Temporadas
Placar de Líderes
Notícias
Aprender
Pesquisa
Classificação
Ecossistema
Carteira
yellow banner logo
TRADING
PLATAFORMA AO VIVO
COMEÇAR AGORA
yellow shooting stars
background stars

Carteiras Hardware Air-Gapped vs. USB vs. Bluetooth: qual é realmente mais segura?

profile-alexey-bondarev
Alexey Bondarevhá 2 horas
#Carteira de Criptomoeda
Carteiras Hardware Air-Gapped vs. USB vs. Bluetooth: qual é realmente mais segura?

A forma como uma carteira hardware se conecta ao mundo exterior gera debates intensos entre detentores de cripto, mas nenhum invasor jamais roubou fundos interceptando um sinal USB ou Bluetooth. Todo exploit documentado teve como alvo firmware, chips físicos ou infraestrutura ao redor. A verdadeira questão não é qual cabo cortar, mas qual modelo de ameaça você deve considerar.

TL;DR

  • Carteiras air-gapped eliminam certos vetores de ataque remotos, mas introduzem novos por meio da interpretação de QR e de microcontroladores em microSD, e não podem suportar protocolos de assinatura anti-klepto.
  • Carteiras USB com elementos seguros certificados nunca foram comprometidas via conexão de dados; o protocolo anti-klepto, disponível apenas por canais persistentes, representa um avanço real em segurança.
  • Bluetooth nunca foi explorado em nenhuma carteira hardware apesar de anos de ansiedade na comunidade; o isolamento do elemento seguro torna a interceptação BLE praticamente inútil para atacantes.

Nem Todas as Carteiras Hardware São Iguais

As carteiras hardware compartilham um princípio central: as chaves privadas permanecem no dispositivo enquanto a assinatura de transações ocorre em isolamento do computador hospedeiro. Além dessa base comum, os dispositivos divergem fortemente. Método de conectividade, arquitetura de chips, transparência de firmware e design físico variam bastante entre fabricantes e modelos.

O mercado se divide em três grupos de conectividade. Dispositivos somente USB como Trezor Safe 3 e BitBox02 conectam-se diretamente a um computador. Carteiras com Bluetooth como Ledger Nano X e Ledger Stax emparelham sem fio com celulares. Assinadores air-gapped como Coldcard, Foundation Passport, Keystone 3 Pro, NGRAVE ZERO e Ellipal Titan nunca se conectam a nenhuma rede.

Cada abordagem faz concessões.

USB oferece comunicação bidirecional de baixa latência, mas cria um canal físico de dados.

Bluetooth adiciona conveniência móvel mas abre uma interface sem fio. O air gap elimina totalmente canais eletrônicos de dados, porém limita os protocolos de segurança que o dispositivo pode suportar.

Preço e filosofia também variam bastante. Um Trezor Safe 3 ou Ledger Nano S Plus custa cerca de US$ 79. Coldcard Mk4 sai por US$ 148 e Foundation Passport por US$ 199. NGRAVE ZERO fica em US$ 398. A opção gratuita é o AirGap Vault, que transforma qualquer smartphone sobrando em um assinador offline.

Também leia: Ethereum Eyed For Euro Stablecoin Settlement Layer

O Que “Air-Gapped” Realmente Significa

O NIST define um air gap como uma separação física entre sistemas que impede transferência de dados não autorizada. Em carteiras hardware, isso significa nada de dados por USB, sem Wi‑Fi, sem Bluetooth, sem NFC, sem celular. A única ponte entre o dispositivo e o mundo externo é luz ou um meio de armazenamento removível.

Carteiras air-gapped seguem um fluxo de trabalho consistente. Um app complementar em um celular ou computador constrói uma transação não assinada, normalmente formatada como PSBT (Partially Signed Bitcoin (BTC) Transaction, conforme a BIP‑174).

Ele codifica essa transação como um QR code ou a salva em um cartão microSD. O dispositivo air-gapped lê o QR ou o arquivo, exibe os detalhes da transação em sua tela confiável, assina com a chave privada armazenada em seu elemento seguro e produz um QR ou arquivo assinado.

A assinatura baseada em QR depende de sequências de QRs animados para transações maiores. Padrões como a especificação Uniform Resource da Blockchain Commons com fountain codes, ou o protocolo BBQr da Coinkite, dividem dados em dezenas de quadros. Um único quadro de QR atinge o limite por volta de 3 a 5 KB antes de se tornar ilegível; por isso, transações complexas de multisig ou CoinJoin exigem paciência.

Assinatura via microSD evita totalmente essa limitação de tamanho. A Coldcard usa isso como método principal. Mas cartões microSD contêm microcontroladores embutidos com firmware vulnerável a hacks, como o pesquisador Bunnie Huang documentou. Vale questionar se um mini‑computador plugado na sua carteira realmente preserva o “air gap”.

O universo de dispositivos air-gapped inclui várias abordagens distintas:

  • Coldcard Mk4 (US$ 148) roda apenas Bitcoin, com dois elementos seguros de fabricantes diferentes, firmware totalmente open source e reprodutível, e recursos como PINs falsos que podem bloquear o dispositivo sob coação
  • NGRAVE ZERO (US$ 398) alega certificação EAL7 para seu ambiente de execução confiável ProvenCore especificamente, não para o dispositivo inteiro, e o firmware permanece em grande parte fechado
  • Foundation Passport (US$ 199) combina arquitetura de segurança estilo Coldcard com design mais amigável ao consumidor e hardware e software totalmente open source
  • Keystone 3 Pro (US$ 149 a US$ 169) roda um Android 8.1 customizado com três chips de elemento seguro e foi a primeira carteira a abrir o firmware do elemento seguro
  • Ellipal Titan 2.0 (US$ 169) usa corpo totalmente metálico selado com autodestruição anti‑violação

Também leia: Bitcoin Hits $72.7K High On Iran Peace Optimism

Carteiras USB e Bluetooth Dependem de Elementos Seguros, Não de Isolamento

Carteiras conectadas por USB se comunicam via protocolo USB HID com camadas de aplicação proprietárias por cima. A Ledger usa APDU, o padrão de smart cards. A Trezor usa protobuf sobre HID com o Trezor Bridge como daemon. A BitBox02 usa mensagens protobuf criptografadas sobre o Noise Protocol Framework, estabelecendo um canal criptografado de ponta a ponta verificado por um código de pareamento fora de banda. Essa criptografia é única entre carteiras USB. Mesmo um computador hospedeiro totalmente comprometido não consegue ler ou manipular os dados em trânsito.

A espinha dorsal de segurança dessas carteiras é o elemento seguro, um chip resistente à violação, certificado para resistir a sondagem física, glitches de voltagem e análise de canal lateral. Os dispositivos mais novos da Ledger usam chips ST33K1M5 com classificação EAL6+, onde seu sistema operacional customizado BOLOS roda diretamente no SE, controlando tela e botões dentro do limite seguro.

A Trezor seguiu um caminho diferente por anos.

Seus modelos anteriores não tinham elemento seguro. Os Safe 3 e Safe 5 adicionaram chips Infineon OPTIGA Trust M com classificação EAL6+ para enforcement de PIN e atestação do dispositivo. Porém, a assinatura criptográfica ainda ocorre no microcontrolador de uso geral, não no SE. O futuro Trezor Safe 7 introduz o TROPIC01, o primeiro elemento seguro totalmente auditável e open source, desenvolvido pela Tropic Square, uma subsidiária da SatoshiLabs.

Carteiras com Bluetooth usam Bluetooth Low Energy apenas como camada de transporte. A implementação da Ledger trata a conexão BLE como comprometida por padrão. O MCU STM32WB55 com seu rádio BLE atua como um relé. O elemento seguro controla de forma independente a tela e os botões. As chaves privadas nunca saem do limite do SE.

Os principais recursos de segurança da implementação BLE nos dispositivos Ledger incluem:

  • O pareamento usa Numeric Comparison, o método BLE padrão mais forte, com autenticação AES‑CMAC para evitar ataques man-in-the-middle
  • Apenas dados públicos (transações não assinadas e assinadas) passam pelo canal sem fio, nunca seeds ou chaves privadas
  • Usuários podem desativar totalmente o Bluetooth e voltar para USB a qualquer momento
  • O SE valida e exibe os detalhes da transação de forma independente da pilha BLE

O fato de a Trezor ter adicionado Bluetooth ao Safe 7 após anos evitando conectividade sem fio sinaliza um consenso na indústria: BLE é aceitável quando existe isolamento adequado via elemento seguro.

Também leia: Why Central Banks May Struggle To Control Inflation This Time

Todo Ataque Real Mirou Firmware e Física, Nunca o Cabo

O dado mais revelador em segurança de carteiras hardware é este: em todos os exploits documentados desde o início do setor, nenhum ataque bem-sucedido se baseou em interceptar ou manipular o canal de transporte de dados. Nem USB. Nem Bluetooth. Nem códigos QR.

Douglas Bakkum, cofundador da Shift Crypto (BitBox), catalogou sistematicamente todas as vulnerabilidades conhecidas e concluiu que a comunicação air-gapped oferece pouca segurança adicional ao mesmo tempo em que piora a experiência do usuário.

O Kraken Security Labs (Kraken) demonstrou em janeiro de 2020 que seeds podiam ser extraídas tanto da Trezor One quanto da Trezor Model T em aproximadamente 15 minutos usando cerca de US$ 75 em equipamentos. O ataque utilizou glitching de voltagem para rebaixar a proteção de leitura do microcontrolador STM32 de RDP2 para RDP1, depois extraiu a seed criptografada via debug ARM SWD e realizou força bruta no PIN.

Essa vulnerabilidade é inerente à família de chips STM32 e não pode ser corrigida por atualizações de firmware. A mitigação recomendada pela Trezor foi usar uma passphrase BIP39, que não é armazenada no dispositivo.

A violação do banco de dados da Ledger em junho de 2020 causou mais danos concretos do que todas as vulnerabilidades de hardware somadas. Uma chave de API mal configurada expôs 1,1 milhão de endereços de e‑mail e cerca de 272 mil registros completos de clientes, incluindo nomes, endereços residenciais addresses, and phone numbers.

As consequências foram devastadoras. Carteiras Ledger falsas com firmware adulterado foram enviadas pelo correio às vítimas. E‑mails de extorsão exigiam de US$ 700 a US$ 1.000 em Bitcoin. Seguiu-se um padrão de ataques físicos a detentores de criptomoedas que continua até hoje. Em janeiro de 2025, o cofundador da Ledger, David Balland, foi sequestrado na França e teve um dedo decepado.

A controvérsia do Ledger Recover em maio de 2023 destruiu uma suposição central que muitos usuários tinham. O serviço opcional da Ledger, de US$ 9,99 por mês, criptografa a seed phrase do usuário, divide-a em três fragmentos e os distribui entre a Ledger, a Coincover e um terceiro custodiante, exigindo verificação de identidade KYC.

A indignação da comunidade se concentrou em uma revelação fundamental: o firmware da Ledger sempre teve capacidade técnica de extrair seed phrases do elemento seguro. O CTO Charles Guillemet explicou que isso é inerente a qualquer arquitetura de hardware wallet. O cofundador Éric Larchevêque confirmou no Reddit que, ao usar o Recover, os ativos poderiam ser congelados por um governo.

Also Read: Cardano Whale Wallets Reach 4-Month Peak Amid 42% Drop

O Problema Anti‑Klepto Dá ao USB Uma Vantagem Real de Segurança

Dark Skippy, divulgado em agosto de 2024 pelos cofundadores da Frostsnap, Lloyd Fournier e Nick Farrow, juntamente com o desenvolvedor do BitVM, Robin Linus, mostrou que um firmware malicioso poderia exfiltrar toda a seed phrase de um usuário por meio de apenas duas assinaturas de transação.

O ataque incorpora dados da seed em nonces de assinatura. Um atacante que monitore a blockchain pública poderia reconstruir a seed usando o algoritmo Kangaroo de Pollard. Isso afeta toda hardware wallet, independentemente do tipo de conexão.

A defesa contra Dark Skippy é o protocolo anti‑klepto. Na assinatura ECDSA padrão, a hardware wallet gera internamente um nonce aleatório.

Se o firmware for malicioso, ele pode escolher nonces que codifiquem material da chave privada. O usuário não tem como detectar isso.

A assinatura anti‑klepto, implementada pela primeira vez pela BitBox02 no início de 2021, exige que o software hospedeiro contribua com um nonce aleatório adicional. A hardware wallet deve incorporar esse nonce externo em seu processo de assinatura. Se a carteira não o incorporar corretamente, a verificação da assinatura falha. Isso torna detectável a exfiltração secreta de chaves.

O protocolo requer um canal persistente, bidirecional e de baixa latência. É exatamente isso que USB e Bluetooth fornecem. O uso de QR codes torna isso impraticável porque cada rodada adicional de verificação anti‑klepto exigiria outro ciclo de leitura de sequências animadas de QR. Atualmente, apenas BitBox02 e Blockstream Jade implementam assinatura anti‑klepto. Carteiras air‑gapped não conseguem, na prática, dar suporte a esse protocolo.

Isso não significa que air‑gapping seja teatro. Ele elimina vários vetores reais:

  • Ataques BadUSB em que um dispositivo adulterado se apresenta como teclado para o host
  • Fingerprinting de enumeração de dispositivos USB que vazam informações sobre o sistema conectado
  • O ataque de canal lateral de consumo de energia em OLED descoberto por Christian Reitter em 2019, em que medições de energia via USB podiam recuperar parcialmente o PIN ou informações da seed exibidos
  • Ataques de depuração JTAG em MCUs sem elemento seguro, como o encontrado pelo Kraken Security Labs no Ledger Nano X, onde era possível modificar o firmware antes da instalação de aplicativos

Esses são vetores reais que o air‑gapping elimina. Também são vetores que uma arquitetura adequada de elemento seguro, protocolos USB criptografados e boot verificado mitigam em grande parte.

Also Read: Billions Vanished In Crypto Fraud Last Year, Here's What The FBI Found

O Bluetooth Nunca Foi Explorato em uma Hardware Wallet

Apesar da ampla ansiedade da comunidade em relação ao Bluetooth, o histórico empírico é claro. Nenhuma hardware wallet de criptomoedas jamais foi comprometida via sua conexão Bluetooth. Isso inclui testes contra todas as principais classes de vulnerabilidades BLE.

BlueBorne, um conjunto de oito CVEs divulgadas em 2017, permitia execução remota de código sem pareamento em mais de 5 bilhões de dispositivos Bluetooth.

Mas explorava falhas de implementação nas pilhas de Bluetooth dos sistemas operacionais, não o hardware BLE.

KNOB (CVE-2019-9506) reduzia a entropia da chave de criptografia para 1 byte durante o pareamento Bluetooth Classic, mas não afeta BLE, que é o usado pelas hardware wallets.

BIAS (CVE-2020-10135) permitia a personificação de dispositivos pareados, mas novamente tinha como alvo apenas Bluetooth Classic. BrakTooth, um conjunto de 16 vulnerabilidades afetando mais de 1.400 produtos em 2021, atingiu pilhas de Bluetooth Classic, não BLE. SweynTooth, em 2020, teve como alvo especificamente BLE, causando travamentos e bypasses de segurança, mas nunca foi demonstrado contra uma hardware wallet.

A razão arquitetural é direta. Mesmo que um atacante comprometesse completamente a conexão BLE, ele teria acesso a dados de transações assinadas e não assinadas, os mesmos dados que são transmitidos publicamente para a blockchain de qualquer maneira.

Ele não pode extrair chaves privadas, que ficam isoladas no elemento seguro. Não pode forjar aprovações de transações, que exigem um clique físico de botão. Não pode modificar transações sem detecção porque a tela confiável mostra detalhes vindos do SE, não do canal BLE.

Uma preocupação adjacente ao Bluetooth merece menção. Em 2025, pesquisadores encontraram vulnerabilidades no chip ESP32, da Espressif, usado em carteiras como a Blockstream Jade. A falha poderia, em teoria, permitir injeção de firmware malicioso por meio das interfaces sem fio do chip. Isso é um problema de implementação específico do chip, e não uma vulnerabilidade do protocolo Bluetooth.

Also Read: Main Quantum Risk For Bitcoin Is Consensus, Not Code, Grayscale Warns

Quem Realmente Precisa de Qual Nível de Isolamento

O mercado de hardware wallets alcançou uma estimativa entre US$ 350 milhões e US$ 680 milhões em 2025, com grande variação refletindo diferentes metodologias de pesquisa, e cresce entre 20 e 30 por cento ao ano. A Ledger domina com mais de 6 milhões de unidades vendidas no total. A SatoshiLabs enviou 2,4 milhões de unidades Trezor apenas em 2024. A conectividade via USB ainda detém cerca de 47 por cento do mercado, mas está em declínio à medida que o Bluetooth cresce.

Para investidores de varejo com menos de US$ 50.000 em Ethereum (ETH), Solana (SOL) ou Bitcoin, uma carteira USB com elemento seguro certificado oferece segurança mais do que suficiente.

As principais ameaças nesse nível são phishing, engenharia social e armazenamento inadequado da seed. Nenhum método de conectividade resolve qualquer uma delas. A usabilidade em si é um recurso de segurança, porque fluxos de trabalho complexos em carteiras air‑gapped aumentam o risco de erro do usuário.

Para detentores significativos e armazenamento frio de longo prazo, carteiras air‑gapped trazem benefícios relevantes. Não principalmente por eliminar a superfície de ataque USB, mas pelo modelo de segurança operacional que impõem. Uma carteira air‑gapped guardada em um local seguro fica fisicamente separada dos dispositivos de uso diário. Isso reduz a exposição a ataques de cadeia de suprimentos, malware e roubo físico.

Para usuários ativos de DeFi e traders mobile‑first, o Bluetooth é uma necessidade prática, não uma concessão de segurança. A Ledger Nano X com Ledger Live, ou a futura Trezor Safe 7, permitem assinatura de transações no celular com as mesmas proteções de elemento seguro do USB.

A integração por QR code da Keystone 3 Pro com a MetaMask oferece uma alternativa air‑gapped para chains EVM, embora com atrito significativamente maior por transação.

Para custódia institucional, o cálculo é totalmente diferente. O segmento corporativo responde por aproximadamente 69 por cento da receita de hardware wallets, apesar de menos unidades. Configurações multi‑sig em vários dispositivos air‑gapped, potencialmente de fabricantes diferentes, fornecem defesa em profundidade que nenhum método de conectividade de um único dispositivo consegue igualar.

Also Read: Can AI Really Run DeFi? New Findings Expose Major Risks

Conclusão

O debate air‑gapped vs. USB vs. Bluetooth gera mais calor do que luz. O canal de transporte de dados é o componente menos explorado de toda a superfície de ataque das hardware wallets. Todo roubo confirmado envolvendo hardware wallets foi rastreado até extração física, adulteração na cadeia de suprimentos, engenharia social ou infraestrutura ao redor comprometida. Nenhum foi rastreado a comunicações USB ou Bluetooth interceptadas.

O air‑gapping oferece valor real como disciplina de segurança operacional, e não como defesa criptográfica.

Um dispositivo que fica em um cofre e se comunica apenas por QR codes é mais difícil de atacar porque é mais difícil de alcançar, não porque QR codes sejam mais seguros do que USB.

Enquanto isso, o canal bidirecional do USB possibilita protocolos anti‑klepto que representam o avanço mais significativo na segurança de assinatura de hardware wallets nos últimos anos, uma defesa que carteiras air‑gapped estruturalmente não podem adotar. Os três fatos que deveriam orientar qualquer decisão: a qualidade do elemento seguro importa mais do que o método de conectividade, firmware open source permite auditoria comunitária independentemente da camada de transporte e multisig entre dispositivos de fabricantes diferentes oferece proteção mais forte do que qualquer air gap de uma única carteira.

Read Next: Schwab Warns Even 1% Bitcoin Allocation Reshapes Portfolio Dynamics

Isenção de responsabilidade e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e são baseadas na opinião do autor. Elas não constituem aconselhamento financeiro, de investimento, jurídico ou tributário. Ativos de criptomoedas são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou manter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou seus executivos. Sempre conduza sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Artigos de aprendizado relacionados
Como escolher uma carteira de hardware: 10 fatores que realmente importam
Guia para escolher carteira de hardware com foco em segurança, backup, transparência de código e compatibilidade, indo além do marketing de marcas.
Top 5 carteiras de cripto a ar offline que hackers não conseguem alcançar
Apr 05, 2026
Comparação de 5 carteiras a ar offline por segurança, preço e recursos para guardar Bitcoin e outras criptos em autocustódia.
Como Proteger Seu Bitcoin de Ameaças Quânticas Agora Mesmo
Mar 17, 2026
Passos práticos para reduzir o risco quântico no Bitcoin, focando em não reutilizar endereços e planejar a migração para soluções pós-quânticas.
Top 10 carteiras DeFi para trading seguro em 2026
Comparação das 10 principais carteiras DeFi de 2026, cobrindo segurança, acesso multichain e taxas de swap para usuários cripto.
Melhores carteiras de USDT em 2026: opções frias e quentes comparadas
Comparação de carteiras de hardware e software para USDT em várias redes, cobrindo compatibilidade, taxas e segurança até 2026.
Carteiras Hardware Air-Gapped vs. USB vs. Bluetooth: qual é realmente mais segura? | Yellow.com