Esta seção é opcional. O protocolo da Seção 4 resolve o risco de 95% das situações para o perfil deste guia. O que segue é para quem tem patrimônio acima de R$3M em cripto, perfil técnico para absorver complexidade adicional, ou situações familiares que justificam camadas extras de segurança.
A seed phrase de 12 ou 24 palavras pode receber uma 25ª palavra escolhida por você, chamada de passphrase. Ela não é armazenada no dispositivo e não faz parte do backup padrão. Sem ela, a seed phrase acessa uma wallet completamente diferente (geralmente com saldo zero, servindo como isca em caso de coerção).
Risco que endereça: Roubo físico da seed phrase, coerção, ou compromisso de um dos locais de backup. Custo de implementação: Alto: se a passphrase for esquecida ou perdida, os ativos são irrecuperáveis. Requer documentação e gestão separada da passphrase, que nunca deve estar no mesmo local que a seed.
Multisig (múltipla assinatura) configura uma wallet que requer M de N assinaturas para qualquer transação, por exemplo 2 de 3 chaves. Nenhuma chave individual tem controle total. É o equivalente cripto de uma conta conjunta que exige duas assinaturas, mas com qualquer configuração de quórum.
Risco que endereça: Ponto único de falha em qualquer chave individual, coerção (nenhuma chave sozinha é suficiente), e distribuição de controle para herança sem exposição completa. Custo de implementação: Significativo em complexidade operacional: cada transação requer coordenação entre os custodiantes das chaves. Para famílias ou sócios que querem controle compartilhado, pode valer.
Shamir Backup permite dividir a seed phrase em N partes, das quais qualquer M são suficientes para recuperação (ex: 3 de 5). Diferentemente do multisig, ainda é uma única chave, mas o backup é distribuído de forma que nenhum fragmento individual compromete o segredo.
Risco que endereça: Distribuição do backup para múltiplos custódiantes sem que nenhum tenha acesso completo. Útil para planejamento de herança com múltiplos herdeiros. Custo de implementação: Moderado: requer dispositivos compatíveis com SLIP-39 (não todos os hardware wallets suportam) e gestão cuidadosa dos fragmentos.
Um dispositivo air-gapped é um computador ou hardware wallet que nunca foi conectado à internet, nem por cabo, nem por WiFi, nem por Bluetooth, desde o momento em que gerou as chaves. A comunicação com dispositivos conectados acontece por QR codes ou cartões SD, sem interface física de rede.
Risco que endereça: Ataques remotos, firmware malicioso injetado por update, e qualquer vetor de ataque que dependa de conectividade de rede. Custo de implementação: Alto: processos operacionais mais complexos para cada transação. Adequado para volumes muito grandes onde a inconveniência é justificada.
📋 Quando considerar o nível avançado
Patrimônio acima de R$2M em cripto: a complexidade adicional é justificada pelo tamanho do risco.
Estrutura familiar com múltiplos herdeiros: multisig ou Shamir permitem distribuição de controle sem exposição completa.
Perfil de risco que inclui coerção física: passphrase adicional cria plausible deniability estrutural.