BIP39: Palavras-chave mnemônicas para backup de carteira Bitcoin
Aproximadamente 3,7 milhões de bitcoins estão em carteiras que ninguém consegue acessar. Isso representa cerca de um quinto de todas as moedas já cunhadas. Um estudo da Chainalysis de 2020 estimou esse número, e analistas continuam a citá-lo em 2026 porque a cifra praticamente não muda. A maioria dessas moedas pertence a pessoas comuns que simplesmente perderam a frase mnemônica. Do outro lado do mesmo problema, a Chainalysis contabilizou 158.000 invasões de carteiras pessoais em 2025, que resultaram em um prejuízo de cerca de US$ 713 milhões para aproximadamente 80.000 vítimas. Dois modos de falha. Um documento no centro de ambos. O BIP39, a especificação que define o significado real de suas doze ou vinte e quatro palavras, está na base de tudo isso.
Por que o backup BIP39 é importante em 2026
Uma nova carteira digital lhe entrega uma folha de papel com doze palavras e diz para você anotá-las em um lugar seguro. O que você está vendo é uma frase mnemônica BIP39. Cuide bem dela e será o backup mais seguro que você pode ter. Trate-a com descuido e será a coisa mais fácil do mundo de perder. Transfira as palavras de volta para qualquer carteira compatível em qualquer dispositivo e seus fundos serão recuperados. Perca-as e não haverá suporte.
A dimensão de ambos os resultados agora é mensurável. A cifra de 3,7 milhões de BTC foi construída a partir de moedas intocadas por pelo menos cinco anos em carteiras antigas, e praticamente não se alterou. No que diz respeito a roubos, o relatório de dezembro de 2025 da Chainalysis contabiliza US$ 3,4 bilhões roubados ao longo do ano, dos quais US$ 713 milhões foram provenientes de 158.000 incidentes envolvendo carteiras pessoais. O mesmo relatório atribui 43,8% dessas perdas em carteiras pessoais a chaves privadas comprometidas, que, em termos simples, significam basicamente uma frase mnemônica roubada.
Todas as carteiras modernas implementam o BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic — todas elas. A interoperabilidade é o objetivo principal do padrão, pois uma frase mnemônica gerada em uma carteira precisa ser restaurável em outra. Entender o que o BIP39 realmente é, tanto matematicamente quanto operacionalmente, é mais importante do que memorizar o fluxo de recuperação de uma marca específica.
O que realmente são a frase mnemônica e a lista de palavras do BIP39?
Uma frase mnemônica BIP39 tem vários nomes. Frase de recuperação. Frase mnemônica. Código mnemônico. Sentença mnemônica. Semente da carteira. Todas descrevem a mesma coisa: uma sequência de palavras que codifica a mesma informação que uma chave criptográfica bruta, só que muito mais difícil de ser escrita incorretamente. Doze ou vinte e quatro palavras de uma lista fixa de 2.048 palavras em inglês cuidadosamente escolhidas. "Abandon" está na posição 1. "Zoo" fecha a lista na posição 2.048. "Satoshi" está escondida na posição 1.532, no meio, uma pequena referência ao criador pseudônimo do Bitcoin.
Marek Palatinus e Pavol Rusnak (Slush Pool, posteriormente SatoshiLabs e Trezor) escreveram a especificação em 10 de setembro de 2013, juntamente com Aaron Voisine e Sean Bowe. A Proposta de Melhoria do Bitcoin 39 (BIP39) nunca foi oficialmente promovida ao status "Final" no repositório BIP. Mesmo assim, tornou-se o padrão de fato da indústria em cerca de dois anos. Hoje, existem dez listas de palavras oficiais, todas com exatamente 2.048 palavras: inglês, japonês, coreano, chinês simplificado, chinês tradicional, espanhol, francês, italiano, tcheco e português.
A lista de palavras foi intencionalmente elaborada para facilitar a consulta. Cada entrada é identificada exclusivamente por suas quatro primeiras letras, de modo que "abandono" e "habilidade" nunca se sobrepõem, mesmo à primeira vista, e erros de digitação no final da palavra não comprometem a frase. Os autores removeram pares que compartilhavam um prefixo de quatro letras, palavras muito raras ou arcaicas e homófonos óbvios.
| Posição na lista de palavras | Palavra | Notas |
|---|---|---|
| #1 | abandonar | Primeira palavra da lista em inglês |
| #1.532 | Satoshi | Uma homenagem ao criador pseudônimo do Bitcoin. |
| #2.048 | jardim zoológico | Última palavra na lista em inglês |
Em conjunto com a chave hexadecimal que representa, a sequência mnemônica é curta, fácil de ler e pode ser escrita em uma única folha de papel. Uma chave privada de 256 bits tem a seguinte aparência: `4a533d1654b17deecf2a6...`, enquanto a mesma chave, codificada como uma semente BIP39 de 24 palavras, se lê como vinte e quatro palavras comuns em inglês. Ambas contêm a mesma entropia. Apenas uma delas pode ser lida em voz alta para um parceiro ao telefone sem parecer insano.
Gerando o Mnemônico: Como o BIP39 Constrói o Código
A geração é rápida e vale a pena explicar passo a passo. Primeiro passo: extraia 128 bits de entropia de um gerador de números aleatórios criptograficamente seguro (256 bits se você quiser a versão de 24 palavras). Segundo passo: aplique o algoritmo SHA-256 a esses bits de entropia. Pegue os primeiros 4 bits do hash — ou 8 bits, no caso de 256 bits — e adicione-os à sua entropia. Esse é o seu checksum. Agora você tem 132 bits, ou 264 bits.
O terceiro passo é mecânico. Divida os bits em blocos de 11 bits. Cada bloco é um número de 0 a 2.047, que corresponde diretamente à lista de palavras. 132 dividido por 11 resulta em 12 palavras. 264 dividido por 11 resulta em 24. O checksum realiza o trabalho pesado posteriormente — ao restaurar, a carteira recalcula o SHA-256 e rejeita qualquer item que falhe na verificação, portanto, um erro de digitação na última palavra geralmente é detectado imediatamente, em vez de restaurar silenciosamente uma carteira vazia.
O espaço de busca por força bruta é a parte que ninguém comunica claramente. Uma frase de 12 palavras tem 2.048^12 ≈ 5,4 × 10^39 combinações válidas após a restrição de checksum. Uma frase de 24 palavras tem 2.048^24 ≈ 3 × 10^79. Imagine um atacante hipotético tentando adivinhar 10^18 chaves por segundo. Mesmo no caso de 128 bits, levaria cerca de 10 quatrilhões de anos. Para se ter uma ideia: existem cerca de 10^80 átomos no universo observável. Nenhum ataque público em 2025 conseguiu quebrar uma frase mnemônica BIP39 por força bruta. Todas as perdas documentadas resultaram de frases roubadas, nunca de frases adivinhadas.
Mais um passo antes que as palavras realmente desbloqueiem algo. A frase mnemônica é inserida no PBKDF2-HMAC-SHA512, com 2.048 iterações, com um "salt" contendo a string literal "mnemonic" concatenada com uma senha opcional. O resultado de 512 bits é a semente propriamente dita. Essa semente é o que o BIP32 (a camada seguinte) usa para derivar cada chave privada real na carteira.
Mnemônico, semente, chaves — três coisas diferentes, três camadas. Essa divisão é o motivo pelo qual uma frase-senha pode gerar uma carteira completamente diferente a partir das mesmas doze palavras. Altere a frase-senha e o salt muda, a semente muda, todas as chaves mudam.
BIP39 vs BIP32 vs BIP44: Como as camadas se empilham
Eis o momento de terror para iniciantes. Você transfere suas doze palavras corretas para uma carteira diferente. A nova carteira mostra saldo zero. As palavras estavam corretas. O caminho de derivação, não. BIP39, BIP32 e BIP44 são três Propostas de Melhoria do Bitcoin diferentes que, juntas, transformam sua frase mnemônica em endereços reais, e quaisquer dois softwares que discordem sobre o caminho simplesmente procurarão no ramo errado da árvore.
| Padrão | Ano | Trabalho |
|---|---|---|
| BIP32 | 2012 | Carteiras hierárquicas determinísticas — transforme uma semente em uma árvore de chaves. |
| BIP39 | 2013 | Codificação mnemônica da semente |
| BIP44 | 2014 | Caminho de derivação padrão: m/44'/coin'/account'/change/index |
Se sua carteira usa um caminho não padrão (algumas ferramentas mais antigas ou específicas de hardware fazem isso), uma restauração em outra carteira não mostrará nada até que você defina o caminho manualmente. As palavras não são perdidas. A lista de endereços está apenas sendo lida de um ramo diferente da mesma árvore. Vale a pena saber disso antes de entrar em pânico.
12 vs 24 palavras e a senha
O debate entre 12 e 24 palavras é em grande parte acadêmico. Doze palavras fornecem 128 bits de entropia, enquanto vinte e quatro fornecem 256. Ambos os números estão absurdamente além de qualquer ataque de força bruta viável, e a versão de 128 bits é o padrão AES para dados ultrassecretos do governo americano. Vinte e quatro palavras protegem contra futuros ataques quânticos ao espaço de busca; doze ainda não são suficientes para quebrá-lo nos modelos atuais.
O controle realmente interessante é a senha, às vezes chamada de "a 25ª palavra". Qualquer sequência de caracteres escolhida, de qualquer comprimento, é misturada ao salt PBKDF2 antes da geração da seed. Senha diferente, carteira diferente, mesmas palavras. Isso possibilita um recurso exclusivo do BIP39: negação plausível. Não há como provar a existência de uma senha, porque cada senha possível gera uma carteira válida (ainda que vazia). Um usuário sob coação pode entregar as doze palavras para uma carteira "isca" contendo uma pequena quantia, enquanto os fundos reais ficam protegidos por uma senha que só ele se lembra. A pegadinha é simétrica. Se a senha for perdida, a carteira associada a ela desaparece para sempre — sem recuperação, sem suporte técnico.
Roubo real da frase-semente do BIP39: o que 2023-2025 nos ensinou
Se a matemática é inquebrável, os humanos que a envolvem não são. Os últimos três anos foram um verdadeiro manual de exemplos de falhas.
Em junho de 2023, a Atomic Wallet sofreu um ataque que resultou em um prejuízo de mais de US$ 100 milhões, afetando pelo menos 5.500 contas de usuários. A Elliptic atribuiu a operação ao grupo norte-coreano Lazarus. A Atomic alegou que menos de 0,1% de seus 5 milhões de usuários foram afetados. A causa raiz do ataque ainda não foi formalmente confirmada, mas é evidente que o material de seed armazenado nos dispositivos foi comprometido.
Em 14 de dezembro de 2023, o pacote npm "Connect Kit" da Ledger foi sequestrado por aproximadamente cinco horas através do token npm de um ex-funcionário vítima de phishing. Um código malicioso do grupo Angel Drainer foi inserido nas versões 1.1.5 a 1.1.7 e injetado silenciosamente em diversos aplicativos descentralizados (dApps) da EVM. Cerca de US$ 600.000 foram perdidos antes que a Ledger removesse o pacote. Isso não se tratava de uma falha no hardware da Ledger, mas sim de uma vulnerabilidade na cadeia de suprimentos relacionada a uma dependência JavaScript que afetava as carteiras dos usuários em uma camada diferente.
Os esquemas de drenagem de carteiras em escala industrial continuaram até 2024. O relatório de janeiro de 2025 do Scam Sniffer contabilizou US$ 494 milhões roubados por meio de scripts de drenagem, atingindo 332.000 endereços de vítimas, com o Inferno Drainer detendo uma participação de mercado de 40 a 45% e o Pink Drainer, 28%, antes de serem desativados. Muitas dessas vítimas forneceram frases-semente voluntariamente, em pop-ups falsos de "validação de carteira" que pareciam nativos do MetaMask ou Phantom.
A ameaça mais pessoal é o malware de área de transferência. A Kaspersky divulgou a campanha "GitVenom" em fevereiro de 2025: aproximadamente 5 BTC (cerca de US$ 485.000) foram perdidos por um código de substituição da área de transferência disseminado por meio de repositórios falsos do GitHub, com vítimas concentradas no Brasil, Turquia e Rússia. Um trojan separado, o ClipBanker, distribuído dentro de um instalador falso do Proxifier em 2025, atingiu mais de 2.000 usuários da Kaspersky em BTC, ETH, XMR, DOGE, SOL, TRX, XRP e XTZ — substituindo silenciosamente os endereços copiados por endereços controlados pelo atacante durante a colagem de dados.
A Chainalysis estimou as perdas em carteiras pessoais no final do ano em US$ 713 milhões, distribuídas em 158.000 incidentes, sendo que 43,8% delas foram atribuídas a chaves privadas comprometidas. O roubo se dá, em sua grande maioria, por meio de frases-semente.
Backup seguro da carteira Bitcoin BIP39: Papel, Metal, Shamir
A defesa prática é principalmente física. O papel resiste à tinta e a um arquivo bem guardado por anos, mas inflama-se por volta de 233 °C e um incêndio doméstico típico atinge temperaturas entre 600 °C e 1.100 °C. A cápsula Cryptosteel, feita de aço inoxidável 303/304, foi testada termicamente de forma independente, com dados legíveis a 1.350 °C. A Billfodl utiliza aço inoxidável de grau marítimo com classificação de aproximadamente 1.400 °C, de acordo com os materiais do fornecedor.
| Método | Aquecer | Água | Notas |
|---|---|---|---|
| Papel | Queima a aproximadamente 233°C | A tinta escorre. | Mais barato e substituível |
| Cápsula de Cryptosteel | Resiste a temperaturas de até 1.350°C. | Sim | Teste de calor independente |
| Billfodl | Classificação de 1.400°C | Sim | Avaliação do fornecedor |
| SLIP-39 (Shamir) | Depende do substrato | Depende | Divide a semente em partes M-de-N. |
Além do meio físico, duas escolhas estruturais são importantes. Mantenha duas cópias geograficamente separadas, caso um incêndio ou inundação destrua completamente um dos locais. E considere o compartilhamento secreto de Shamir por meio do SLIP-39, que a Trezor lançou no Model T em agosto de 2019. O SLIP-39 divide uma semente em múltiplas partes de vinte palavras, das quais qualquer M de N é suficiente para a recuperação. A equipe da Casa, por outro lado, rejeitou explicitamente o Shamir em favor do multisig geográfico como modelo de recuperação. Ambos os esquemas são projetados para eliminar o problema do ponto único de falha que o BIP39 simples possui por definição.
Carteiras de criptomoedas compatíveis com BIP39 em 2026
Quase tudo é compatível com BIP39, mas a interoperabilidade tem suas peculiaridades. Vale a pena saber quais carteiras usam quais caminhos de derivação antes de presumir que uma restauração será perfeita.
| Carteira | Correntes | Caminho padrão |
|---|---|---|
| Ledger Nano | BTC, ETH, mais de 5.500 ativos | BIP44 m/44'/moeda'/0' |
| Trezor Modelo T | BTC, ETH, muitos | Opção BIP44 / SLIP-39 |
| MetaMask | EVM | m/44'/60'/0'/0/índice |
| Fantasma | Solana, EVM | m/44'/501'/n'/0' para SOL |
| Carteira Coinbase | BTC, EVM, SOL | Padrão BIP44 |
Além do BIP39: Chaves de acesso, MPC e ERC-4337
2025 foi o primeiro ano em que uma alternativa viável e convencional ao BIP39 foi lançada. A Coinbase Smart Wallet, construída com base em chaves ERC-4337 e WebAuthn, ultrapassou a marca de um milhão de contas em agosto. Desse total, 270.000 foram adicionadas em um único dia, 16 de agosto, durante o lançamento do aplicativo Base. Os usuários fazem login com o reconhecimento facial ou a impressão digital que já utilizam para tudo, sem sequer visualizar uma frase mnem mesmo.
As contas inteligentes ERC-4337 agora somam mais de 40 milhões de implantações nas redes Ethereum e Layer 2. O número cumulativo de operações de usuários ultrapassou 100 milhões — um crescimento de aproximadamente 10 vezes em relação ao ano anterior, desde 2023. O EIP-7702, ativado com a atualização Pectra em maio de 2025, registrou 11.000 autorizações de EOA para contas inteligentes em sua primeira semana. O design do EIP-7702 permite que carteiras comuns se comportem como contas inteligentes sob demanda, sem descartar suas chaves existentes. No lado da infraestrutura, os provedores de carteiras integradas Privy (75 milhões de carteiras), Dynamic (mais de 50 milhões) e Web3Auth — agora MetaMask Embedded — (20 milhões de usuários ativos mensais) dependem de computação multipartidária ou assinaturas de limite. O usuário final nunca possui uma única seed BIP39.
Nada disso significa que o BIP39 esteja desaparecendo; o padrão está muito consolidado. A Ledger enviou seu dispositivo de número oito milhões em 2025 e aumentou as vendas em 31%. O que está acontecendo, na verdade, é uma clara bifurcação. O nível de usuário avançado — BIP39 mais uma carteira de hardware mais uma frase-senha — continua sendo o padrão ouro. O nível intermediário, por sua vez, está sendo silenciosamente absorvido por chaves de acesso e abstração de contas, projetadas para pessoas que nunca quiseram pensar em palavras.
Regras rápidas para quem possui uma semente BIP39
Cinco regras abrangem a maior parte dos riscos. Nunca digite as palavras em nenhum campo de texto conectado à internet, pois os pop-ups de phishing são especializados em capturar esse tipo de conteúdo. Nunca fotografe a frase também, já que as fotos são sincronizadas com nuvens que você não controla totalmente. Metal é melhor que papel para qualquer coisa que você pretenda guardar por um longo período. Teste a restauração em uma segunda carteira antes de confiar nela. E se você usar uma frase secreta, guarde-a fisicamente em um local separado — mesmo risco, local diferente, nunca na mesma gaveta.
