Vulnerabilidade Tangem: ataque de força bruta explicado

O Ledger Donjon, laboratório de segurança da Ledger, divulgou em setembro de 2025 uma análise técnica identificando vulnerabilidades graves na Tangem Wallet — dispositivo de autocustódia popularmente conhecido como a ‘carteira sem tela’. O estudo, conduzido com acesso apenas ao dispositivo físico (análise caixa-preta), documenta um caminho concreto para ataques de força bruta acelerados contra cartões Tangem em uso.

O aspecto mais preocupante do achado é estrutural: os cartões Tangem já emitidos não aceitam atualizações de firmware. Isso significa que os riscos descritos neste artigo permanecem ativos para todos os usuários que atualmente carregam o dispositivo, independentemente de qualquer ação futura da fabricante.

A Tangem, consultada pelos pesquisadores dentro do prazo de divulgação responsável de 90 dias, concluiu que os achados não representariam um risco significativo. O Ledger Donjon discorda dessa avaliação — e os detalhes técnicos a seguir explicam por quê.

Como a Tangem Wallet protege senhas contra força bruta

O cartão Tangem implementa um mecanismo de atraso de segurança para dificultar tentativas automatizadas de quebra de senha. Após 6 tentativas incorretas consecutivas, o dispositivo impõe um intervalo de 1 segundo antes de aceitar nova tentativa. Cada falha subsequente acrescenta mais 1 segundo ao atraso, chegando ao máximo de 45 segundos por tentativa.

Na prática, esse mecanismo torna o ataque de força bruta exaustiva extremamente lento — ao menos quando funciona como projetado. Veja os tempos estimados para varredura completa segundo o Ledger Donjon:

O problema identificado pelo Ledger Donjon é que o mecanismo de atraso pode ser completamente contornado por meio de uma técnica chamada tearing, explorando falhas na implementação do canal seguro do cartão.

O que é um ataque de tearing e por que ele compromete a Tangem

Um tearing attack — literalmente ‘ataque de desconexão’ — explora o comportamento de sistemas embarcados quando a energia é cortada abruptamente durante uma operação em andamento. O alvo principal é a memória flash do dispositivo: se a energia for interrompida antes de o chip gravar o contador de falhas de autenticação na memória persistente, o contador simplesmente não é atualizado.

O resultado prático: um atacante com acesso físico ao cartão pode realizar tentativas ilimitadas de autenticação sem acionar qualquer atraso de segurança ou bloqueio. A técnica é conhecida na comunidade de segurança de smart cards. A plataforma Java Card, base de muitos cartões NFC, oferece proteções nativas — como transações atômicas — justamente para mitigar esse vetor. A questão é se o applet em execução as utiliza corretamente.

O canal seguro que nunca foi ativado — e a vulnerabilidade que ele criou

Durante a avaliação, os pesquisadores encontraram uma implementação de canal seguro tanto no aplicativo quanto no cartão. O objetivo desse recurso é proteger os dados transmitidos entre o smartphone e o cartão — incluindo a senha — contra interceptação por terceiros próximos.

O detalhe que chama atenção: o canal seguro estava implementado, mas nunca era ativado. Os pesquisadores conseguiram ativá-lo alterando um único valor booleano no aplicativo para smartphone. Isso, por si só, já é um indício de descuido na arquitetura de segurança.

Mas há um problema ainda maior: na implementação da Tangem, a chave de criptografia do canal seguro é derivada diretamente da senha do usuário. Isso significa que atacar a chave de criptografia equivale, na prática, a atacar a senha. E é exatamente aqui que o tearing se combina com análise de emissões eletromagnéticas para criar um vetor de ataque eficaz.

• ✔ Boa prática: Canal seguro com chave independente da senha de acesso, protegendo cada camada separadamente.
• ✖ Falha Tangem: Chave do canal seguro derivada da senha do usuário — atacar a criptografia equivale a atacar a senha diretamente.
• ✖ Falha Tangem: O canal seguro é suscetível ao tearing: o cartão pode ser desligado antes de registrar a falha de descriptografia, impedindo o atraso de segurança.
• ✖ Falha Tangem: As emissões eletromagnéticas do chip variam de forma mensurável conforme a senha usada está correta ou incorreta — permitindo discriminação antes do tear-off.

Como a exploração técnica funciona na prática

Para realizar o ataque, a equipe utilizou um Proxmark 3 rdv4 para mapear com precisão o momento exato em que o contador de atraso de segurança é atualizado. Os pesquisadores testaram diferentes tempos de desligamento e determinaram que, se o cartão for desconectado em menos de aproximadamente 6.700 microssegundos após o envio do comando, nenhum atraso de segurança é acionado — com variação de até 1.000 μs dependendo do cartão e de sua temperatura.

Para identificar se a senha testada estava correta antes do desligamento, os pesquisadores precisavam de uma forma de ler as emissões do chip sem interferência. A solução foi externalizar a antena do cartão: abrir o plástico, destacar a antena e soldá-la externamente usando fio fino. Isso reduziu o ruído do campo do leitor e isolou as emissões eletromagnéticas do chip.

Com milhares de traços eletromagnéticos coletados, os pesquisadores identificaram uma área de interesse clara nos gráficos: quando a descriptografia do canal seguro é bem-sucedida (senha correta), o chip realiza significativamente mais trabalho do que quando falha — diferença visível nos picos de emissão. Isso permite discriminar senhas corretas de incorretas antes do tear-off, sem acionar o atraso de segurança.

O resultado final: a taxa de força bruta documentada é de aproximadamente 2,5 senhas por segundo. Para senhas fracas — PINs de 4 dígitos, sequências numéricas simples como “123456” ou palavras comuns — o tempo para quebra cai para minutos ou horas, não anos.

Impactos reais e o que os usuários de hardware wallets devem considerar

A vulnerabilidade na Tangem Wallet documentada pelo Ledger Donjon exige acesso físico ao cartão. Isso não é trivial — mas também não é impossível: furtos, perdas ou situações em que o cartão passa por terceiros criam a janela necessária. E, diferente de dispositivos com firmware atualizável, não há correção disponível para cartões já emitidos.

Para quem prioriza segurança na autocustódia, esse episódio reforça a importância de escolher dispositivos com arquitetura de segurança auditável, atualizável e desenvolvida com defesa em profundidade. A Trezor Safe 7, por exemplo, combina criptografia pós-quântica com firmware de código aberto e atualizações regulares verificáveis — características diretamente opostas às limitações documentadas na Tangem.

Além disso, o conhecimento técnico sobre ameaças como tearing attacks e análise de emissões eletromagnéticas é valioso para qualquer pessoa que lida com criptoativos. O Curso de Segurança e Privacidade da KriptoBR aborda justamente esse tipo de tema — desde fundamentos de autocustódia até vetores de ataque físico e práticas de higiene digital.

Leia também nosso levantamento sobre como a inteligência artificial está tornando golpes cripto quase perfeitos — outro vetor crescente de risco para detentores de criptoativos.

Prós e contras do modelo de segurança da Tangem

• ✔ Acesso físico necessário: O ataque exige posse do cartão — sem acesso físico, não há exploração remota documentada.
• ✔ Senhas longas protegem: Com 8+ caracteres alfanuméricos e símbolos, o tempo de ataque se torna proibitivo mesmo com a vulnerabilidade.
• ✖ Sem correção possível: Cartões já emitidos não recebem atualizações de firmware — a vulnerabilidade é permanente no hardware atual.
• ✖ Canal seguro desativado: O recurso existia, mas nunca foi habilitado — e sua implementação introduziu vulnerabilidades adicionais.
• ✖ Custo de ataque acessível: Menos de US$ 5.000 em equipamentos colocam o ataque ao alcance de agentes com motivação financeira, não apenas laboratórios especializados.
• ✖ Descarte da Tangem: A fabricante avaliou os achados como não representando risco significativo — posição contestada pelos pesquisadores com evidências técnicas.

Leituras relacionadas