Como baixar a MetaMask com segurança (e verificar se é real)

A única fonte oficial, como confirmar a extensão real e uma checagem de checksum de 30 segundos — para que a carteira que você instala seja a que os desenvolvedores publicaram.

Guias de segurança · 7 min · Atualizado jun 2026

Cerca de 90% dos roubos de cripto começam com phishing, e um dos ataques mais simples também é dos mais eficazes: uma MetaMask falsa. Os golpistas compram anúncios de "baixar MetaMask", clonam o site em um domínio com erro de digitação e publicam extensões que imitam a real. A falsificação se comporta exatamente como a carteira autêntica — até você digitar sua frase secreta de recuperação, momento em que seus fundos somem.

A boa notícia: evitar isso é mecânico. Baixe da única fonte oficial, confirme que a página é genuína e verifique o próprio arquivo. Veja como fazer as três coisas.

As únicas fontes oficiais da MetaMask

O site

Existe exatamente um site oficial: metamask.io/download. Digite-o manualmente ou abra a partir de um favorito salvo. Não chegue a ele por um anúncio de busca, um link de e-mail ou mensagem, nem por um resultado de "MetaMask" não verificado — essas são as formas mais comuns de cair em um clone. Antes de baixar, verifique o cadeado SSL e leia o domínio caractere por caractere (cuidado com typosquats como metarnask.io ou metamask-app.com).

As lojas de navegadores e apps

A partir de metamask.io, o botão de download leva à página legítima da Chrome Web Store, Firefox Add-ons, Brave ou Edge. No celular, redireciona à página real da App Store ou Google Play. As lojas são moderadas, o que acrescenta uma camada de proteção, mas falsificações ainda passam, então o próximo passo importa.

Como confirmar que a extensão é a MetaMask real

Antes de clicar em "Adicionar ao navegador", verifique a página:

  • ID da extensão. O ID oficial da extensão da MetaMask no Chrome é nkbihfbeogaeaoehlefnkodbefgpgknn. Ele aparece na URL da loja logo após /detail/. Se o ID for outro, não é a MetaMask.
  • Nome do desenvolvedor. O publicador deve ser "MetaMask". Procure o selo de publicador verificado da loja.
  • Número de usuários. A extensão autêntica tem mais de 10 milhões de usuários e milhares de avaliações. Uma página com algumas centenas de usuários é falsa.
  • Ícone. O ícone da raposa deve coincidir exatamente; falsificações costumam alterar levemente as cores ou proporções.
Sinal de alerta: uma extensão "MetaMask" publicada há pouco, com poucos usuários ou com um ID diferente de nkbihfbeogaeaoehlefnkodbefgpgknn. Remova-a e instale a partir de metamask.io/download.

Como verificar o arquivo que você baixou

Para versões de desktop e instalações manuais, você pode provar que o arquivo não foi adulterado — sem precisar confiar em ninguém.

O que um checksum prova

Um checksum SHA-256 é uma impressão digital única de um arquivo. Mude um único byte — por exemplo, injetando malware — e todo o hash muda. Então, se o hash do seu download bate com o que os desenvolvedores publicaram, você tem exatamente o arquivo que eles distribuíram.

Verifique em 30 segundos

  1. Baixe a MetaMask da fonte oficial acima.
  2. Abra o verificador SHA-256 no navegador da WalletGuard e arraste seu arquivo para a área indicada. O hash é calculado localmente no seu navegador: nada é enviado.
  3. Compare o resultado com o valor SHA-256 publicado pela MetaMask, também listado na nossa página de download oficial da MetaMask.
  4. Hashes iguais → o arquivo é autêntico. Se diferirem, apague-o e baixe novamente da fonte oficial.
Novo em checksums? Nosso guia completo para verificar qualquer download de carteira explica SHA-256 e assinaturas GPG no Windows, macOS e Linux.

Após a instalação: proteja sua frase de recuperação

Baixar com segurança é metade do trabalho. A outra metade é nunca entregar suas chaves a um invasor:

  • A MetaMask nunca pede sua frase secreta de recuperação durante o uso normal — apenas quando você restaura deliberadamente uma carteira em um novo dispositivo. Qualquer site, pop-up ou "agente de suporte" que peça isso está roubando você.
  • A MetaMask não tem suporte por telefone. Qualquer número que diga ser "suporte da MetaMask" é golpe.
  • Guarde sua frase de recuperação offline, nunca em captura de tela, nota na nuvem ou e-mail.

Perguntas frequentes

Qual é a URL oficial de download da MetaMask?

A única fonte oficial é metamask.io/download, que leva às lojas de extensões verificadas e às páginas legítimas da App Store e do Google Play. Digite-a manualmente ou use um favorito; nunca baixe a MetaMask por anúncios ou links de e-mail.

Como sei se uma extensão da MetaMask é real?

Confirme que o desenvolvedor é "MetaMask", que a página tem mais de 10 milhões de usuários e milhares de avaliações, que o ícone da raposa está correto e que o ID da extensão do Chrome é nkbihfbeogaeaoehlefnkodbefgpgknn. Uma página nova ou com poucas avaliações é falsa.

Qual é o ID oficial da extensão da MetaMask no Chrome?

É nkbihfbeogaeaoehlefnkodbefgpgknn, visível na URL da página após /detail/. Se o ID for diferente, não instale.

Posso verificar o arquivo da MetaMask com um checksum?

Sim: para instalações de desktop e manuais, calcule o hash SHA-256 do arquivo e compare com o valor publicado pela MetaMask. O verificador da WalletGuard faz isso localmente no seu navegador.

A extensão "Wallet Guard" é a mesma coisa que o WalletGuard.cc?

Não. O WalletGuard (walletguard.cc) é um diretório independente de downloads verificados e uma ferramenta de checksum no navegador. Não é a antiga extensão "Wallet Guard" do walletguard.app, adquirida pela Consensys e integrada à MetaMask. São produtos diferentes, de partes diferentes.

Resumo

Instale a partir de metamask.io/download, confirme o ID da extensão e o número de usuários, verifique o checksum SHA-256 e proteja sua frase de recuperação. Quatro passos, alguns minutos, e a diferença entre uma carteira real e uma esvaziada.

Verifique seu download da MetaMask agora

Leia em outros idiomas: English · Español · Deutsch · Français · Türkçe · 日本語