InícioEducaçãoTrezor falsa: como criminosos clonam hardware wallets

Trezor falsa: como criminosos clonam hardware wallets

-

Em maio de 2023, a Kaspersky publicou o estudo de caso de uma Trezor Model T falsificada vendida por canais não oficiais — e que entregou as chaves privadas do comprador aos criminosos antes mesmo de a carteira ser ligada pela primeira vez.

No dia 10 de maio de 2023, a empresa de segurança cibernética Kaspersky divulgou um estudo de caso detalhado sobre hardware wallets falsas em circulação no mercado. O caso envolve uma Trezor Model T falsificada, adquirida de um vendedor particular em um site de classificados, que permitiu aos criminosos esvaziar a carteira da vítima sem jamais tocar fisicamente no dispositivo. A análise técnica completa foi publicada no blog oficial da Kaspersky.

Criptomoedas são, por natureza, ativos de fácil transferência e difícil rastreamento — o que as torna alvo prioritário de agentes mal-intencionados. Diante disso, muitos investidores recorrem a carteiras físicas de hardware justamente para manter as chaves privadas fora de computadores e celulares vulneráveis. O problema, como o caso estudado pela Kaspersky demonstra, é que o dispositivo em si pode ser o vetor do ataque, caso não tenha sido adquirido por meio de revendas oficiais autorizadas.

O que é uma Trezor falsa e como o ataque acontece

A vítima do caso relatado pela Kaspersky descobriu o problema da pior forma: consultando o histórico de transações de sua carteira, encontrou uma transferência de grande valor que ela afirmava não ter realizado. O dispositivo sequer estava conectado a um computador no momento em que a operação foi registrada na blockchain.

A investigação subsequente revelou que se tratava de um ataque clássico à cadeia de suprimentos: a carteira havia sido adulterada antes de chegar às mãos da vítima. Por fora, o dispositivo era indistinguível de um produto original — caixa lacrada, adesivos holográficos intactos e interface de usuário idêntica à versão legítima.

🔍 Aparência externa

Caixa com adesivos holográficos intactos, interface idêntica à original. Nenhum sinal visual de adulteração perceptível ao usuário comum.

⚙️ Hardware modificado

O microcontrolador original STM32F427 foi substituído por um STM32F429 com proteções de leitura de memória flash completamente desativadas (RDP 0).

💾 Firmware trojanizado

O firmware original recebeu três modificações críticas, incluindo a substituição da geração aleatória de seed por uma lista de apenas 20 frases pré-geradas.

🔐 Passphrase comprometida

Caso o usuário configurasse uma passphrase adicional, apenas o primeiro caractere era utilizado, reduzindo as combinações possíveis a apenas 1.280 variantes.

Dissecando o dispositivo: o que os pesquisadores encontraram

O primeiro indício técnico surgiu ao verificar o histórico de versões do projeto no GitHub: o bootloader versão 2.0.4, exibido pelo dispositivo falso na tela de atualização, jamais foi lançado oficialmente pela Trezor. O registro do repositório indicava apenas que essa versão havia sido “ignorada devido a dispositivos falsos” — uma pista deixada pelos próprios desenvolvedores originais.

Ao abrir o invólucro físico, os pesquisadores encontraram as duas metades da carcaça unidas com cola e fita dupla face — em vez da colagem ultrassônica característica das unidades genuínas. Internamente, o microcontrolador original havia sido trocado, e havia vestígios visíveis de solda, indicando intervenção manual na placa.

Como o roubo foi executado na prática

O firmware modificado substituía a geração aleatória da frase-semente por uma das 20 seeds pré-definidas salvas no próprio chip. Os criminosos já conheciam todas as 20 possibilidades antes mesmo de o dispositivo ser enviado. Após o primeiro depósito, aguardaram um mês inteiro — para não levantar suspeitas imediatas — e então transferiram o saldo total. A vítima não tinha como se defender: o resultado estava definido desde o momento em que configurou a carteira.

As três modificações do firmware trojanizado

A análise técnica identificou exatamente três alterações no código original, cada uma cumprindo um papel específico no esquema de fraude:

  • ✗ Verificações de segurança removidas As checagens do bootloader para mecanismos de proteção e assinaturas digitais foram eliminadas, impedindo que a chamada “tela vermelha” de firmware não original fosse exibida na inicialização.
  • ✗ Seed aleatória substituída No momento de configuração ou redefinição, em vez de gerar uma frase-semente única e verdadeiramente aleatória, o firmware selecionava uma entre 20 seeds pré-geradas e armazenadas no chip pelos criminosos.
  • ✗ Passphrase truncada Se o usuário configurasse uma camada adicional de segurança via passphrase (padrão BIP-39), apenas o primeiro caractere da senha era efetivamente utilizado, reduzindo o espaço de busca dos atacantes a míseras 1.280 combinações totais.

Como identificar uma Trezor falsa e se proteger

A conclusão mais importante do estudo da Kaspersky é também a mais direta: não é possível, para um usuário comum, distinguir uma hardware wallet falsificada de uma legítima apenas pela inspeção visual. Os falsificadores reproduzem adesivos holográficos, embalagens e até a interface de software com precisão suficiente para enganar compradores experientes.

A proteção real começa antes da compra. Dispositivos como a Trezor Safe 5 e a Trezor Safe 7 contam com mecanismos de verificação de autenticidade aprimorados — mas esses mecanismos só funcionam se o dispositivo for adquirido diretamente de um canal autorizado, onde a integridade da cadeia de suprimentos é garantida.

📌 Nota editorial

O caso documentado pela Kaspersky não envolve nenhuma falha nos dispositivos Trezor legítimos. O ataque explorou exclusivamente a ausência de controle na cadeia de distribuição — o dispositivo foi adquirido de um vendedor particular em site de classificados, sem qualquer vínculo com a fabricante ou suas revendas autorizadas. A Trezor mantém uma lista pública de revendas oficiais em seu site.

Medidas práticas de segurança recomendadas pela Kaspersky

  • ✔ Canal de compra verificado Adquira hardware wallets exclusivamente da fabricante ou de revendas oficiais listadas no site do fabricante. Marketplaces e classificados não oferecem garantia de integridade do dispositivo.
  • ✔ Versão de bootloader Confirme a versão de bootloader exibida pelo dispositivo no momento da configuração e compare com a lista oficial de versões publicada no repositório do fabricante no GitHub.
  • ✔ Passphrase robusta Mesmo em dispositivos legítimos, utilize uma passphrase extensa como camada adicional. Evite senhas de um único caractere ou sequências previsíveis.
  • ✗ Nunca compre de segunda mão Mesmo que o vendedor pareça confiável e os lacres estejam intactos, o histórico do dispositivo é desconhecido. Um hardware wallet seminovo pode ter sido adulterado antes de ser revendido.
  • ✗ Não confie apenas nos hologramas O estudo da Kaspersky demonstrou que adesivos holográficos podem ser reproduzidos ou reaplicados. Eles são um indicador, não uma garantia.

Para quem deseja aprofundar o conhecimento sobre o funcionamento interno de carteiras físicas e as melhores práticas de autocustódia, o Curso Trezor do Básico ao Avançado, disponível pela KriptoBR, aborda desde a configuração inicial até cenários avançados de segurança — incluindo o uso correto de passphrase e a verificação de autenticidade do firmware.

Casos como o relatado pela Kaspersky também reforçam a relevância de serviços especializados como a Consultoria Trezor Expert, que oferece acompanhamento individual para configuração segura do dispositivo e revisão de práticas de custódia já existentes — especialmente para investidores com volumes mais expressivos.

O que o caso ensina sobre autocustódia

A premissa fundamental da autocustódia — “not your keys, not your coins” — pressupõe que o dispositivo que guarda suas chaves seja confiável. Um hardware wallet falsificado inverte completamente essa lógica: o usuário acredita ter controle total, mas os criminosos detêm as chaves desde o início. A cadeia de suprimentos, portanto, é parte integral do modelo de segurança — não um detalhe secundário. Confira também o guia da Trezor Keep Metal para entender como proteger fisicamente sua seed de recuperação.

Importante: não damos recomendação de investimento

Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.

Garanta uma hardware wallet 100% original

A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.

Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.

Leituras relacionadas

ULTIMAS NOTÍCIAS

Solana lança ferramenta de governança para stakers de SOL

A Solana apresentou o Solana Governance Proposals (SGP), mecanismo que dá aos delegadores de SOL poder direto nas decisões sobre a taxa de inflação da rede.

PF deflagra operação contra lavagem de R$ 10 bi em cripto

A Polícia Federal lançou a Operação Exchange para desmantelar uma organização criminosa suspeita de lavar R$ 10 bilhões via criptomoedas ligadas ao tráfico de drogas.

Bitcoin Segura os US$ 61 Mil com Dados Fracos de Emprego nos EUA

Bitcoin acima de US$ 61 mil e ether acima de US$ 1.700: dados fracos de emprego nos EUA aliviam pressão sobre o Fed e ETFs spot encerram 10 dias de saídas líquidas.

Bitcoin se aproxima de US$ 62 mil com alta do Ethereum

BTC acumula alta pelo segundo dia seguido enquanto investidores revisam expectativas sobre juros americanos e ETFs voltam a registrar entradas líquidas positivas.

SIGA A GENTE

0FãsCurtir
0SeguidoresSeguir
0SeguidoresSeguir
0InscritosInscrever

MAIS POPULAR