Ainda é seguro usar uma Trezor Model T antiga em 2025?

Apenas se você útilizar uma 'Passphrase' forte (BIP39). Como a vulnerabilidade física do chip STM32 permite a extração da seed, a Passphrase funciona como uma 25ª palavra que não fica armazenada no dispositivo. Se a sua Trezor T for roubada e não tiver Passphrase, seus fundos correm risco imediato.

A Ledger pode extrair minhas moedas usando o Ledger Recover sem minha permissão?

Tecnicamente, a Ledger afirma que o serviço exige o consentimento explícito (assinatura física no aparelho) para fragmentar e exportar a seed. No entanto, como o sistema operacional é de código fechado, os usuários precisam confiar na palavra da empresa. Se você não assina o serviço, o código de extração permanece inativo, mas presente no firmware.

O que significa uma carteira ser 'Air-gapped' como a Coldcard?

Significa que o dispositivo nunca é conectado diretamente a um computador ou celular com acesso à internet, seja via cabo USB ou Bluetooth. Toda a troca de informações (como assinar uma transação) é feita movendo um cartão MicroSD do computador para a carteira e vice-versa, reduzindo drasticamente as chances de infecção por malware.

Hardware Wallets em 2025: Ledger, Trezor ou Coldcard — Qual Escolher e Onde Cada Uma Falhou

A máxima 'not your keys, not your coins' virou um mantra absoluto no mercado brasileiro de criptoativos. Acompanhamos de perto o fluxo de capital saindo de corretoras tradicionais e de neobanks como Nubank e Mercado Pago direto para carteiras frias. Segundo dados recentes, o brasileiro já movimenta centenas de bilhões em criptoativos anualmente. Mas quando o investidor decide assumir o controle total de seu patrimônio, ele esbarra em uma decisão crítica: onde guardar as chaves?

O mercado consolidou três grandes nomes ao longo da última década: Ledger, Trezor e Coldcard. A narrativa de marketing dessas empresas tenta vender a ideia de um cofre impenetrável. A realidade dura que observamos após 15 anos cobrindo tecnologia financeira é bem diferente. Todas elas falharam. Nenhuma é perfeita. E entender exatamente onde e como cada uma quebrou a confiança do usuário é o único caminho para tomar uma decisão madura em 2025.

Nossa análise não vai focar em unboxing ou design de produto. Vamos dissecar as vulnerabilidades arquitetônicas, as crises de reputação e os erros de engenharia que marcaram a história dessas três gigantes. Se você opera volume institucional ou simplesmente quer proteger suas economias contra a inflação, preste atenção aos dados técnicos abaixo.

Ledger: O Fiasco da Confiança e a Caixa Preta

A empresa francesa Ledger domina o mercado varejista global. Com mais de 6 milhões de unidades vendidas, a série Nano (S, X e agora a Stax) é o padrão da indústria. A arquitetura física sempre foi invejável: eles útilizam um chip Secure Element (ST33J2M0), com certificação CC EAL5+, o mesmo nível de segurança exigido em passaportes biométricos e cartões de crédito de alta renda.

O problema da Ledger nunca foi um hack físico no aparelho. A Ledger tropeçou feio na sua própria gestão corporativa e na comúnicação com o mercado.

O Vazamento de Dados de 2020

O primeiro grande golpe ocorreu em meados de 2020. A base de dados de e-commerce da Ledger, hospedada na plataforma Shopify, foi invadida. O resultado? Mais de 272 mil clientes tiveram seus dados físicos vazados. Nomes completos, telefones e endereços residenciais foram parar em fóruns da dark web.

Na prática, isso criou um vetor de ataque físico (o famoso ataque da 'chave inglesa'). Criminosos sabiam exatamente onde moravam pessoas que, presumivelmente, guardavam quantidades substanciais de Bitcoin. No Brasil, onde a segurança pública é uma preocupação latente, ter seu endereço vazado como 'detentor de criptomoedas' é um cenário de pesadelo. A empresa demorou a agir, minimizou o impacto inicial e perdeu a confiança dos cypherpunks.

Ledger Recover e o Suicídio de Reputação

Se o vazamento de dados foi uma falha de TI, o que aconteceu em 2023 foi uma escolha deliberada de produto. A Ledger anunciou o 'Ledger Recover', um serviço de assinatura opcional que permitia fazer backup da sua seed phrase (suas chaves privadas) em nuvem, dividindo-a em três fragmentos criptografados usando Shamir's Secret Sharing. Esses fragmentos ficariam sob custódia de três empresas diferentes (incluindo a própria Ledger e a Coincover).

A reação do mercado foi explosiva. A Ledger passou anos afirmando que as chaves privadas nunca poderiam sair do Secure Element. Quando o firmware que habilitava o Recover foi lançado, ficou claro que o sistema operacional (BOLOS), que é de código fechado, sempre teve a capacidade técnica de extrair a seed, desde que o usuário assinasse a transação.

A percepção de segurança ruiu. Se um firmware pode extrair a seed para o Recover, um firmware malicioso (injetado por um governo ou por um funcionário corrompido) também poderia? A Ledger tentou contornar o desastre abrindo partes do seu código, mas o dano à marca foi irreversível entre os usuários mais técnicos. Hoje, a Ledger é vista como a carteira do varejo, excelente para interagir com DeFi e altcoins via Ledger Live, mas rejeitada pelos maximalistas.

Trezor: Pioneirismo de Código Aberto e a Vulnerabilidade Física

A SatoshiLabs, sediada na República Tcheca, criou a primeira hardware wallet do mundo: a Trezor One. A filosofia deles sempre foi o oposto da Ledger: código 100% aberto. Você pode auditar cada linha de software e as específicações de hardware. Essa transparência rendeu à Trezor uma legião de defensores fervorosos.

Contudo, o hardware aberto trouxe um custo gravíssimo para os modelos antigos (Trezor One e Trezor Model T). Eles não útilizavam um Secure Element dedicado, optando por microcontroladores de uso geral (como o STM32F205).

O Ataque de Voltagem da Kraken

O calcanhar de Aquiles dessa escolha arquitetônica foi exposto brilhantemente pela Kraken Security Labs. Pesquisadores provaram que, tendo acesso físico a uma Trezor Model T, era possível extrair a seed phrase em cerca de 15 minutos.

O ataque envolvia 'voltage glitching'. Em termos simples: no exato momento em que o chip tentava verificar a proteção de memória, os hackers causavam uma queda minúscula de energia. O chip se confundia, pulava a etapa de segurança e cuspia os dados da memória, incluindo a seed criptografada. Com os dados em mãos, quebrar o PIN via força bruta em um computador potente era trivial.

Como a falha era no silício do chip STM32, ela era impatchável via software. A Trezor só conseguiu resolver esse problema arquitetônico recentemente, com o lançamento da Trezor Safe 3 e Safe 5, que finalmente incorporaram um Secure Element (Optiga Trust M) operando em conjunto com o código aberto.

O Fator Phishing

Além das falhas físicas, a base de usuários da Trezor sofreu ataques pesados de engenharia social. Campanhas de phishing via Mailchimp enviaram e-mails falsos solicitando que os usuários baixassem versões maliciosas do Trezor Suite. Muitos perderam fundos digitando suas seeds em teclados de computador. A Trezor falhou em educar sua base de forma agressiva nos primeiros anos, embora seu hardware atual (Safe 3 e 5) seja indiscutivelmente um dos mais seguros do mercado.

Coldcard: A Paranoia Maximalista e a Hostilidade da UX

Fabricada pela canadense Coinkite, a Coldcard é o 'Linux' das hardware wallets. Ela é focada exclusivamente em Bitcoin, ignora completamente o ecossistema Web3 e foi desenhada para resistir a ataques estatais.

Eles útilizam múltiplos Secure Elements de fabricantes diferentes (Microchip e Maxim) para evitar que a porta dos fundos de um fabricante comprometa o dispositivo. A Coldcard opera de forma 'air-gapped', ou seja, você nunca precisa conectá-la a um computador via cabo. As transações são assinadas usando um cartão MicroSD (o formato PSBT - Partially Signed Bitcoin Transactions).

A Coldcard possui até um pino de 'atirar para matar' (shoot-to-kill), que frita os componentes internos se alguém tentar abrir a carcaça de plástico transparente.

O Fator Humano como Falha Crítica

Onde a Coldcard falha? Na interface com o usuário (UX). A paranoia extrema cobrou o preço da usabilidade. A curva de aprendizado é tão brutal que o maior vetor de falha da Coldcard é o próprio usuário cometendo erros catastróficos.

Vimos investidores perderem o acesso aos seus Bitcoins não por hackers, mas porque configuraram passphrases complexas de forma incorreta, perderam os backups do MicroSD, ou simplesmente não souberam recuperar fundos derivando os caminhos corretos (derivation paths) em carteiras de software compatíveis como a Sparrow Wallet.

A Coldcard transfere a responsabilidade da segurança inteiramente para a competência técnica do dono. Se você não entende profundamente como UTXOs, PSBTs e caminhos de derivação funcionam, a chance de você trancar seu próprio dinheiro para fora é estatisticamente maior do que a de ser hackeado.

Qual Escolher em 2025? (Análise de Perfis)

Agora em 2025, o mercado amadureceu. As falhas do passado forçaram as empresas a pivotar. A escolha da sua hardware wallet não deve ser baseada em fanatismo, mas em uma avaliação fria do seu perfil de risco e dos ativos que você opera.

Perfil 1: O Operador de Altcoins, DeFi e NFTs

Se você interage diariamente com contratos inteligentes na Ethereum, Solana ou redes de segunda camada, a Ledger (Nano X ou Stax) continua sendo a melhor ferramenta prática. A integração do Ledger Live com protocolos DeFi é incomparável. O Secure Element garante que suas chaves não sejam extraídas via malware de computador.

Você precisa apenas aceitar o risco da confiança: você está confiando que a Ledger nunca enviará um firmware malicioso para o seu dispositivo. Para o capital de giro operacional em cripto, é um trade-off perfeitamente aceitável.

Perfil 2: O Investidor Moderado e Transparente

Se você busca um equilíbrio entre fácilidade de uso e transparência de código, a Trezor Safe 3 (ou Safe 5) é a escolha definitiva hoje. Eles consertaram a vulnerabilidade física ao adicionar o Secure Element, mantiveram o código aberto e o Trezor Suite é extremamente amigável.

É a carteira ideal para quem tira fundos da exchange e guarda para o longo prazo, sem a paranoia de um ataque de Estado, mas com a garantia de que o código pode ser auditado pela comunidade.

Perfil 3: O Maximalista Paranoico e o Alto Patrimônio

Se o seu portfólio é 100% Bitcoin, focado em hold de longo prazo, e você tem disposição para estudar a parte técnica, a Coldcard (Mk4 ou Q1) é inigualável. O formato air-gapped elimina qualquer vetor de ataque remoto. Contudo, exigimos cautela: teste a recuperação da sua carteira com valores pequenos dezenas de vezes antes de enviar o grosso do seu patrimônio.

O Futuro da Autocustódia

A verdade nua e crua é que depender de um único dispositivo físico — seja ele francês, tcheco ou canadense — é um ponto único de falha (Single Point of Failure).

Para volumes financeiros que mudam a vida de uma família, o padrão ouro em 2025 deixou de ser a hardware wallet isolada e passou a ser o Multisig colaborativo (Múltiplas Assinaturas). Arquiteturas como as oferecidas pela Unchained Capital ou Nunchuk, onde você usa uma Ledger, uma Trezor e uma Coldcard juntas para compor uma carteira 2-de-3, neutralizam as falhas individuais de cada fabricante.

Se a Ledger inserir um código malicioso, ela ainda precisará da assinatura da sua Trezor. Se a Trezor for roubada físicamente, o ladrão ainda precisará da sua Coldcard. A autocustódia madura não confia em nenhuma empresa. Ela usa as empresas umas contra as outras para garantir a sua soberania financeira.