing, verificação de liveness e correlação de sinais entre KYC, dispositivo e comportamento on-chain.
  • A Decripte combina forense on-chain, redesenho de custódia e quórum, SOC 24x7 e conformidade regulatória — começando com um diagnóstico gratuito em decripte.com.br/intelligence-center.
Cripto e Web3

Cibersegurança para On/Off-ramp Cripto e PSPs Cripto

Provedores de on/off-ramp e PSPs cripto vivem no ponto exato onde o Pix encontra a blockchain. É ali que a fraude, a lavagem e a drenagem de carteira atacam. Veja como a Decripte responde a um comprometimento de chave de hot wallet e reconstrói a custódia, o quórum e o monitoramento on-chain.

O que torna um PSP cripto e um on/off-ramp um alvo de altíssimo valor

Um provedor de on/off-ramp é, por definição, uma máquina de conversão de valor: ele recebe reais via Pix, custodia esse valor por um instante e o transforma em cripto na blockchain — e faz o caminho inverso no off-ramp. Um PSP cripto generaliza isso, intermediando pagamentos de terceiros e liquidando entre fiat e tokens. Em ambos os casos, a plataforma concentra, num mesmo lugar, três coisas que normalmente vivem separadas no mercado financeiro tradicional: a identidade verificada dos usuários (KYC), o dinheiro em trânsito (custódia transitória) e o poder de movimentar valor de forma irreversível (chaves de assinatura on-chain).

Essa concentração é o que faz desses negócios um alvo desproporcional. No sistema bancário, um estorno é possível; uma transferência Pix tem mecanismos de devolução; um cartão tem chargeback. Na blockchain, uma transação confirmada é definitiva. O atacante que consegue assinar uma transação de saída de uma hot wallet não rouba um saldo contábil que pode ser revertido — ele move um ativo ao portador, de forma irreversível, em segundos, para um endereço sob seu controle. O custo do erro é assimétrico: a defesa precisa acertar todas as vezes, o atacante precisa acertar uma.

A irreversibilidade muda tudo

Em fraude bancária tradicional, a janela de recuperação é medida em horas ou dias. Em drenagem de hot wallet, a janela útil de contenção é medida em minutos — entre a primeira transação anômala e o esvaziamento total da carteira. Toda a arquitetura de segurança de um PSP cripto precisa ser desenhada em torno dessa realidade.

Além da irreversibilidade, há a transparência da blockchain. Endereços de hot wallet são, frequentemente, descobríveis: aparecem em conciliações, em integrações, em transações públicas. Um atacante paciente pode mapear a topologia de carteiras de um PSP — quente, morna, fria — apenas observando a cadeia, identificando padrões de varredura de depósitos e movimentos de tesouraria. Isso significa que o reconhecimento do alvo muitas vezes acontece on-chain, antes de qualquer pacote tocar a infraestrutura da empresa.

Três fronteiras, um único cofre

  • Fronteira fiat: conta de liquidação Pix, conciliação, antifraude de entrada e saída.
  • Fronteira on-chain: custódia de chaves, política de assinatura, monitoramento de transações.
  • Fronteira de identidade: KYC, prevenção de account takeover, detecção de mule accounts e bypass de verificação.

Anatomia das ameaças: fraude de conversão, drenagem de carteira, lavagem e account takeover

Fraude de conversão fiat-cripto e mule accounts

O on-ramp é o ponto onde dinheiro de origem questionável entra na economia cripto. O esquema clássico usa contas-laranja (mule accounts): identidades reais ou sintéticas que passam pelo KYC, recebem Pix de vítimas de golpe ou de operações fracionadas para ficar abaixo de limites de alerta, e imediatamente convertem para cripto, sacando para endereços externos. Para o PSP, o desafio não é apenas detectar a conta individual fraudulenta, mas reconhecer o padrão de rede: múltiplas contas com sinais de dispositivo, geolocalização, horário e comportamento de conversão correlacionados, alimentando os mesmos endereços de saída.

Drenagem de hot wallet de liquidez

A hot wallet é a carteira quente que mantém liquidez para liquidar conversões e saques em tempo real. Por necessidade operacional, ela precisa assinar transações automaticamente, sem intervenção humana a cada operação. É exatamente essa automação que a torna o alvo mais valioso e mais frágil. Se a chave privada — ou a capacidade de instruir o serviço de assinatura — for comprometida, o atacante drena toda a liquidez disponível. O comprometimento raramente é criptográfico; é operacional: chave em variável de ambiente, em arquivo de configuração versionado, em backup mal protegido, em memória de um processo invadido, ou no acesso de um operador legítimo cujas credenciais foram capturadas.

A chave não vaza da blockchain — vaza da sua infraestrutura

Praticamente todo incidente de drenagem de hot wallet tem origem fora da cadeia: segredo exposto em repositório ou pipeline de CI/CD, servidor de assinatura comprometido por movimento lateral, dependência maliciosa na cadeia de suprimento, ou engenharia social contra quem detém o quórum. A blockchain só registra o desfecho.

Lavagem e account takeover

O off-ramp é o ponto de saída — onde cripto vira fiat. Para um lavador, um PSP com controles fracos é uma lavanderia: fundos de origem ilícita entram via cripto, atravessam a plataforma e saem como Pix aparentemente limpo. A defesa exige triagem on-chain dos endereços de origem (exposição a misturadores, a endereços sancionados, a clusters de risco) integrada à análise de PLD/FT da saída fiat. Já o account takeover transforma um usuário legítimo, já verificado, em vetor: com a conta comprometida por phishing, credential stuffing, troca de SIM ou malware, o atacante herda o KYC aprovado e drena saldo ou usa a conta como ponte de lavagem. O bypass de KYC ataca a porta de entrada com documentos falsificados, deepfakes em liveness e reúso de identidades.

Sinais que um PSP cripto deveria estar correlacionando em tempo real

  • Saída on-chain para endereço novo, fora da allowlist, acima do limite por janela.
  • Pico de conversões fiat-cripto de contas recém-aprovadas no KYC.
  • Múltiplas contas com fingerprint de dispositivo ou rede compartilhado alimentando os mesmos endereços.
  • Login bem-sucedido seguido imediatamente de alteração de endereço de saque e saque máximo.
  • Depósitos cripto provenientes de clusters expostos a misturadores ou endereços sancionados.
  • Falha em série na verificação de liveness seguida de aprovação por canal alternativo.
Gestão de Ameaças · Grátis

Os dados de on/off-ramp cripto e psps cripto já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

O ângulo central: drenagem de hot wallet por comprometimento de chave

O cenário mais temido por qualquer PSP cripto é o comprometimento da chave que controla a hot wallet de liquidez. Diferente de uma fraude pontual de usuário, que afeta um saldo, a drenagem da hot wallet ataca o coração do negócio: a tesouraria operacional. Quando ela acontece, três relógios disparam ao mesmo tempo — o relógio da blockchain (cada bloco confirmado é dinheiro perdido), o relógio regulatório (notificação à ANPD se houver dados pessoais, comunicação ao Banco Central) e o relógio reputacional (clientes percebendo saques travados).

A resposta da Decripte a esse cenário não é apenas técnica; é coreografada. Forense on-chain para entender o que foi assinado e para onde foi; isolamento imediato da chave comprometida e de tudo que ela podia tocar; rotação para uma nova topologia de custódia já com quórum; rastreio dos fundos drenados na cadeia para apoiar bloqueio em exchanges parceiras e ações legais; e, depois da poeira baixar, o redesenho da arquitetura de assinatura para que um único segredo nunca mais consiga, sozinho, esvaziar a tesouraria.

O princípio que guia o redesenho

Nenhuma chave isolada, nenhum operador isolado e nenhum processo isolado deveriam ter poder de mover a liquidez completa. Quórum, limites e segregação fria/quente transformam um comprometimento catastrófico em um incidente contível.

Como a Decripte enxerga a custódia de um PSP cripto

Custódia, para a Decripte, não é um produto que se compra — é uma arquitetura que se desenha em camadas, com pressupostos explícitos de falha. Partimos da premissa de que qualquer componente individual pode ser comprometido e perguntamos: o que acontece com a tesouraria se este servidor, esta chave, este operador ou esta dependência cair? A resposta correta para todas essas perguntas precisa ser 'a perda é limitada e contível', nunca 'a empresa quebra'.

Segregação fria, morna e quente

A maior parte da tesouraria deve viver em custódia fria — chaves geradas e guardadas offline, sem qualquer caminho de rede até elas, movimentadas apenas por processo deliberado e auditado. Uma camada morna mantém valor intermediário com quórum mais leve. A hot wallet quente carrega apenas o necessário para a operação corrente, com reabastecimento controlado a partir da camada morna. Assim, mesmo o pior caso — drenagem total da hot wallet — expõe um percentual pequeno e pré-definido do patrimônio.

Quórum: MPC e multisig

A movimentação de valor relevante nunca deveria depender de uma única assinatura. Com MPC (computação multipartidária), a própria chave privada nunca existe inteira em lugar nenhum: ela é fragmentada e a assinatura é produzida em conjunto por partes que não confiam umas nas outras. Com multisig on-chain, a transação só é válida com M de N assinaturas. Em ambos, comprometer um fragmento ou uma assinatura não basta para mover fundos.

Controles de custódia que a Decripte implanta e valida

  • Segregação fria/morna/quente com percentuais de tesouraria definidos por política.
  • Quórum MPC ou multisig (M-de-N) para qualquer movimentação acima de limite.
  • Allowlist de endereços de saque com janela de carência para novos endereços.
  • Limites por transação e por janela de tempo, com bloqueio automático ao serem excedidos.
  • Servidor de assinatura isolado, sem segredos em código ou em variável de ambiente acessível pela aplicação.
  • Trilha de auditoria imutável de cada assinatura, com identidade do aprovador e justificativa.

Esses controles não nascem prontos no dia do incidente. Por isso o ponto de partida ideal é o diagnóstico gratuito em decripte.com.br/intelligence-center, que mapeia onde a sua custódia atual está exposta antes de qualquer atacante encontrar o mesmo gap.

A fronteira fiat: Pix, conciliação e antifraude de entrada

Para um on-ramp brasileiro, o Pix é a porta de entrada do dinheiro — e, portanto, a porta de entrada da fraude e da lavagem. A conta de liquidação que recebe os Pix dos usuários, a conciliação que casa cada pagamento com a ordem de conversão, e o motor antifraude que decide se aquela entrada é legítima formam um sistema crítico que precisa ser tratado com o mesmo rigor da custódia on-chain.

O Pentest da Decripte cobre justamente essa costura. Não basta testar a API pública: é preciso testar a lógica de negócio do fluxo de conversão. Existe uma condição de corrida entre a confirmação do Pix e a liberação da cripto? É possível forjar ou reusar um webhook de confirmação de pagamento? A conciliação aceita um valor parcial como total? Um atacante consegue manipular a taxa de câmbio no intervalo entre cotação e execução? São falhas de lógica que nenhum scanner automático encontra e que, num PSP, valem dinheiro real e imediato.

Webhooks de pagamento são alvo clássico

Confirmações de pagamento que não validam assinatura, que aceitam reuso de identificador ou que confiam em origem por IP são um vetor recorrente: o atacante simula a confirmação de um Pix que nunca chegou e recebe cripto de verdade. A validação criptográfica e a idempotência do webhook precisam ser à prova de falhas.

Do lado da lavagem, a fronteira fiat precisa estar integrada à inteligência on-chain. Um Pix de entrada acompanhado de um pedido imediato de saque para um endereço de alto risco é um sinal que só faz sentido quando os dois lados — fiat e cripto — são lidos juntos. O SOC 24x7 da Decripte é desenhado para correlacionar esses sinais em tempo real, em vez de deixá-los em silos que só se encontram no relatório do mês seguinte.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em on/off-ramp cripto e psps cripto? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

O SOC 24x7 com visão on-chain e antifraude

Um SOC tradicional vigia firewalls, endpoints e logs de aplicação. Um SOC para PSP cripto precisa de um sentido a mais: ele tem que enxergar a blockchain. Monitorar a hot wallet em tempo real, conhecer seus padrões normais de saída e disparar alerta no exato momento em que uma transação foge da política — endereço fora da allowlist, valor acima do limite, frequência anômala, destino exposto a clusters de risco.

Esse monitoramento on-chain se soma à telemetria clássica de segurança e ao motor antifraude de contas. A correlação entre as três visões é o que transforma alertas isolados em detecção real. Um servidor de assinatura com comportamento estranho, somado a uma saída on-chain anômala, somado a um login recente de um operador a partir de uma rede incomum, conta uma história que nenhum dos sinais conta sozinho.

O que o SOC 24x7 da Decripte vigia num PSP cripto

  • Saídas da hot wallet contra política de allowlist, limites e janelas.
  • Comportamento do servidor de assinatura e dos hosts com acesso a chaves.
  • Padrões de conversão fiat-cripto e redes de contas suspeitas (mule accounts).
  • Exposição on-chain dos endereços que interagem com a plataforma (misturadores, sanções, clusters de risco).
  • Sinais de account takeover: alteração de saque, MFA, dispositivo, geolocalização.
  • Indicadores de comprometimento na infraestrutura e na cadeia de suprimento de software.

A vantagem operacional do SOC é o tempo. Em drenagem de hot wallet, detectar a primeira transação anômala e disparar a contenção em minutos pode ser a diferença entre perder a liquidez quente e perder a empresa. Por isso o SOC está acoplado à equipe de Resposta a Incidentes, com SLA de contenção de até uma hora — e, no caso on-chain, com playbooks que agem em janelas ainda menores.

Identidade, KYC e a defesa contra account takeover

A fronteira de identidade é onde a confiança é estabelecida — e, portanto, onde ela é atacada. Do lado do cadastro, o bypass de KYC tenta criar identidades fraudulentas em escala: documentos adulterados, deepfakes contra a verificação de liveness, reúso de identidades reais vazadas. Do lado do uso, o account takeover sequestra contas já confiáveis.

A defesa que a Decripte recomenda e valida começa por MFA resistente a phishing — preferencialmente baseado em chaves criptográficas (padrão FIDO2/WebAuthn) em vez de códigos por SMS, que são vulneráveis a troca de SIM e a interceptação. Soma-se a isso a verificação de liveness robusta no KYC, a detecção de fingerprint de dispositivo, a análise comportamental e a janela de carência para ações sensíveis: trocar o endereço de saque e logo depois sacar o saldo máximo é um padrão que deveria, no mínimo, exigir reautenticação forte e impor atraso.

SMS não é MFA resistente a phishing

Códigos por SMS protegem contra senha vazada, mas caem diante de troca de SIM e de phishing em tempo real. Para contas com poder de movimentar valor, o segundo fator deve ser uma chave criptográfica vinculada ao domínio (WebAuthn/passkey), que não pode ser repassada a um site falso.

O bypass de KYC e as mule accounts exigem inteligência de rede: nenhuma verificação individual flagra um exército de contas-laranja, mas a correlação entre elas — dispositivos, redes, padrões de conversão, endereços de destino compartilhados — revela o cluster. É esse tipo de visão de grafo, ligando identidade a comportamento on-chain, que separa um antifraude de PSP cripto de um antifraude genérico.

Conformidade Bacen, PLD/FT e proteção de dados

Operar conversão entre fiat e cripto no Brasil insere o PSP num cenário regulatório em rápida consolidação. O Banco Central conduz a regulamentação das prestadoras de serviços de ativos virtuais sob o marco legal de ativos virtuais, e a prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT) é exigência estrutural — conheça seu cliente, monitore operações, identifique e comunique o que for atípico. A segurança da informação não é um anexo dessa conformidade; é o que a torna verdadeira. Um controle de PLD que pode ser burlado por uma falha técnica não é um controle.

A Decripte trata conformidade como engenharia, não como papelada. O serviço de Conformidade alinha os controles técnicos às exigências aplicáveis — Bacen e PLD/FT para o fluxo financeiro, LGPD para os dados pessoais de KYC, e referências internacionais como ISO 27001 para a gestão de segurança da informação e PCI-DSS quando há dados de cartão envolvidos no funil de pagamento. O objetivo é que a empresa consiga demonstrar, com evidência técnica, que faz o que diz fazer.

Camadas regulatórias típicas de um PSP cripto brasileiro

  • Bacen e marco legal de ativos virtuais: regras para prestadoras de serviços de ativos virtuais.
  • PLD/FT: conheça seu cliente, monitoramento, comunicação de operações atípicas.
  • LGPD e ANPD: tratamento e proteção de dados pessoais do KYC; comunicação de incidentes.
  • PCI-DSS: quando há captura ou processamento de dados de cartão no funil.
  • ISO 27001: referência para o sistema de gestão de segurança da informação.

Sob a LGPD, um vazamento dos dados de KYC — documentos, selfies, comprovantes — é um incidente de dados pessoais com potencial dever de comunicação à ANPD e aos titulares. Os mesmos arquivos que comprovam a identidade dos usuários são um dos ativos mais sensíveis do PSP. Protegê-los com cifragem, segregação de acesso e trilha de auditoria é, ao mesmo tempo, requisito de LGPD e de bom senso de segurança.

Pentest da plataforma: encontrar o gap antes do atacante

O Pentest da Decripte para um PSP cripto vai muito além do scan de superfície. Ele persegue a lógica do dinheiro. As perguntas que guiam o teste são: como eu, atacante, faço a plataforma assinar uma transação que ela não deveria? Como eu confirmo um Pix que não paguei? Como eu manipulo a cotação? Como eu escalo privilégios até o servidor de assinatura? Como eu transformo um usuário em vetor sem nunca ver a senha dele?

Vetores que o Pentest de PSP cripto da Decripte exercita

  • Lógica de conversão: condições de corrida entre confirmação de pagamento e liberação de cripto.
  • Integridade de webhooks de pagamento: assinatura, idempotência, validação de origem.
  • Manipulação de cotação e janela de execução de câmbio.
  • Caminho até o servidor de assinatura: segredos, movimento lateral, escalonamento.
  • Controles de saque: bypass de allowlist, de limites e da janela de carência.
  • Fluxos de KYC e recuperação de conta: bypass de verificação, account takeover, deepfake de liveness.
  • Exposição de chaves em código, configuração, CI/CD e dependências (cadeia de suprimento).

O resultado do Pentest não é um PDF de vulnerabilidades genéricas: é um conjunto de cenários de exploração demonstrados, priorizados pelo impacto financeiro real, com o caminho de correção. Para um PSP, é a forma mais barata de descobrir o que custaria a tesouraria inteira se fosse descoberto por outra pessoa.

Comece pelo mapa, depois aprofunde

O diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center dá a primeira visão da sua exposição. O Pentest e os serviços contínuos aprofundam onde o risco é maior. Veja os planos pagos em /planos quando estiver pronto para a camada seguinte.

Exemplo real descaracterizado: drenagem de hot wallet de um PSP cripto por comprometimento de chave

Exemplo real descaracterizado

Este é um exemplo real descaracterizado, sem identificar o cliente, construído para mostrar como a Decripte atua. Imagine um PSP cripto brasileiro de porte médio que liga Pix a stablecoins, com uma hot wallet de liquidez que assina saques automaticamente. A chave privada dessa carteira está armazenada como segredo no ambiente de execução do serviço de liquidação. Uma dependência de software comprometida na cadeia de suprimento abre uma porta para execução remota de código no host de liquidação. A partir dali, o atacante lê o segredo, obtém a chave da hot wallet e prepara a drenagem — tudo sem disparar nenhum alarme, porque a saída de fundos é a função normal daquele serviço.

  1. Reconhecimento e acesso inicial

    O atacante identifica, on-chain, os endereços de hot wallet do PSP observando os padrões de varredura de depósitos e de liquidação. Em paralelo, explora uma dependência maliciosa introduzida via atualização de pacote, obtendo execução de código no host de liquidação. Sem monitoramento de cadeia de suprimento nem isolamento do servidor de assinatura, a intrusão passa despercebida.

  2. Detecção

    Minutos após o atacante iniciar saques para um endereço novo fora de qualquer allowlist, o SOC 24x7 da Decripte dispara alerta on-chain: valor acima do limite por janela, destino desconhecido, frequência anômala de transações. O alerta correlaciona com comportamento atípico do processo de assinatura no host. O caso é escalado imediatamente para a equipe de Resposta a Incidentes.

  3. Contenção

    Dentro do SLA de até uma hora — e, na prática, em minutos para a ação on-chain — a Decripte executa o playbook: corta a conectividade do host de liquidação, revoga o acesso da chave comprometida a qualquer reabastecimento a partir da camada morna, congela a liberação automática de saques e aciona os contatos de exchanges e parceiros para sinalizar os endereços de destino. A camada fria e a maior parte da tesouraria permanecem intactas porque estavam segregadas e sem caminho de rede.

  4. Erradicação

    A equipe identifica a dependência maliciosa, remove o host comprometido, reconstrói o ambiente de liquidação a partir de base confiável e elimina a prática de manter a chave como segredo acessível pela aplicação. A causa-raiz — chave única com poder total e cadeia de suprimento não monitorada — é documentada com evidência forense.

  5. Recuperação

    A operação volta com uma nova topologia de custódia: hot wallet com saldo mínimo, quórum MPC para qualquer movimentação relevante, allowlist de saque com janela de carência, limites por janela e servidor de assinatura isolado. O SOC passa a vigiar os novos endereços com a política reforçada. A liquidez é restabelecida de forma controlada a partir da camada fria.

  6. Forense on-chain e rastreio

    A Decripte conduz a forense on-chain dos fundos drenados, mapeando o trajeto dos ativos pela cadeia até pontos de cash-out e clusters de risco. Esse rastreio sustenta as comunicações com exchanges parceiras para tentativa de bloqueio, com as autoridades e com o jurídico, e alimenta o relatório de incidente exigido pelas obrigações regulatórias.

  7. Lições e estruturação

    O incidente vira programa: redesenho permanente de custódia e quórum, monitoramento contínuo da cadeia de suprimento de software, Pentest recorrente do fluxo de assinatura e de liquidação, e integração definitiva entre antifraude fiat e inteligência on-chain. O que era um ponto único de falha catastrófico passa a ser um risco contível.

Desfecho com a Decripte

Neste exemplo real descaracterizado, a combinação de detecção on-chain em minutos, contenção dentro do SLA e segregação fria/quente limita a perda à fração de liquidez que estava na hot wallet, preserva a tesouraria principal e mantém a empresa operacional. Mais importante: o redesenho conduzido pela Decripte — quórum MPC, allowlist, limites, isolamento do servidor de assinatura e monitoramento de cadeia de suprimento — faz com que um próximo comprometimento de chave não consiga, sozinho, esvaziar a tesouraria. A lição central é que segurança de PSP cripto se mede pela capacidade de transformar um incidente potencialmente fatal em um incidente contido. O ponto de partida para chegar lá é o diagnóstico gratuito em decripte.com.br/intelligence-center.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar on/off-ramp cripto e psps cripto hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Como a Decripte responde a um incidente de drenagem ou fraude em um PSP cripto

A resposta a incidentes da Decripte para on/off-ramp e PSPs cripto é coreografada em torno da irreversibilidade on-chain: cada passo é desenhado para ganhar tempo contra a blockchain, conter a perda e preservar evidência. O SLA de contenção é de até uma hora, mas as ações on-chain operam em janelas de minutos.

  1. Detecção e triagem: o SOC 24x7 identifica a anomalia — saída on-chain fora da política, comportamento atípico do servidor de assinatura, padrão de conversão suspeito ou sinal de account takeover — e classifica a severidade, acionando o time de Resposta a Incidentes imediatamente.
  2. Contenção on-chain imediata: corte de conectividade do host comprometido, congelamento da liberação automática de saques, revogação do poder da chave suspeita de tocar a camada morna/fria e isolamento do serviço de assinatura, tudo dentro do SLA e, para a parte on-chain, em minutos.
  3. Acionamento externo: sinalização dos endereços de destino a exchanges e parceiros para tentativa de bloqueio de cash-out, e abertura dos canais com autoridades e jurídico conforme a obrigação regulatória.
  4. Forense on-chain: reconstrução exata do que foi assinado, de onde partiu e para onde foi; mapeamento do trajeto dos fundos pela cadeia até pontos de saída; e correlação com a evidência off-chain (logs, host, identidade do operador).
  5. Erradicação da causa-raiz: identificação e remoção do vetor — segredo exposto, dependência maliciosa, host comprometido, operador sequestrado — e reconstrução do ambiente afetado a partir de base confiável, eliminando a chave única.
  6. Recuperação controlada: retorno da operação já sob nova topologia de custódia (quórum, allowlist, limites, segregação) e reabastecimento da liquidez a partir da camada fria, com o SOC vigiando os novos endereços sob política reforçada.
  7. Comunicação e conformidade: apoio à comunicação a ANPD e titulares quando há dados pessoais envolvidos, ao reporte regulatório aplicável (Bacen/PLD-FT) e à comunicação a clientes, com base na evidência forense.
  8. Pós-incidente e endurecimento: relatório executivo e técnico com a causa-raiz, lições e o plano de estruturação que transforma o ponto único de falha em risco contível, alimentando o monitoramento contínuo.

Como a Decripte estrutura a segurança de um on/off-ramp ou PSP cripto

Responder bem a incidentes é necessário, mas o objetivo é não precisar. A Decripte estrutura a segurança do PSP em pilares que reduzem a probabilidade do incidente e limitam seu impacto quando ele ocorre. Tudo pode começar pelo diagnóstico gratuito em decripte.com.br/intelligence-center.

Custódia em camadas com quórum

Segregação fria/morna/quente da tesouraria, com MPC ou multisig (M-de-N) para qualquer movimentação relevante. Nenhuma chave isolada e nenhum operador isolado movem a liquidez completa. Allowlist de saque, limites por janela e janela de carência para novos endereços tornam a drenagem total estruturalmente difícil.

Monitoramento on-chain e antifraude integrados (SOC 24x7)

Vigilância contínua das hot wallets contra a política de saída, da infraestrutura de assinatura e dos padrões de conversão fiat-cripto, com correlação entre os três mundos — cadeia, infraestrutura e identidade — para detectar o que nenhum sinal isolado revela.

Defesa da fronteira fiat (Pix) e da lógica de conversão

Pentest recorrente do fluxo de conversão, da integridade dos webhooks de pagamento, da conciliação e dos controles de saque. Antifraude de entrada e saída integrado à inteligência on-chain para barrar mule accounts e lavagem na origem.

Identidade resistente: KYC, MFA e antifraude de contas

MFA resistente a phishing (WebAuthn/passkey) para ações de valor, verificação de liveness robusta, detecção de fingerprint e comportamento, e correlação de grafo para descobrir clusters de contas-laranja e bypass de KYC.

Conformidade como engenharia (Bacen, PLD/FT, LGPD)

Alinhamento dos controles técnicos às exigências regulatórias com evidência demonstrável: marco de ativos virtuais e PLD/FT no fluxo financeiro, LGPD na proteção dos dados de KYC, e referências como ISO 27001 e PCI-DSS onde aplicável.

Higiene da cadeia de suprimento e do servidor de assinatura

Isolamento do serviço de assinatura, eliminação de segredos acessíveis pela aplicação, monitoramento de dependências e pipeline de CI/CD, e endurecimento dos hosts que tocam chaves — fechando o vetor mais comum de comprometimento.

Planos recomendados para On/Off-ramp Cripto e PSPs Cripto

Perguntas frequentes

Por que a hot wallet de um PSP cripto é o alvo mais valioso?

Porque ela mantém liquidez e precisa assinar saques automaticamente, sem intervenção humana a cada operação. Quem compromete sua chave move ativos ao portador de forma irreversível, em segundos. A defesa é não deixar uma única chave com poder total: quórum (MPC ou multisig), segregação fria/quente, allowlist e limites por janela. Mapeie sua exposição grátis em decripte.com.br/intelligence-center.

A chave da nossa hot wallet vaza pela blockchain?

Quase nunca. A blockchain só registra o desfecho. O comprometimento costuma vir de fora da cadeia: segredo exposto em código, configuração, backup ou CI/CD; dependência maliciosa na cadeia de suprimento; servidor de assinatura invadido; ou engenharia social contra quem detém o quórum. É por isso que o Pentest e o endurecimento do servidor de assinatura são tão centrais quanto a custódia.

Quanto tempo a Decripte leva para conter uma drenagem em andamento?

O SLA de contenção da Resposta a Incidentes é de até uma hora, mas as ações on-chain — congelar saques, isolar a chave, sinalizar endereços a exchanges — operam em janelas de minutos, porque o relógio relevante é o da blockchain. Quanto mais cedo o SOC 24x7 detecta a primeira transação anômala, menor a perda.

Como vocês ajudam contra mule accounts e fraude de conversão fiat-cripto?

Com antifraude integrado à inteligência on-chain: correlacionamos sinais de KYC, dispositivo, rede, horário e comportamento de conversão para revelar clusters de contas-laranja que alimentam os mesmos endereços de saída. Nenhuma verificação individual flagra um exército de laranjas; a visão de grafo entre identidade e cadeia, sim.

O que a Decripte faz sobre lavagem via on/off-ramp?

Triagem on-chain dos endereços de origem e destino (exposição a misturadores, endereços sancionados e clusters de risco) integrada à análise de PLD/FT do fluxo fiat. O objetivo é barrar fundos ilícitos na entrada e na saída, e sustentar as obrigações regulatórias com evidência — não apenas detectar depois.

Vocês cobrem a parte regulatória (Bacen, PLD/FT, LGPD)?

Sim, pelo serviço de Conformidade, tratado como engenharia: alinhamos os controles técnicos às exigências aplicáveis — marco de ativos virtuais e PLD/FT no fluxo financeiro, LGPD na proteção dos dados de KYC, e referências como ISO 27001 e PCI-DSS onde houver dados de cartão. A meta é a empresa demonstrar, com evidência técnica, que faz o que diz fazer.

Precisamos parar a operação para implementar quórum e nova custódia?

Não. O redesenho de custódia é faseado: começa reduzindo o saldo da hot wallet e isolando o servidor de assinatura, depois introduz quórum (MPC ou multisig), allowlist e limites, sempre com a operação rodando. O diagnóstico inicial em decripte.com.br/intelligence-center indica a ordem de prioridade pelo risco real.

Por onde começamos sem compromisso?

Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center, que mapeia sua exposição — custódia, fronteira Pix e identidade — antes de qualquer atacante. Quando quiser aprofundar com SOC, Resposta a Incidentes, Segurança Web3 ou Pentest, veja os planos pagos em /planos.

Termos do setor

On-ramp / Off-ramp
On-ramp é o caminho de entrada de fiat para cripto (ex.: Pix vira stablecoin); off-ramp é o inverso (cripto vira fiat). São os pontos onde dinheiro tradicional e blockchain se conectam — e onde fraude e lavagem concentram seus ataques.
Hot wallet
Carteira quente que mantém liquidez online para liquidar saques e conversões em tempo real, assinando transações de forma automatizada. Por isso é o alvo mais valioso e mais frágil de um PSP cripto, e deve carregar apenas o saldo mínimo necessário.
MPC (computação multipartidária)
Técnica em que a chave privada nunca existe inteira em um só lugar: é fragmentada entre partes que produzem a assinatura em conjunto. Comprometer um fragmento isolado não basta para mover fundos, eliminando o ponto único de falha da chave.
Multisig (M-de-N)
Esquema on-chain em que uma transação só é válida com um número mínimo de assinaturas (M) de um conjunto de chaves (N). Garante quórum para movimentação de valor, de modo que nenhuma assinatura isolada autorize a saída da tesouraria.
PLD/FT
Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo: conjunto de obrigações — conheça seu cliente, monitoramento de operações e comunicação de atipicidades — exigidas de instituições do sistema financeiro, incluindo prestadoras de serviços de ativos virtuais sob a regulação do Banco Central.
Account takeover (ATO)
Sequestro de uma conta legítima e já verificada — via phishing, credential stuffing, troca de SIM ou malware — herdando o KYC aprovado da vítima para drenar saldo ou usar a conta como ponte de lavagem. Mitigado por MFA resistente a phishing e janelas de carência em ações sensíveis.

A Decripte protege e responde a incidentes no setor de on/off-ramp cripto e psps cripto.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.