Temporadas
Quadro de Líderes
Notícias
Aprender
Pesquisa
Classificação
Ecossistema
Carteira
yellow banner logo
TRADING
PLATAFORMA JÁ DISPONÍVEL
COMEÇAR AGORA
yellow shooting stars
background stars

Carteiras de Hardware com Air Gap vs. USB vs. Bluetooth: qual é realmente mais segura?

profile-alexey-bondarev
Alexey Bondarevhá 2 horas
#Carteira de Criptomoeda
Carteiras de Hardware com Air Gap vs. USB vs. Bluetooth: qual é realmente mais segura?

A forma como uma carteira de hardware se conecta ao mundo externo gera debates intensos entre holders de cripto, mas nenhum invasor jamais roubou fundos interceptando um sinal USB ou Bluetooth. Todo exploit documentado mirou o firmware, os chips físicos ou a infraestrutura ao redor. A verdadeira questão não é qual cabo cortar, e sim para qual modelo de ameaça você deve se preparar.

TL;DR

  • Carteiras com air gap eliminam certos vetores de ataque remotos, mas introduzem novos por meio da leitura de QR e dos microcontroladores dos cartões microSD, além de não poderem suportar protocolos de assinatura anti-klepto.
  • Carteiras USB com elementos seguros certificados nunca foram comprometidas por meio de sua conexão de dados; o protocolo anti-klepto, disponível apenas em canais persistentes, representa um avanço real de segurança.
  • Nenhuma carteira de hardware foi explorada via Bluetooth, apesar de anos de ansiedade na comunidade; o isolamento pelo elemento seguro torna a interceptação BLE funcionalmente inútil para atacantes.

Nem Todas as Carteiras de Hardware São Iguais

As carteiras de hardware compartilham um princípio central: as chaves privadas permanecem no dispositivo enquanto a assinatura das transações ocorre em isolamento em relação ao computador anfitrião. Além dessa base comum, os dispositivos divergem fortemente. Método de conectividade, arquitetura de chips, transparência do firmware e design físico variam entre fabricantes e modelos.

O mercado se divide em três grupos de conectividade. Dispositivos apenas USB como Trezor Safe 3 e BitBox02 conectam-se diretamente ao computador. Carteiras com Bluetooth como Ledger Nano X e Ledger Stax emparelham-se sem fio com smartphones. Assinadores com air gap como Coldcard, Foundation Passport, Keystone 3 Pro, NGRAVE ZERO e Ellipal Titan nunca se conectam a nenhuma rede.

Cada abordagem envolve trade-offs.

O USB oferece comunicação bidirecional de baixa latência, mas cria um canal físico de dados.

O Bluetooth adiciona conveniência móvel, mas abre uma interface sem fio. O air gap elimina totalmente canais eletrônicos de dados, mas limita os protocolos de segurança que o dispositivo pode suportar.

Preço e filosofia também variam bastante. Um Trezor Safe 3 ou Ledger Nano S Plus custa cerca de US$ 79. Coldcard Mk4 sai por US$ 148 e Foundation Passport por US$ 199. NGRAVE ZERO fica em US$ 398. A opção gratuita é o AirGap Vault, que transforma qualquer smartphone sobrando em um assinador offline.

Leia também: Ethereum Eyed For Euro Stablecoin Settlement Layer

O Que Significa Realmente “Air-Gapped”

O NIST define um air gap como uma separação física entre sistemas que impede transferência não autorizada de dados. Em carteiras de hardware, isso significa: sem dados via USB, sem Wi‑Fi, sem Bluetooth, sem NFC, sem rede celular. A única ponte entre o dispositivo e o mundo externo é luz ou um meio de armazenamento removível.

Carteiras com air gap seguem um fluxo de trabalho consistente. Um aplicativo complementar em um celular ou computador constrói uma transação não assinada, normalmente formatada como PSBT (Partially Signed Bitcoin (BTC) Transaction conforme a BIP‑174).

Essa transação é codificada em um QR code ou salva em um cartão microSD. O dispositivo com air gap lê o QR ou o arquivo, exibe os detalhes da transação na tela confiável, assina com a chave privada armazenada em seu elemento seguro e gera um QR assinado ou arquivo de saída.

A assinatura baseada em QR depende de sequências de QR animados para transações maiores. Padrões como a especificação Uniform Resource da Blockchain Commons com fountain codes, ou o protocolo BBQr da Coinkite, dividem os dados em dezenas de quadros. Um único quadro de QR chega a aproximadamente 3 a 5 KB antes de se tornar ilegível, então transações complexas com multisig ou CoinJoin exigem paciência.

A assinatura via microSD evita completamente essa limitação de tamanho. A Coldcard usa esse método como principal. Porém, cartões microSD contêm microcontroladores embarcados com firmware passível de hack, como o pesquisador Bunnie Huang documentou. Vale questionar se um mini‑computador conectado à sua carteira preserva de fato o “air gap”.

O panorama de dispositivos com air gap inclui várias abordagens distintas:

  • Coldcard Mk4 (US$ 148) é apenas para Bitcoin, com dois elementos seguros de fornecedores diferentes, firmware totalmente open source e reprodutível, e recursos como PINs de truque que podem inutilizar o dispositivo sob coação
  • NGRAVE ZERO (US$ 398) alega certificação EAL7 para seu ambiente de execução confiável ProvenCore especificamente, não para o dispositivo inteiro, e seu firmware permanece em grande parte fechado
  • Foundation Passport (US$ 199) combina uma arquitetura de segurança ao estilo Coldcard com design mais amigável ao consumidor e hardware e software totalmente open source
  • Keystone 3 Pro (US$ 149 a US$ 169) roda um Android 8.1 customizado com três chips de elemento seguro e foi a primeira carteira a abrir o firmware do seu elemento seguro
  • Ellipal Titan 2.0 (US$ 169) usa um corpo totalmente metálico selado com mecanismo de autodestruição antiviolação

Leia também: Bitcoin Hits $72.7K High On Iran Peace Optimism

Carteiras USB e Bluetooth Confiam em Elementos Seguros, Não em Isolamento

Carteiras conectadas por USB se comunicam via protocolo USB HID com camadas de aplicação proprietárias por cima. A Ledger usa APDU, o padrão de smart card. A Trezor usa protobuf sobre HID com o Trezor Bridge como daemon. A BitBox02 usa mensagens protobuf criptografadas sobre o Noise Protocol Framework, estabelecendo um canal criptografado de ponta a ponta verificado por um código de pareamento fora de banda. Essa criptografia é única entre carteiras USB. Mesmo um computador anfitrião totalmente comprometido não consegue ler nem manipular os dados em trânsito.

A espinha dorsal de segurança dessas carteiras é o elemento seguro, um chip resistente a violação, certificado para resistir a sondagem física, glitches de voltagem e análise de canais laterais. Os dispositivos mais novos da Ledger usam chips ST33K1M5 com certificação EAL6+, nos quais seu sistema operacional customizado BOLOS roda diretamente dentro do SE, controlando tela e botões de dentro do limite seguro.

A Trezor seguiu um caminho diferente por anos.

Seus modelos anteriores não tinham elemento seguro algum. As Safe 3 e Safe 5 adicionaram chips Infineon OPTIGA Trust M com certificação EAL6+ para aplicação de PIN e atestação do dispositivo. Mas a assinatura criptográfica ainda ocorre no microcontrolador de uso geral, não no SE. A futura Trezor Safe 7 introduz o TROPIC01, o primeiro elemento seguro totalmente auditável e open source, desenvolvido pela Tropic Square, subsidiária da SatoshiLabs.

Carteiras com Bluetooth usam Bluetooth Low Energy apenas como camada de transporte. A implementação da Ledger trata a conexão BLE como comprometida por padrão. O MCU STM32WB55 com seu rádio BLE atua como um retransmissor. O elemento seguro controla de forma independente a tela e os botões. As chaves privadas nunca saem do limite do SE.

Os principais recursos de segurança da implementação BLE nos dispositivos Ledger incluem:

  • O pareamento usa Numeric Comparison, o método BLE padrão mais forte, com autenticação AES‑CMAC para impedir ataques man‑in‑the‑middle
  • Apenas dados públicos (transações não assinadas, transações assinadas) trafegam pelo canal sem fio, nunca seeds ou chaves privadas
  • Usuários podem desativar totalmente o Bluetooth e voltar ao USB a qualquer momento
  • O SE valida e exibe os detalhes da transação de forma independente da pilha BLE

O fato de a Trezor ter adicionado Bluetooth à Safe 7 após anos evitando conectividade sem fio indica um consenso da indústria. BLE é aceitável quando existe o devido isolamento via elemento seguro.

Leia também: Why Central Banks May Struggle To Control Inflation This Time

Todo Ataque Real Mirou Firmware e Física, Nunca o Cabo

O dado mais revelador na segurança de carteiras de hardware é este: entre todos os exploits documentados desde o início do setor, nenhum ataque bem‑sucedido dependeu de interceptar ou manipular o canal de transporte de dados. Nem USB. Nem Bluetooth. Nem códigos QR.

Douglas Bakkum, cofundador da Shift Crypto (BitBox), catalogou sistematicamente todas as vulnerabilidades conhecidas e concluiu que a comunicação com air gap oferece pouca segurança adicional enquanto piora a experiência do usuário.

O Kraken Security Labs (Kraken) demonstrou, em janeiro de 2020, que seeds podiam ser extraídas das Trezor One e Trezor Model T em cerca de 15 minutos usando aproximadamente US$ 75 em equipamentos. O ataque usou glitch de voltagem para rebaixar a proteção de leitura do microcontrolador STM32 de RDP2 para RDP1, depois extraiu a seed criptografada via debug ARM SWD e fez brute force do PIN.

Essa vulnerabilidade é inerente à família de chips STM32 e não pode ser corrigida por atualizações de firmware. A mitigação sugerida pela Trezor foi usar uma passphrase BIP39, que não é armazenada no dispositivo.

A violação do banco de dados da Ledger em junho de 2020 causou mais dano no mundo real do que todas as vulnerabilidades de hardware somadas. Uma chave de API mal configurada expôs 1,1 milhão de endereços de e‑mail e cerca de 272.000 registros completos de clientes, incluindo nomes, endereços residenciais endereços e números de telefone.

As consequências foram devastadoras. Carteiras Ledger falsas, com firmware adulterado, foram enviadas às vítimas pelo correio. E‑mails de extorsão exigiam de US$ 700 a US$ 1.000 em Bitcoin. Seguiu‑se um padrão de ataques físicos a detentores de criptomoedas que continua até hoje. Em janeiro de 2025, o cofundador da Ledger, David Balland, foi sequestrado na França e teve um dedo decepado.

A controvérsia do Ledger Recover em maio de 2023 destruiu uma suposição central que muitos usuários tinham. O serviço opcional da Ledger de US$ 9,99 por mês criptografa a frase-semente do usuário, divide-a em três fragmentos e os distribui para a Ledger, a Coincover e um terceiro custodiante, exigindo verificação de identidade KYC.

A indignação da comunidade girou em torno de uma revelação fundamental: o firmware da Ledger sempre possuiu a capacidade técnica de extrair frases-semente do elemento seguro. O CTO Charles Guillemet explicou que isso é inerente a qualquer arquitetura de carteira de hardware. O cofundador Éric Larchevêque confirmou no Reddit que, ao usar o Recover, os ativos podem ser congelados por um governo.

Also Read: Cardano Whale Wallets Reach 4-Month Peak Amid 42% Drop

O Problema do Anti-Klepto Dá ao USB Uma Vantagem de Segurança Real

Dark Skippy, divulgado em agosto de 2024 pelos cofundadores da Frostsnap Lloyd Fournier e Nick Farrow, juntamente com o desenvolvedor do BitVM Robin Linus, mostrou que um firmware malicioso poderia exfiltrar toda a frase-semente de um usuário por meio de apenas duas assinaturas de transação.

O ataque incorpora dados da semente nos nonces das assinaturas. Um invasor que monitore a blockchain pública pode reconstruir a semente usando o algoritmo Kangaroo de Pollard. Isso afeta todas as carteiras de hardware, independentemente da conectividade.

A defesa contra o Dark Skippy é o protocolo anti‑klepto. Na assinatura ECDSA padrão, a carteira de hardware gera internamente um nonce aleatório.

Se o firmware for malicioso, ele pode escolher nonces que codifiquem material de chave privada. O usuário não tem como detectar isso.

A assinatura anti‑klepto, implementada pela primeira vez pela BitBox02 no início de 2021, exige que o software hospedeiro contribua com um nonce aleatório adicional. A carteira de hardware deve incorporar esse nonce externo em seu processo de assinatura. Se a carteira não o incorporar corretamente, a verificação da assinatura falha. Isso torna detectável a exfiltração encoberta de chaves.

O protocolo requer um canal persistente, bidirecional e de baixa latência. É exatamente isso que USB e Bluetooth fornecem. A leitura de QR codes torna isso impraticável porque cada rodada adicional de verificação anti‑klepto exigiria outro ciclo de leitura de sequências de QR animados. Atualmente apenas BitBox02 e Blockstream Jade implementam assinatura anti‑klepto. Carteiras air‑gapped não conseguem, na prática, dar suporte a esse protocolo.

Isso não significa que air‑gapping seja teatro. Ele elimina diversos vetores reais:

  • Ataques BadUSB em que um dispositivo adulterado se apresenta como teclado ao host
  • Fingerprinting por enumeração de dispositivos USB, que vaza informações sobre o sistema conectado
  • O ataque de canal lateral via consumo de energia do OLED, descoberto por Christian Reitter em 2019, no qual medições de energia na porta USB podiam recuperar parcialmente o PIN ou informações de semente exibidos
  • Ataques de depuração JTAG em MCUs não seguras, como o encontrado pelo Kraken Security Labs no Ledger Nano X, em que era possível modificar o firmware antes da instalação de apps

Esses são vetores reais que o air‑gapping elimina. Também são vetores que uma arquitetura adequada de elemento seguro, protocolos USB criptografados e boot verificado mitigam em grande parte.

Also Read: Billions Vanished In Crypto Fraud Last Year, Here's What The FBI Found

O Bluetooth Nunca Foi Explorados em Uma Carteira de Hardware

Apesar da ampla ansiedade da comunidade em relação ao Bluetooth, o histórico empírico é claro. Nenhuma carteira de hardware de criptomoedas jamais foi comprometida via sua conexão Bluetooth. Isso inclui testes contra todas as principais classes de vulnerabilidades BLE.

BlueBorne, um conjunto de oito CVEs divulgado em 2017, permitiu execução remota de código sem pareamento em mais de 5 bilhões de dispositivos Bluetooth.

Mas explorou falhas de implementação nas pilhas de Bluetooth de sistemas operacionais, não o hardware BLE.

KNOB (CVE-2019-9506) forçava a entropia da chave de criptografia para apenas 1 byte durante o pareamento Bluetooth Classic, mas não afeta BLE, que é o que as carteiras de hardware usam.

BIAS (CVE-2020-10135) permitia a personificação de dispositivos pareados, mas novamente visava apenas o Bluetooth Classic. BrakTooth, um conjunto de 16 vulnerabilidades que afetavam mais de 1.400 produtos em 2021, atingiu pilhas de Bluetooth Classic, não BLE. SweynTooth em 2020 teve como alvo o BLE especificamente, causando travamentos e bypasses de segurança, mas nunca foi demonstrado contra uma carteira de hardware.

A razão arquitetural é simples. Mesmo que um invasor comprometesse totalmente a conexão BLE, ele teria acesso a dados de transações não assinadas e assinadas, os mesmos dados que serão transmitidos publicamente para a blockchain de qualquer forma.

Ele não pode extrair chaves privadas, que ficam isoladas no elemento seguro. Não pode forjar aprovações de transações, que exigem um clique físico em botão. Não pode modificar transações sem ser detectado porque o display confiável mostra detalhes vindos do SE, não do canal BLE.

Há uma preocupação adjacente ao Bluetooth que vale mencionar. Em 2025, pesquisadores encontraram vulnerabilidades no chip ESP32 da Espressif, usado em carteiras como a Blockstream Jade. A falha poderia, em teoria, permitir injeção de firmware malicioso por meio das interfaces sem fio do chip. Trata-se de um problema específico de implementação do chip, não de uma vulnerabilidade do protocolo Bluetooth.

Also Read: Main Quantum Risk For Bitcoin Is Consensus, Not Code, Grayscale Warns

Quem Realmente Precisa de Qual Nível de Isolamento

O mercado de carteiras de hardware atingiu uma estimativa de US$ 350 milhões a US$ 680 milhões em 2025, com grande variância refletindo metodologias de pesquisa diferentes, e cresce de 20 a 30 por cento ao ano. A Ledger domina com mais de 6 milhões de unidades vendidas cumulativamente. A SatoshiLabs enviou 2,4 milhões de unidades Trezor apenas em 2024. A conectividade USB ainda detém cerca de 47 por cento do mercado, mas está em declínio conforme o Bluetooth cresce.

Para investidores de varejo com menos de US$ 50.000 em Ethereum (ETH), Solana (SOL) ou Bitcoin, uma carteira USB com elemento seguro certificado oferece segurança mais do que suficiente.

As principais ameaças nesse nível são phishing, engenharia social e armazenamento ruim da semente. Nenhum método de conectividade resolve qualquer uma delas. A usabilidade em si é um recurso de segurança, porque fluxos de trabalho complexos em carteiras air‑gapped aumentam o risco de erro do usuário.

Para grandes detentores e armazenamento frio de longo prazo, carteiras air‑gapped fornecem benefícios significativos. Não principalmente por eliminar a superfície de ataque USB, mas pelo modelo de segurança operacional que elas impõem. Uma carteira air‑gapped guardada em um local seguro fica fisicamente separada de dispositivos de uso diário. Isso reduz a exposição a ataques de cadeia de suprimentos, malware e roubo físico.

Para usuários ativos de DeFi e traders mobile‑first, o Bluetooth é uma necessidade prática, não uma concessão de segurança. O Ledger Nano X com Ledger Live, ou o futuro Trezor Safe 7, permitem assinatura de transações móveis com as mesmas proteções de elemento seguro que o USB.

A integração por QR code do Keystone 3 Pro com a MetaMask oferece uma alternativa air‑gapped para redes EVM, embora com atrito significativamente maior por transação.

Para custódia institucional, o cálculo é totalmente diferente. O segmento empresarial responde por cerca de 69 por cento da receita de carteiras de hardware, apesar de menos unidades. Configurações multi‑assinatura em vários dispositivos air‑gapped, potencialmente de diferentes fabricantes, proporcionam defesa em profundidade que nenhum método de conectividade de um único dispositivo consegue igualar.

Also Read: Can AI Really Run DeFi? New Findings Expose Major Risks

Conclusão

O debate air‑gapped vs. USB vs. Bluetooth gera mais calor do que luz. O canal de transporte de dados é o componente menos explorado de toda a superfície de ataque das carteiras de hardware. Todo roubo confirmado envolvendo carteiras de hardware remeteu a extração física, adulteração na cadeia de suprimentos, engenharia social ou comprometimento da infraestrutura ao redor. Nenhum foi atribuído a interceptação de comunicações USB ou Bluetooth.

O air‑gapping oferece valor real como disciplina de segurança operacional, não como defesa criptográfica.

Um dispositivo que fica em um cofre e se comunica apenas por QR codes é mais difícil de atacar porque é mais difícil de alcançar, não porque QR codes sejam mais seguros do que USB.

Enquanto isso, o canal bidirecional do USB possibilita protocolos anti‑klepto que representam o avanço mais significativo em segurança de assinatura em carteiras de hardware nos últimos anos, uma defesa que carteiras air‑gapped estruturalmente não podem adotar. Os três fatos que devem orientar qualquer decisão: a qualidade do elemento seguro importa mais do que o método de conectividade; firmware de código aberto permite auditoria comunitária independentemente da camada de transporte; e multisig em dispositivos de fabricantes diferentes oferece proteção mais forte do que qualquer air gap de uma única carteira.

Read Next: Schwab Warns Even 1% Bitcoin Allocation Reshapes Portfolio Dynamics

Disclaimer e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e baseiam-se na opinião do autor. Não constituem aconselhamento financeiro, de investimento, legal ou fiscal. Os ativos de criptomoeda são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou deter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou executivos. Sempre conduza a sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Artigos Relacionados de Aprendizado
Como escolher uma hard wallet: 10 fatores que realmente importam
Guia para escolher hard wallet alinhando segurança, suporte a moedas e nível técnico, destacando 10 fatores que pesam mais que a marca.
Top 5 carteiras de criptomoedas com air gap que hackers não conseguem alcançar
Apr 05, 2026
Comparação das cinco principais carteiras de criptomoedas com air gap para máxima segurança offline em 2026, incluindo recursos e limitações.
Como proteger seu Bitcoin de ameaças quânticas agora mesmo
Mar 17, 2026
Como reduzir riscos quânticos para Bitcoin com boas práticas de endereços, UTXOs seguros e preparo antecipado.
Top 10 carteiras DeFi para trading seguro em 2026
Comparativo das 10 melhores carteiras DeFi em 2026, com foco em segurança, acesso multichain, taxas e recursos para trading descentralizado.
Melhores carteiras USDT em 2026: opções cold e hot comparadas
Comparação de carteiras USDT cold e hot em diversas redes, cobrindo taxas, segurança, compatibilidade e recursos para diferentes perfis.
Carteiras de Hardware com Air Gap vs. USB vs. Bluetooth: qual é realmente mais segura? | Yellow.com