Se você guarda Bitcoin, Ethereum ou qualquer outro criptoativo em uma hardware wallet, atenção redobrada: uma investigação brasileira acaba de expor um golpe sofisticado que transforma um dispositivo de segurança em arma contra o próprio dono. O pesquisador de cibersegurança Vinicius Pinheiro comprou uma suposta Ledger Nano S em um marketplace chinês e descobriu que, por trás do visual idêntico ao original, havia um “chip espião” pronto para roubar o PIN e a seed phrase de 24 palavras — credenciais que dão acesso irrestrito a todos os seus fundos na blockchain.
Como o golpe foi montado
Ao abrir o dispositivo, Pinheiro percebeu que o Secure Element genuíno — componente criptográfico que armazena as chaves privadas — fora substituído por um chip barato, com a identificação raspada. O firmware exibido na tela do aparelho indicava a versão “Nano S+ V2.1”, que não existe nos catálogos oficiais da Ledger. Esse sistema adulterado capturava cada tecla pressionada e enviava as informações em texto puro para um servidor remoto controlado pelos criminosos.
Por que isso é grave (e diferente de um simples phishing)
Phishings tradicionais exigem que o usuário clique em links maliciosos ou compartilhe a seed phrase em sites duvidosos. Já o chip espião integrado faz todo o trabalho sozinho: assim que você digita o PIN ou confirma a frase-semente dentro da própria carteira, os dados são exfiltrados sem levantar suspeita. Na prática, a segurança “isolada” em hardware — principal argumento de vendas de dispositivos como o Ledger Nano S ou o Trezor Model One — é completamente anulada.
Comparativo rápido: original vs. falsificado
- Secure Element
• Original: ST33J2M0 ou ST33K1M5, com certificação EAL5+.
• Falsificado: chip genérico sem qualquer selo de segurança. - Firmware
• Original: Ledger Nano S (1.x) ou Nano S Plus (2.x) verificado pela Ledger Live.
• Falsificado: “Nano S+ V2.1”, inexistente; não passa por checagem de integridade. - Procedência
• Original: lojas oficiais, Amazon Store da própria Ledger ou revendedores autorizados.
• Falsificado: marketplaces sem garantia de origem, vendedores terceirizados na Ásia.
Impacto direto para o usuário gamer e entusiasta de hardware
Quem monta PCs high-end costuma investir também em cripto para turbinar o orçamento de upgrades: placas de vídeo e processadores não saem barato. Perder todo o saldo por causa de uma hardware wallet adulterada significa adiar — ou cancelar — aquela troca de GPU tão sonhada. Não se trata apenas de “dinheiro virtual”; é o upgrade real do seu setup que fica em risco.
Como se proteger imediatamente
1. Compre apenas em canais oficiais. Na Amazon Brasil, verifique se o vendedor é a Ledger ou um reseller com selo “Prime”.
2. Selo holográfico intacto. A Ledger adota lacres e QR codes para checar autenticidade via Ledger Live.
3. Atualize pelo app oficial. Qualquer firmware que não apareça no Ledger Live é sinal vermelho.
4. Inspeção visual. Parafusos marcados, soldas grosseiras ou componentes lixados indicam adulteração.
5. Nunca revele sua seed phrase on-line. Se um aplicativo ou “suporte” pedir a sequência, é golpe.
Investigação em andamento
Pinheiro pretende adquirir mais unidades da mesma loja para mapear o tamanho da fraude. Um relatório técnico completo será enviado à Ledger, que pode usar as informações para fortalecer a cadeia de suprimentos e atualizar rotinas de verificação no Ledger Live. Até lá, o pesquisador segue publicando atualizações em suas redes sociais.
Imagem: William R
Golpe 360 °: software também comprometido
Além do hardware modificado, os criminosos distribuem versões falsas do Ledger Live e malwares para iPhone via TestFlight, driblando a curadoria da App Store. Dessa forma, mesmo quem possui uma carteira autêntica mas baixa o aplicativo errado pode ser enganado a fornecer a seed phrase.
O que esperar daqui para frente
• A Ledger deve reforçar suas embalagens com novos selos de autenticidade.
• Marketplaces que vendem eletrônicos importados podem sofrer maior pressão regulatória.
• Consumidores avançados — gamers, overclockers e mineradores — tendem a adotar rotinas de checagem semelhantes às que já usam para identificar GPUs falsificadas ou processadores regravados.
Por enquanto, a lição é clara: o elo mais fraco não é o blockchain, mas o ponto de compra. Se a oferta estiver boa demais para ser verdade, provavelmente não é verdade — e o preço final pode ser o saldo completo da sua carteira.
Com informações de Hardware.com.br
