Ctrl Wallet encerra operação após vulnerabilidade em carteiras Cardano

A Ctrl Wallet, carteira multichain não custodial antes conhecida como XDEFI Wallet, confirmou que será desativada em definitivo em 3 de agosto de 2026. A decisão veio poucas semanas depois de a empresa divulgar um problema de segurança em 23 de junho, episódio que atingiu algumas carteiras Cardano dentro da plataforma. Desde então, a aplicação entrou em modo de manutenção enquanto a equipe dizia trabalhar para restaurar a funcionalidade completa e proteger os ativos dos usuários.

Agora, a decisão mudou de tom: em vez de retomar a operação normal, a empresa optou por desligar o produto. Segundo o comunicado publicado pela Ctrl, a partir de 3 de agosto, os recursos de envio, recebimento, troca de fundos e demais ações dentro do aplicativo deixarão de funcionar. A única exceção será a exportação da frase de recuperação, permitindo que o usuário leve sua carteira para outro software compatível.

Na prática, isso transforma as próximas semanas em uma janela de migração obrigatória para quem ainda mantém criptoativos na carteira. A Ctrl orientou os usuários a retirarem os fundos antes do prazo e informou que os downloads do aplicativo e da extensão de navegador serão interrompidos imediatamente, com remoção das lojas logo em seguida.

O que muda para os usuários até 3 de agosto de 2026

A orientação oficial da empresa é clara: quem ainda usa a Ctrl Wallet deve mover os ativos antes de 3 de agosto de 2026. Até essa data, o usuário ainda pode transferir fundos para outra carteira ou para uma exchange de sua escolha. Depois do encerramento, o aplicativo não servirá mais para movimentar cripto; ele ficará restrito à exportação da seed phrase de 12 ou 24 palavras.

A Ctrl citou algumas carteiras compatíveis para essa migração, incluindo MetaMask, Trust Wallet e Phantom. Isso não significa que qualquer ativo aparecerá automaticamente em qualquer carteira: como a Ctrl era uma carteira multichain, o usuário precisa confirmar se a nova solução suporta a mesma rede e o mesmo padrão de ativo que ele mantinha no app. O ponto central é que a empresa quer evitar que o usuário deixe a migração para depois do desligamento.

A carteira também fez um alerta importante de segurança: não haverá token de migração nem airdrop oficial ligado ao encerramento. A empresa pediu que usuários ignorem publicações em redes sociais, sites ou mensagens privadas prometendo incentivos, distribuição de tokens ou “recompensas de transição”. Esse aviso é relevante porque eventos de desligamento de carteira costumam atrair golpes oportunistas.

Falha foi reportada em 23 de junho e afetou parte do ambiente Cardano

O gatilho para o fechamento foi um incidente revelado pela própria Ctrl em 23 de junho. Na ocasião, a empresa informou ter detectado um problema de segurança que afetou algumas carteiras Cardano dentro da plataforma. O comunicado inicial não detalhou, no texto da Cointelegraph, quantos usuários foram atingidos nem o volume exato de perdas ligado à Ctrl Wallet em si, mas a gravidade foi suficiente para colocar o produto em modo de manutenção e, agora, levá-lo ao encerramento.

A cronologia importa porque mostra que a empresa não desligou a carteira no mesmo dia da falha. Primeiro, ela interrompeu parte da operação para conter risco e ganhar tempo para a equipe de engenharia. Depois, com o avanço da crise e o contexto do ecossistema em torno da SecondFi, veio a decisão de encerrar a marca Ctrl e forçar a migração dos usuários.

Esse tipo de desfecho é incomum porque carteiras não custodiais normalmente tentam sobreviver ao incidente por meio de correções, auditorias ou relançamentos. No caso da Ctrl, o caminho escolhido foi mais radical: desligar o app, manter apenas a função de exportação da seed e tirar o produto das lojas.

Relação com a Emurgo e a transição para a SecondFi

A história fica mais relevante porque a Ctrl não era um produto isolado. Em 29 de abril de 2026, a empresa anunciou sua transição para a Emurgo, afirmando que sua arquitetura multichain continuaria dentro da SecondFi. A Emurgo é descrita como o braço com fins lucrativos da Cardano, e a SecondFi surgiu após um rebranding ligado à carteira Yoroi.

Isso coloca o encerramento da Ctrl dentro de um contexto mais amplo de reorganização do ecossistema de carteiras ligado à Cardano. A tese parecia ser absorver a experiência multichain da Ctrl dentro de uma nova estrutura, com a SecondFi como produto central. Só que, no meio desse processo, uma falha de segurança atingiu justamente esse novo ambiente.

A Cointelegraph relembra que a SecondFi sofreu uma exploração em 24 de junho, um dia após a divulgação do problema na Ctrl. Esse ataque permitiu o dreno de fundos de usuários e acabou conectando a crise da Ctrl ao momento mais delicado da nova estratégia da Emurgo no segmento de autocustódia.

Exploit da SecondFi drenou 16 milhões de ADA e ampliou a crise

Segundo a reportagem, a vulnerabilidade na SecondFi permitiu que invasores drenassem 16 milhões de ADA, valor equivalente a cerca de US$ 2,4 milhões no momento do incidente. O caso afetou diretamente usuários da plataforma e aprofundou o dano reputacional do ecossistema que estava absorvendo a Ctrl Wallet.

Dias depois, a SecondFi anunciou um plano de recuperação para reembolsar os usuários afetados em 374 endereços de carteira. A empresa também informou que conseguiu 129 milhões de ADA por meio de medidas emergenciais e transferiu esses fundos para um custodiante independente, onde os recursos permaneceriam até a conclusão do processo de verificação e recuperação.

Esses números ajudam a entender por que o fechamento da Ctrl não pode ser lido como um evento isolado de produto. Ele acontece em meio a um incidente maior envolvendo a infraestrutura associada à Emurgo e à SecondFi. Em outras palavras, o usuário da Ctrl não está apenas vendo sua carteira ser descontinuada; ele está acompanhando o colapso de confiança de uma frente inteira de autocustódia ligada à Cardano.

Ctrl tinha até 650 mil usuários mensais e suporte a mais de 2.500 redes

A dimensão do caso aumenta quando se olha o porte da carteira. A Ctrl Wallet informa em sua página no LinkedIn que tinha entre 11 e 50 funcionários e mais de 650 mil usuários mensais. A plataforma também afirmava oferecer suporte a mais de 2.500 redes blockchain, incluindo Cardano e Midnight.

Esse dado é importante porque mostra que o encerramento não afeta uma ferramenta pequena e obscura. Mesmo que a base ativa real de usuários com fundos na carteira possa ser menor do que o número de visitantes mensais, trata-se de um produto com presença relevante no mercado de autocustódia multichain. Para muita gente, a Ctrl funcionava como porta de entrada para administrar ativos em diferentes ecossistemas sem depender de várias carteiras separadas.

O fechamento também pressiona a confiança em processos de fusão, rebranding e integração no setor de wallets. Quando uma carteira com centenas de milhares de usuários mensais entra em manutenção, sofre impacto de uma falha e decide desligar o produto em pouco mais de um mês, o mercado passa a olhar com mais cuidado para promessas de migração “sem atrito” entre marcas, apps e infraestruturas.

O que o investidor precisa fazer agora e quais riscos evitar

Para quem ainda usa a Ctrl Wallet, a prioridade não é especular sobre o token de Cardano nem tentar “adivinhar” o próximo movimento da Emurgo. A prioridade é operacional: retirar os ativos com segurança antes de 3 de agosto. Isso inclui verificar seed phrase, testar acesso à carteira, conferir em qual rede cada ativo está e escolher um destino compatível.

Os riscos mais óbvios neste momento são os golpes de migração. Como a própria Ctrl informou que não haverá airdrop, token de migração nem programa de incentivo, qualquer mensagem oferecendo “bônus para migrar” deve ser tratada como potencial fraude. O usuário também precisa evitar clicar em links de perfis falsos, extensões não verificadas ou páginas que peçam a seed phrase diretamente.

Em termos práticos, o checklist para quem ainda tem fundos na carteira é simples:

IndicadorDado citado na notícia
Data da falha reportada pela Ctrl23 de junho de 2026
Desativação total da carteira3 de agosto de 2026
Função mantida após o prazoexportação da seed phrase
Seeds suportadas para exportação12 ou 24 palavras
Exploit na SecondFi16 milhões de ADA
Valor estimado do exploitcerca de US$ 2,4 milhões
Endereços afetados na SecondFi374
Fundos emergenciais obtidos pela SecondFi129 milhões de ADA
Usuários mensais da Ctrlmais de 650 mil
Redes suportadas pela Ctrlmais de 2.500