Em maio de 2023, a Kaspersky publicou o estudo de caso de uma Trezor Model T falsificada vendida por canais não oficiais — e que entregou as chaves privadas do comprador aos criminosos antes mesmo de a carteira ser ligada pela primeira vez.
No dia 10 de maio de 2023, a empresa de segurança cibernética Kaspersky divulgou um estudo de caso detalhado sobre hardware wallets falsas em circulação no mercado. O caso envolve uma Trezor Model T falsificada, adquirida de um vendedor particular em um site de classificados, que permitiu aos criminosos esvaziar a carteira da vítima sem jamais tocar fisicamente no dispositivo. A análise técnica completa foi publicada no blog oficial da Kaspersky.
Criptomoedas são, por natureza, ativos de fácil transferência e difícil rastreamento — o que as torna alvo prioritário de agentes mal-intencionados. Diante disso, muitos investidores recorrem a carteiras físicas de hardware justamente para manter as chaves privadas fora de computadores e celulares vulneráveis. O problema, como o caso estudado pela Kaspersky demonstra, é que o dispositivo em si pode ser o vetor do ataque, caso não tenha sido adquirido por meio de revendas oficiais autorizadas.
O que é uma Trezor falsa e como o ataque acontece
A vítima do caso relatado pela Kaspersky descobriu o problema da pior forma: consultando o histórico de transações de sua carteira, encontrou uma transferência de grande valor que ela afirmava não ter realizado. O dispositivo sequer estava conectado a um computador no momento em que a operação foi registrada na blockchain.
A investigação subsequente revelou que se tratava de um ataque clássico à cadeia de suprimentos: a carteira havia sido adulterada antes de chegar às mãos da vítima. Por fora, o dispositivo era indistinguível de um produto original — caixa lacrada, adesivos holográficos intactos e interface de usuário idêntica à versão legítima.
Caixa com adesivos holográficos intactos, interface idêntica à original. Nenhum sinal visual de adulteração perceptível ao usuário comum.
O microcontrolador original STM32F427 foi substituído por um STM32F429 com proteções de leitura de memória flash completamente desativadas (RDP 0).
O firmware original recebeu três modificações críticas, incluindo a substituição da geração aleatória de seed por uma lista de apenas 20 frases pré-geradas.
Caso o usuário configurasse uma passphrase adicional, apenas o primeiro caractere era utilizado, reduzindo as combinações possíveis a apenas 1.280 variantes.
Dissecando o dispositivo: o que os pesquisadores encontraram
O primeiro indício técnico surgiu ao verificar o histórico de versões do projeto no GitHub: o bootloader versão 2.0.4, exibido pelo dispositivo falso na tela de atualização, jamais foi lançado oficialmente pela Trezor. O registro do repositório indicava apenas que essa versão havia sido “ignorada devido a dispositivos falsos” — uma pista deixada pelos próprios desenvolvedores originais.
Ao abrir o invólucro físico, os pesquisadores encontraram as duas metades da carcaça unidas com cola e fita dupla face — em vez da colagem ultrassônica característica das unidades genuínas. Internamente, o microcontrolador original havia sido trocado, e havia vestígios visíveis de solda, indicando intervenção manual na placa.
Como o roubo foi executado na prática
O firmware modificado substituía a geração aleatória da frase-semente por uma das 20 seeds pré-definidas salvas no próprio chip. Os criminosos já conheciam todas as 20 possibilidades antes mesmo de o dispositivo ser enviado. Após o primeiro depósito, aguardaram um mês inteiro — para não levantar suspeitas imediatas — e então transferiram o saldo total. A vítima não tinha como se defender: o resultado estava definido desde o momento em que configurou a carteira.
As três modificações do firmware trojanizado
A análise técnica identificou exatamente três alterações no código original, cada uma cumprindo um papel específico no esquema de fraude:
- ✗ Verificações de segurança removidas As checagens do bootloader para mecanismos de proteção e assinaturas digitais foram eliminadas, impedindo que a chamada “tela vermelha” de firmware não original fosse exibida na inicialização.
- ✗ Seed aleatória substituída No momento de configuração ou redefinição, em vez de gerar uma frase-semente única e verdadeiramente aleatória, o firmware selecionava uma entre 20 seeds pré-geradas e armazenadas no chip pelos criminosos.
- ✗ Passphrase truncada Se o usuário configurasse uma camada adicional de segurança via passphrase (padrão BIP-39), apenas o primeiro caractere da senha era efetivamente utilizado, reduzindo o espaço de busca dos atacantes a míseras 1.280 combinações totais.
Como identificar uma Trezor falsa e se proteger
A conclusão mais importante do estudo da Kaspersky é também a mais direta: não é possível, para um usuário comum, distinguir uma hardware wallet falsificada de uma legítima apenas pela inspeção visual. Os falsificadores reproduzem adesivos holográficos, embalagens e até a interface de software com precisão suficiente para enganar compradores experientes.
A proteção real começa antes da compra. Dispositivos como a Trezor Safe 5 e a Trezor Safe 7 contam com mecanismos de verificação de autenticidade aprimorados — mas esses mecanismos só funcionam se o dispositivo for adquirido diretamente de um canal autorizado, onde a integridade da cadeia de suprimentos é garantida.
📌 Nota editorial
O caso documentado pela Kaspersky não envolve nenhuma falha nos dispositivos Trezor legítimos. O ataque explorou exclusivamente a ausência de controle na cadeia de distribuição — o dispositivo foi adquirido de um vendedor particular em site de classificados, sem qualquer vínculo com a fabricante ou suas revendas autorizadas. A Trezor mantém uma lista pública de revendas oficiais em seu site.
Medidas práticas de segurança recomendadas pela Kaspersky
- ✔ Canal de compra verificado Adquira hardware wallets exclusivamente da fabricante ou de revendas oficiais listadas no site do fabricante. Marketplaces e classificados não oferecem garantia de integridade do dispositivo.
- ✔ Versão de bootloader Confirme a versão de bootloader exibida pelo dispositivo no momento da configuração e compare com a lista oficial de versões publicada no repositório do fabricante no GitHub.
- ✔ Passphrase robusta Mesmo em dispositivos legítimos, utilize uma passphrase extensa como camada adicional. Evite senhas de um único caractere ou sequências previsíveis.
- ✗ Nunca compre de segunda mão Mesmo que o vendedor pareça confiável e os lacres estejam intactos, o histórico do dispositivo é desconhecido. Um hardware wallet seminovo pode ter sido adulterado antes de ser revendido.
- ✗ Não confie apenas nos hologramas O estudo da Kaspersky demonstrou que adesivos holográficos podem ser reproduzidos ou reaplicados. Eles são um indicador, não uma garantia.
Para quem deseja aprofundar o conhecimento sobre o funcionamento interno de carteiras físicas e as melhores práticas de autocustódia, o Curso Trezor do Básico ao Avançado, disponível pela KriptoBR, aborda desde a configuração inicial até cenários avançados de segurança — incluindo o uso correto de passphrase e a verificação de autenticidade do firmware.
Casos como o relatado pela Kaspersky também reforçam a relevância de serviços especializados como a Consultoria Trezor Expert, que oferece acompanhamento individual para configuração segura do dispositivo e revisão de práticas de custódia já existentes — especialmente para investidores com volumes mais expressivos.
O que o caso ensina sobre autocustódia
A premissa fundamental da autocustódia — “not your keys, not your coins” — pressupõe que o dispositivo que guarda suas chaves seja confiável. Um hardware wallet falsificado inverte completamente essa lógica: o usuário acredita ter controle total, mas os criminosos detêm as chaves desde o início. A cadeia de suprimentos, portanto, é parte integral do modelo de segurança — não um detalhe secundário. Confira também o guia da Trezor Keep Metal para entender como proteger fisicamente sua seed de recuperação.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Garanta uma hardware wallet 100% original
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ O que é autocustódia de criptomoedasEntenda o conceito de “not your keys, not your coins” e por que manter seus ativos em carteiras próprias é diferente de deixá-los em exchanges.
📖 Como funciona uma hardware walletDo microcontrolador ao bootloader: uma explicação acessível sobre a arquitetura de segurança das carteiras físicas de criptomoedas.
🔐 Trezor Safe 5 vs Trezor Safe 7: qual escolherComparativo técnico entre os dois modelos atuais da linha Trezor Safe: especificações, diferenciais de segurança e perfil de usuário ideal.