- Ctrl Wallet encerra operações em 3 de agosto de 2026
- Usuários têm até 30 dias para exportar seed e migrar ativos
- Fechamento vem após exploit de US$ 2,4 milhões na SecondFi
A Ctrl Wallet, carteira multichain não-custodial antes conhecida como XDEFI, comunicou nesta terça-feira o encerramento definitivo de suas operações. A decisão chega semanas depois de um incidente de segurança que expôs fragilidades na estrutura técnica ligada ao ecossistema Cardano.
Segundo o comunicado oficial publicado pela equipe, todas as funcionalidades do aplicativo serão desativadas em 3 de agosto de 2026. A partir dessa data, envios, recebimentos e swaps deixam de funcionar. Só permanecerá disponível a exportação da frase de recuperação.
Os downloads foram interrompidos de imediato. Os responsáveis também removerão o app das lojas oficiais e das extensões de navegador nos próximos dias. Usuários que ainda mantêm saldo dentro da wallet têm cerca de 30 dias para migrar seus criptoativos para outros provedores compatíveis.
Seed de 12 e 24 palavras migra para MetaMask, Trust e Phantom
A equipe orienta os usuários a importar as frases-semente de 12 ou 24 palavras em carteiras como MetaMask, Trust Wallet e Phantom. Após o dia 3 de agosto, esse será o único caminho para recuperar acesso aos fundos vinculados aos endereços gerados pela Ctrl.
Não haverá token de migração nem airdrop de compensação. O aviso é direto, usuários devem tratar qualquer promessa de bônus, snapshot ou recompensa em redes sociais como golpe. Esse tipo de campanha maliciosa costuma explodir justamente em janelas de encerramento, quando o usuário está mais vulnerável e apressado.
A Ctrl Wallet listava entre 11 e 50 funcionários no LinkedIn e reportava mais de 650 mil usuários ativos por mês. A carteira dava suporte a mais de 2.500 redes, incluindo Cardano e Midnight, e era referência entre os wallets multichain focados no público DeFi.
Exploit na SecondFi drenou 16 milhões de ADA
O estopim do encerramento está na integração com a SecondFi, plataforma self-custodial construída sobre Cardano e desenvolvida pela Emurgo, braço com fins lucrativos da fundação da rede. Em abril, a Ctrl havia migrado sua arquitetura multichain para dentro do guarda-chuva da Emurgo, promessa que sustentaria o produto no longo prazo.
Em 24 de junho, uma vulnerabilidade na SecondFi permitiu o dreno de aproximadamente 16 milhões de ADA, equivalentes a US$ 2,4 milhões à época. Foram 374 endereços atingidos. Dias depois, a Emurgo divulgou um plano de recuperação e afirmou ter blindado cerca de 129 milhões de ADA em custódia de terceiros até a conclusão do processo de verificação.
Com o ADA cotado a US$ 0,1773, ou R$ 0,9182, o valor dos tokens desviados hoje seria substancialmente menor. Ainda assim, o dano reputacional foi grande demais para sustentar o produto.
Lei do Marco Cripto obriga brasileiro a guardar seed com cuidado
Para o investidor brasileiro que usa wallets não-custodiais, o caso serve de alerta prático. O Marco Legal dos Criptoativos (Lei 14.478/22), regulamentado pelo Banco Central, cobre apenas prestadoras de serviços registradas no país. Carteiras auto-custodiais estrangeiras ficam fora dessa proteção, e a responsabilidade pela seed recai inteiramente sobre o usuário.
Perder acesso à frase de recuperação neste momento significa perder acesso definitivo aos ativos, já que o aplicativo será descontinuado. Nem suporte técnico, nem procedimento judicial no Brasil conseguem reverter isso a chave privada é a única prova de propriedade em blockchain.
O episódio se soma a uma lista crescente de incidentes no ecossistema. Hacks em cripto bateram recorde no primeiro semestre de 2026, e as falhas em carteiras e protocolos DeFi respondem por parcela relevante das perdas. Ainda em julho, a Summer.fi sofreu um dreno de US$ 6 milhões confirmado pela Blockaid, reforçando o padrão de vulnerabilidades exploradas em interfaces integradas a múltiplas redes.
Para holders de ADA que mantinham posições na Ctrl, a recomendação da própria operadora é agir imediatamente. Contas ignoradas até 3 de agosto ficarão inacessíveis pelo app original, e a recuperação dependerá exclusivamente da importação manual em outra carteira compatível.