MoneroSwapper MoneroSwapper

Como Montar uma Cold Storage Air-Gapped de Monero

MoneroSwapper · · · 14 min read · 13 views

Como Montar uma Cold Storage Air-Gapped de Monero

Quando a Binance retirou o Monero de listagem em fevereiro de 2024 e a Kraken suspendeu o XMR para usuários europeus a fim de se adequar à MiCA, centenas de milhares de holders aprenderam a mesma lição da noite para o dia: deixar moedas de privacidade em uma corretora é viver de tempo emprestado. No Brasil a história não é diferente — desde que o Banco Central assumiu a regulação dos criptoativos sob a Lei 14.478/2022, a pressão sobre as exchanges para coletar e reportar dados só cresce, e a Receita Federal já cruza informações da IN 1.888 com as declarações de quem opera acima de R$ 30 mil por mês. O único saldo que uma corretora não pode congelar, deslistar ou entregar a uma intimação judicial é aquele que você mesmo guarda — e o padrão-ouro para isso é uma carteira fria air-gapped, uma máquina que nunca tocou a internet e nunca tocará. Este guia mostra como montar uma do jeito certo, da verificação dos binários até a assinatura da sua primeira transação offline.

O air-gap importa ainda mais para o Monero do que para as redes transparentes. No Bitcoin você pode publicar um endereço watch-only e confiar na blockchain para exibir seu saldo; no Monero, a View key (que permite ver os fundos recebidos) e a Spend key (que autoriza os fundos enviados) são criptograficamente distintas. Essa separação é exatamente o que torna possível uma divisão limpa de cold storage — e é por isso que um esforço equivalente a alguns centavos em taxas compra para você uma segurança de cofre de banco. Se você está montando o cofre do zero, dá para adquirir XMR sem precisar de conta no MoneroSwapper e enviá-lo direto para um endereço frio que você gerou offline.

Por Que o Armazenamento Air-Gapped Importa para o Monero

Carteiras quentes — qualquer coisa em um celular ou em um desktop conectado à internet — ficam expostas a toda a superfície de ataque daquele aparelho: malware, sequestradores de área de transferência (aqueles que trocam o endereço colado), extensões de navegador maliciosas e exploits remotos. Uma carteira air-gapped remove a rede completamente da equação, de modo que uma chave privada gerada e usada apenas offline não pode ser exfiltrada por código rodando em uma máquina online comprometida.

  • A separação de chaves já vem de fábrica: o modelo de carteira do Monero separa a Spend key da View key, então você pode rodar uma carteira watch-only online para monitorar depósitos enquanto a chave de assinatura permanece no cofre.
  • Não há reuso de endereço para vazar: cada pagamento cai em um endereço furtivo (stealth address) de uso único, então publicar o endereço da sua conta para receber fundos não revela nada sobre seu saldo ou histórico a um observador online.
  • A fungibilidade sobrevive a erros de custódia: como o RingCT esconde os valores e as assinaturas em anel CLSAG ofuscam o gasto real, moedas tiradas da cold storage são indistinguíveis de qualquer outro XMR — não existe rótulo de "UTXO contaminada" para herdar.
  • A semente é definitiva: uma seed mnemônica de 25 palavras reconstrói a carteira inteira, então a própria máquina air-gapped é descartável — perdeu, você restaura em outro dispositivo offline.

O preço a pagar é o atrito. Gastar a partir da cold storage é um ritual deliberado de várias etapas, não um toque na tela. E esse atrito é o ponto: é a mesma razão pela qual os bancos guardam a maior parte das reservas no cofre, e não na gaveta do caixa. Para a poupança de longo prazo que você raramente movimenta, a inconveniência é invisível; para o gasto do dia a dia, mantenha uma carteira quente pequena abastecida e trate o cofre air-gapped como sua tesouraria.

O Que Você Precisa Antes de Começar

Você não precisa de hardware exótico. Toda a configuração pode ser montada com um notebook aposentado e um par de pendrives, ou com um assinador de hardware dedicado. O que importa é que o ambiente de assinatura esteja genuinamente isolado e que todo software que você executar tenha sido verificado.

A máquina offline

Duas abordagens dominam. A primeira é um computador permanentemente offline — um notebook velho com a placa Wi-Fi e o módulo Bluetooth fisicamente removidos ou desativados no firmware, rodando uma instalação Linux limpa que nunca se conecta a um roteador. A segunda, e mais acessível, é o Tails: um sistema operacional ao vivo e amnésico que você inicializa a partir de um pendrive. O Tails esquece tudo ao desligar, então cada sessão começa do zero, e você pode manter seus arquivos de carteira em um volume persistente criptografado separado ou em um segundo pendrive.

Software de carteira verificado

Seja lá o que você for executar, verifique. Baixe o pacote oficial Monero GUI/CLI, depois confira a assinatura GPG contra a chave do mantenedor publicada em getmonero.org e confirme que o hash SHA-256 bate com o arquivo de hashes assinado. Esse único passo derrota o ataque mais comum do mundo real: um instalador adulterado que registra silenciosamente a sua seed. A Feather Wallet, um cliente comunitário leve, também é excelente para configurações frias e entrega builds reproduzíveis que você pode verificar do mesmo jeito.

Um meio de transferência

Os dados precisam atravessar o air-gap de alguma forma sem abrir um caminho de rede. Suas opções são um pendrive (simples, mas o controlador USB é tecnicamente um vetor de ataque), um cartão microSD ou — a escolha mais paranoica — QR codes animados escaneados por uma câmera, que não carregam nenhum payload executável. Para a maioria das pessoas, um pendrive dedicado usado só para essa finalidade é um equilíbrio razoável entre segurança e conveniência.

Opções de Cold Storage Comparadas

Não existe uma única configuração "melhor"; a certa depende de quanto você está guardando e com que frequência vai mexer nela. A tabela abaixo compara as três abordagens predominantes especificamente para o Monero.

OpçãoPrósContras
Notebook offline dedicado (Monero CLI/GUI) Controle total; suporta o fluxo completo de assinatura a frio; gratuito se você já tem hardware antigo; nenhum firmware de terceiros para confiar Volumoso; você gerencia a própria higiene do sistema operacional; configuração inicial mais lenta
Tails em pendrive (SO ao vivo amnésico) Estado limpo a cada boot; portátil; nada persiste em disco por padrão; fácil de verificar Configurar a persistência tem curva de aprendizado; você reverifica os binários, a menos que estejam no volume persistente
Carteira de hardware (Ledger / Trezor Model T) A Spend key nunca sai do elemento seguro; compacta; pareia com uma carteira watch-only online Firmware fechado (Ledger); sincronização de XMR mais lenta; você confia na cadeia de suprimentos do fabricante

Carteiras de hardware e a abordagem do notebook air-gapped não são filosofias mutuamente excludentes — ambas mantêm a Spend key fora da internet. Um dispositivo de hardware é, em essência, um assinador air-gapped feito sob medida, com uma telinha. Se você valoriza a auditabilidade e já tem hardware sobrando, o caminho do notebook offline lhe dá o controle mais profundo. Se você quer algo que caiba no bolso e seja à prova de erros, uma carteira de hardware pareada a uma carteira watch-only no desktop é difícil de superar.

Como Construir Seu Cofre Air-Gapped de Monero

A arquitetura é um sistema de duas carteiras. A carteira fria vive na máquina offline e guarda as duas chaves — é o único lugar onde a sua Spend key existe. A carteira watch-only vive em uma máquina conectada à internet e guarda apenas a View key mais o endereço público, então ela consegue ver depósitos e montar transações não assinadas, mas nunca pode autorizar um gasto. Eis o ciclo de vida completo.

  1. Prepare e verifique o ambiente offline. Inicialize o Tails ou seu notebook air-gapped. Copie os binários do Monero verificados via USB, confirme a assinatura GPG e o hash SHA-256 mais uma vez na máquina offline e então extraia-os. Não conecte essa máquina a nenhuma rede daqui em diante.
  2. Gere a carteira fria offline. Execute o monero-wallet-cli e crie uma nova carteira. Anote a seed mnemônica de 25 palavras no papel — nunca fotografe, nunca digite em um aparelho online. Essa seed sozinha restaura a carteira inteira, então trate o papel como o ouro que ele representa e considere um backup em aço para resistir a fogo e água.
  3. Exporte as credenciais somente de visualização. Na carteira fria, execute export_view_key (ou anote a View key secreta e o endereço primário). Salve a View key e o endereço no seu meio de transferência. Esse é o único segredo que sai do cofre e, por design, ele não consegue mover fundos.
  4. Crie a carteira watch-only online. No seu computador do dia a dia, use o monero-wallet-cli --generate-from-view-key (ou a opção "Criar carteira a partir de chaves" da GUI) com a View key e o endereço. Deixe-a sincronizar contra um nó remoto ou, melhor ainda, seu próprio nó. Essa carteira agora exibe seu saldo e os pagamentos recebidos sem nunca segurar a Spend key.
  5. Receba fundos. Compartilhe seu endereço primário ou um Subaddress novo para receber XMR. Cada pagamento chega a um endereço furtivo único na blockchain; a carteira watch-only os decodifica com a View key e mostra o saldo subindo.
  6. Monte a transação não assinada online. Quando quiser gastar, a carteira watch-only primeiro exporta seus outputs (export_outputs) para a carteira offline, para que o lado frio saiba o que controla, depois constrói uma transação não assinada (transfer, que grava um arquivo unsigned_monero_tx) e importa as key images resultantes.
  7. Assine offline. Leve a transação não assinada até a máquina air-gapped. Carregue a carteira fria, execute sign_transfer, revise o destino e o valor com cuidado na tela offline e gere um arquivo signed_monero_tx. A Spend key assina aqui e em nenhum outro lugar.
  8. Transmita online. Mova o arquivo assinado de volta para a carteira watch-only online e execute submit_transfer. A carteira o repassa para o mempool — protegido em trânsito pelo Dandelion++ — e a rede o confirma como qualquer outra transação.
Nunca restaure a seed de 25 palavras da sua carteira fria em uma máquina que já esteve online "só para conferir o saldo". Esse único atalho é como a maioria das perdas em autocustódia acontece de verdade.

A primeira execução parece lenta porque você está aprendendo o ritmo do air-gap. Depois de duas ou três transações, o ciclo exportar–assinar–enviar vira memória muscular, e você movimentará saldos de seis dígitos com a mesma calma de quem abre uma planilha.

Um Exemplo de Configuração no Mundo Real

Pense em uma freelancer brasileira que, depois das deslistagens motivadas pela MiCA em 2024 e diante do aperto regulatório do Banco Central por aqui, decidiu parar de confiar a poupança a plataformas custodiais. Ela comprou um ThinkPad usado por R$ 350 no mercado de seminovos, removeu a placa Wi-Fi e instalou o Tails em um pendrive com um volume persistente criptografado para os arquivos de carteira. Depois de verificar os binários do Monero contra a chave de assinatura de getmonero.org, ela gerou uma carteira fria offline e gravou a seed em uma placa de backup de aço guardada em outro local — na casa dos pais, em outra cidade.

No notebook do dia a dia, ela criou uma carteira watch-only a partir da View key e a apontou para o próprio nó podado (pruned node). A cada poucas semanas ela abastece o cofre trocando BTC comprado com reais por XMR — por exemplo, pelo fluxo sem cadastro do MoneroSwapper — e enviando direto para um Subaddress novo. Para pagar uma nota fiscal eventual, ela monta a transação não assinada online, leva o pendrive até o ThinkPad, assina com sign_transfer e transmite. Custo marginal total por gasto: cerca de três minutos e zero exposição da Spend key. Ela ainda mantém a planilha de aquisições atualizada para a declaração de imposto de renda, já que a obrigação de declarar à Receita Federal independe de onde os ativos estão custodiados.

Esse padrão escala de algumas centenas de reais à poupança de uma vida inteira sem mudar. O mesmo fluxo de trabalho que protege a reserva de emergência de uma freelancer protege o orçamento de proteção de fontes de um jornalista ou a reserva de valor de longo prazo de uma família — o modelo de ameaça difere, a disciplina de cold storage não.

Perguntas Frequentes

Preciso manter minha máquina air-gapped ligada para receber Monero?

Não. Os pagamentos recebidos são registrados na blockchain e detectados pela sua carteira watch-only online usando a View key. A máquina offline só precisa estar ligada quando você quiser assinar uma transação de saída. Você pode deixá-la desligada em uma gaveta por meses e o saldo ainda estará lá quando você a inicializar.

Uma carteira de hardware pode substituir um notebook air-gapped completo?

Para a maioria dos usuários, sim. Uma Ledger ou Trezor Model T mantém a sua Spend key dentro de um elemento seguro que nunca a expõe ao computador conectado, o que alcança o mesmo objetivo central de um air-gap. A contrapartida é que você confia no firmware fechado e na cadeia de suprimentos do fabricante. Se o seu modelo de ameaça inclui esse risco, uma configuração open-source verificada em um notebook offline ou no Tails lhe dá auditabilidade total.

O que acontece se meu computador offline quebrar ou for roubado?

Nada se perde, desde que sua seed mnemônica de 25 palavras esteja segura. A seed é o backup-mestre tanto da Spend key quanto da View key. Restaure-a em qualquer outra máquina offline e sua carteira inteira — saldo, histórico e capacidade de gasto — volta exatamente como estava. É por isso que proteger a seed (idealmente em aço, em outro local) importa mais do que proteger o próprio aparelho.

É perigoso expor a View key?

A View key permite que alguém veja suas transações recebidas e seu saldo, mas não consegue gastar um único piconero. Expô-la prejudica a sua privacidade, não os seus fundos. Trate-a como confidencial — não a publique abertamente — mas entenda que, mesmo no pior caso, um atacante com apenas a sua View key é um espectador, nunca um ladrão.

As próximas atualizações de protocolo vão quebrar minha carteira fria?

Não. Grandes atualizações como a FCMP++ (Full-Chain Membership Proofs) e o redesenho de carteira de longo prazo Seraphis/Jamtis mudam como as transações provam pertencimento e como os endereços funcionam, mas a sua seed continua sendo a raiz dos seus fundos. Você simplesmente atualiza o software da carteira e refaz a varredura; suas chaves derivadas da seed atravessam os hard forks. Sempre atualize os binários offline pelo mesmo canal verificado antes de transacionar após uma atualização de rede.

Conclusão

Um cofre air-gapped de Monero é aquele raro upgrade de segurança que custa quase nada e muda quase tudo: um notebook aposentado, um pendrive, um download verificado e uma seed gravada em aço lhe dão uma custódia que nenhuma deslistagem de corretora, congelamento de conta ou exploit remoto consegue tocar. A divisão em duas carteiras — uma View key watch-only online, a Spend key lacrada offline — foi feita sob medida exatamente para isso, então você trabalha a favor do design do Monero, não contra ele.

Construa o cofre primeiro, depois abasteça-o nos seus próprios termos. Quando estiver pronto para adicionar XMR sem entregar sua identidade a uma plataforma custodial, você pode trocar para Monero pelo MoneroSwapper e enviá-lo direto para um endereço frio que você gerou offline — fechando o ciclo de uma configuração que mantém a sua poupança genuinamente sua.

🌍 Leia em

English Português Español Français Deutsch Русский Italiano Indonesia 中文 Tiếng Việt 日本語 ไทย 한국어 العربية हिन्दी Türkçe Filipino Melayu עברית فارسی

Compartilhe este artigo

Artigos Relacionados

Como Trocar XMR por BTC pela Cake Wallet: Passo a Passo

May 30, 2026

XMR para BTC OTC: Guia de Swap de Grande Volume 2026

May 30, 2026

Riscos de Privacidade XMR para BTC: O Que Você Perde em 2026

May 30, 2026

Como Trocar XMR por BTC Lightning Network em 2026

May 30, 2026

A Atomic Wallet vaza a privacidade do seu Monero?

May 30, 2026

Alternativas ao Atomic Wallet para Monero em 2026

May 30, 2026

Exchange de Monero Anônima

Sem KYC • Sem Cadastro • Troca Instantânea

Trocar Agora