Carteira de hardware: um “cofre frio” para chaves privadas
Essência: as chaves privadas permanecem dentro do dispositivo, e a confirmação das transações acontece na tela da carteira — isso reduz o risco de roubo das chaves por meio do PC, do navegador e de extensões maliciosas.
Uma carteira cripto de hardware é um dispositivo físico que armazena chaves privadas internamente e assina transações localmente, sem revelar as chaves ao computador ou ao telefone.
Nas carteiras “quentes”, as operações são confirmadas no navegador ou no smartphone. Em uma carteira de hardware, as chaves permanecem dentro do dispositivo, e a assinatura é confirmada na tela do próprio aparelho (com botões ou sensor). Por isso, o malware no host não obtém as chaves privadas.
Como funciona uma carteira cripto de hardware
- As chaves privadas são geradas e armazenadas no dispositivo.
- A transação é assinada dentro da carteira e confirmada na tela do dispositivo.
- Uma transação assinada (assinatura digital) é enviada à rede, enquanto as chaves privadas permanecem offline.
Princípio: Quem controla as chaves controla os ativos.
Principais vantagens
- Indicada para armazenamento de longo prazo de valores altos: o risco é menor do que em carteiras “quentes”.
- O malware no PC ou no telefone não obtém as chaves privadas do dispositivo, mas pode substituir detalhes na interface — por isso, é crítica a conferência do endereço e do valor na tela.
- Indicada para DeFi e staking: conexão via aplicativos proprietários ou WalletConnect (conexão da carteira a um dApp por QR/sessão).
Contexto de 2025: surgiram mais modelos para diferentes cenários de conexão (USB, Bluetooth, QR). O critério principal é o cenário: para operações frequentes, importam a tela e a facilidade de confirmação; para “hold”, importam o modelo de ameaças e a qualidade do backup.
Marcas conhecidas continuam relevantes com higiene básica: backup offline da seed phrase e conferência dos detalhes da operação na tela do dispositivo.
Material atualizado → foram considerados modelos de 2024–2025, cenários com USB/Bluetooth/QR e riscos típicos de “assinaturas cegas” em DeFi.
- O que verificar antes da confirmação → endereço/rede/valor na tela do dispositivo.
- Como guardar o backup → backup prático (metal, passphrase, Shamir).
Como escolher uma carteira de hardware: 5 critérios sem enrolação
Cinco critérios: detalhes na tela durante a assinatura, tipo de suporte (nativo ou por integrações), recuperação, além de conexão e preço.
-
Segurança (chaves e acesso)
- PIN e proteção contra tentativas: atrasos, bloqueio ou apagamento após N tentativas.
- Conferência antes da assinatura na tela do dispositivo: endereço, rede, valor, taxa.
- Riscos de acesso físico: Secure Element e/ou passphrase reduzem as consequências do roubo do dispositivo.
-
Usabilidade (erros na confirmação)
- Critério da tela: devem aparecer os detalhes da operação, e não apenas “OK/Confirm”.
- Critério do endereço: trechos longos legíveis, para que a substituição seja perceptível.
- Para DeFi, importa ver approve/spender (a quem os direitos são concedidos), e não apenas “blind signing”.
-
Moedas e redes (tipo de suporte)
- O suporte pode ser nativo no aplicativo proprietário ou via integrações (MetaMask/Electrum/Sparrow), o que implica restrições diferentes e UX diferente.
- A compatibilidade é determinada pela plataforma (PC/Android/iOS) e pelo aplicativo específico.
- Verificação prática: um ciclo de teste “receber → enviar uma pequena quantia” mostra quais detalhes aparecem na tela durante a assinatura.
-
Conexão (USB, Bluetooth, QR)
- USB é previsível; QR air-gap reduz o número de canais de troca de dados, mas exige mais tempo.
- Bluetooth é conveniente para o telefone, mas adiciona um canal de comunicação; em um modelo de ameaças mais rígido, costuma ser usado como modo opcional.
- Nuances de plataforma: Android (OTG), iOS (restrições do modelo e do aplicativo).
-
Preço (paga-se por UX, não por “magia”)
- Normalmente ~$50–$300+: o aumento de preço geralmente está ligado à tela, ao touch e ao conforto.
- O risco de supply chain é menor ao comprar de vendedores oficiais; dispositivos “de segunda mão” e “pré-configurados” aumentam a probabilidade de comprometimento.
- Custos com backup: metal, segundo conjunto, armazenamento separado.
O que mais considerar na escolha
- Software: Ledger Live / Trezor Suite / BitBoxApp e compatibilidade com carteiras de terceiros para as redes necessárias.
- Documentação e atualizações: instruções claras e frequência de releases para a plataforma necessária.
- Backup: 24 palavras / microSD / Shamir (se houver) e um teste único de recuperação “a seco”.
- Resposta a vulnerabilidades: velocidade, transparência e patches.
A falha típica não está no “hack do chip”, mas nos erros de uso: compra fora de vendedores oficiais, cópias digitais da seed phrase e assinatura sem conferir endereço/rede/valor na tela do dispositivo.
Comparação de carteiras de hardware 2024–2025: o que se obtém pelo próprio dinheiro
A tabela não é um “ranking”. Ela ajuda a comparar cenários: multimoedas universal, air-gap por QR ou BTC-only para isolamento rigoroso.
Como ler: 1) tela (endereço/rede/valor durante a assinatura), 2) conexão (USB/BT/QR), 3) “# moedas”. O “suporte” pode ser nativo (aplicativo proprietário) ou por integrações (MetaMask/Electrum/Sparrow).
Os preços e o número de moedas são aproximados: dependem da região, do fornecimento e das atualizações.
| Modelo | Preço | # Moedas | Compatibilidade | Características | Vantagens | Desvantagens |
|---|---|---|---|---|---|---|
| Trezor One | ~$65 (59 €) |
1000 | PC Android (OTG) |
OLED; 2 botões sem SE; open-source |
Preço baixo: “barreira de entrada” início e configuração simples código aberto |
Sem BT nem iOS tela pequena: mais difícil conferir o endereço sem SE, o papel da passphrase é maior em caso de acesso físico |
| Trezor Model T | ~$219 | 1800+ | PC Android (OTG) |
Touch 1.54″ (colorido) microSD (Shamir) open-source |
Tela touch: facilita a conferência dos dados Shamir Backup para backup distribuído inclui Monero |
Mais caro do que muitas alternativas sem BT/iOS sem SE, a disciplina com passphrase é importante |
| Ledger Nano X | $149 | 5500+ | PC Android/iOS (BT) |
OLED; 2 botões BT + bateria SE CC EAL5+ |
Ampla cobertura de ativos e integrações cenário móvel: BT + bateria chip SE como vantagem contra acesso físico |
Firmware fechado (modelo de confiança diferente) discussões reputacionais sobre funções/incidentes da marca no iOS, parte dos cenários pode ser limitada |
| Ledger Stax | $279 | 5500+ | PC Android/iOS (BT) |
E-Ink 3.7″ (touch) carregamento Qi SE EAL6+ |
Grande E-Ink: menos confirmações “às cegas” tela grande e touch SE EAL6+ |
Preço muito alto bateria não removível firmware fechado |
| Coldcard Mk4 | $150 | BTC-only | PC PSBT: microSD/USB |
OLED + teclado 2× SE; sem BT NFC (opc.) |
BTC-only: foco rigoroso PSBT/microSD para assinatura offline multisig e modos de proteção |
Somente BTC barreira de entrada maior (PSBT, multisig, Sparrow) menos conforto para o uso “cotidiano” |
| Keystone 3 Pro | $149 | 5500+ | Autônomo (QR) Android / iOS |
Tela 4″; 3× SE impressão digital; sem USB/BT self-destruct |
Air-gap por QR: sem cabo/canal BT de dados tela grande: mais fácil conferir os detalhes conveniente para DeFi móvel via QR |
O processo por QR é mais lento do que USB/BT o dispositivo é maior do que “pendrives” o UX depende dos aplicativos/combinações |
| BitBox02 | $120 | ~1500 | PC Android (USB-C) |
USB-C compacto bordas sensíveis ao toque backup por microSD |
Backup por microSD: recuperação rápida equilíbrio entre “transparência + hardware” existe versão BTC-only |
Sem iOS no modelo clássico menos redes do que o Ledger o controle por toque exige adaptação |
| NGRAVE ZERO | $398 (398 €) |
1000+ | Autônomo (QR) Android / iOS |
Touch 4″; câmera SE EAL7; biometria totalmente offline |
Ênfase em “hardware” e riscos físicos tela grande + confirmações offline Graphene backup como cenário separado |
Preço muito alto experiência menos massificada e menos integrações firmware fechado; cenário via smartphone/combinação |
| SafePal S1 | $50 | 30 000+ | Autônomo (QR) Android / iOS; USB |
Tela + câmera bateria suporte da Binance Labs |
Entrada acessível no armazenamento “frio” listas amplas de redes/tokens cenário QR sem cabo |
UI desatualizada e navegação por botões atualizações pouco frequentes e UX irregular compromissos em acabamento/sensação de uso |
Verificação prática: 1) o ativo está na lista oficial e o tipo de suporte é claro; 2) na tela do dispositivo aparecem endereço/rede/valor/taxa antes da assinatura.
Análises de carteiras de hardware: 8 modelos e compromissos claros
Análises curtas por cenário: universalidade, air-gap, BTC-only ou tela grande.
Como ler: 1) “Essência” (cenário e modelo de confiança), 2) parâmetros (tela/conexão/software), 3) pontos fortes e limitações, 4) conclusão sobre a aplicabilidade.
Trezor One — um “veterano” simples para começar
Essência: carteira econômica sem Bluetooth e sem bateria. É uma escolha frequente como “primeira fria”, mas sem Secure Element; quando há risco de acesso físico, costuma-se adicionar passphrase.
- Conexão: USB (micro-USB) • sem BT/bateria
- Ativos: >1 000 (BTC, ETH, LTC, ERC-20 e outros)
- Tela/controle: OLED (mono) • 2 botões
- Compatibilidade: Windows / macOS / Linux; Android (OTG) • iOS — não
- Software: Trezor Suite (Desktop + Web + Bridge)
- Modelo de proteção: open-source; SE: não • PIN, Passphrase, assinatura offline
|
Pontos fortes
|
Limitações
|
Para quem serve: cenário básico com fio e “barreira de entrada” no armazenamento frio; para uma classe com tela touch ou SE, outros modelos da linha costumam ser considerados.
Trezor Model T — modelo topo da Trezor com tela touch
Essência: tela touch colorida e entrada de PIN/passphrase no dispositivo. Inclui Shamir Backup. Abordagem “open-source sem Secure Element”.
- Conexão: USB-C • microSD para Shamir • sem BT/bateria
- Ativos: ≈1 800+ • Monero — especificamente aqui
- Tela: 1.54″ touch colorida • entrada no dispositivo
- Compatibilidade: PC; Android (OTG) • iOS — não
- Software: Trezor Suite
- Modelo de proteção: open-source; SE: não • Shamir, CoinJoin, FIDO2
|
Pontos fortes
|
Limitações
|
Para quem serve: cenários em que touch-UX e Shamir Backup são importantes dentro de um modelo de confiança o mais “aberto” possível.
Ledger Nano X — multimoedas para o dia a dia
Essência: carteira compacta com Bluetooth e bateria para cenários móveis. O Ledger Live cobre as operações básicas. Inclui Secure Element CC EAL5+, mas o firmware é fechado.
- Conexão: USB-C / Bluetooth • bateria
- Ativos: ≈5 500+
- Tela: OLED 128×64 • 2 botões
- Compatibilidade: PC; Android / iOS • podem existir limitações
- Software: Ledger Live
- Modelo de proteção: SE CC EAL5+ • PIN, Passphrase, U2F
|
Pontos fortes
|
Limitações
|
Para quem serve: “uma carteira para muita coisa” (multirredes + cenário móvel), se o firmware fechado for aceitável.
Ledger Stax — grande E-Ink e foco no conforto das confirmações
Essência: foco na legibilidade: E-Ink curvo de 3.7″, touch, carregamento Qi e ímãs. Em termos de cenário, é próximo ao Nano X, mas as confirmações na tela são mais fáceis de ler. SE EAL6+.
- Conexão: USB-C / Bluetooth • Qi • bateria
- Ativos: ≈5 500+
- Tela: 3.7″ E-Ink (touch) • always-on
- Compatibilidade: PC; Android / iOS
- Software: Ledger Live
- Modelo de proteção: SE EAL6+ • PIN, Passphrase
|
Pontos fortes
|
Limitações
|
Para quem serve: cenários em que a prioridade é a legibilidade e o conforto da confirmação na tela.
Coinkite Coldcard — BTC-only e máximo controle
Essência: carteira BTC para “modo rigoroso”: PSBT via microSD (air-gap), 2× Secure Element, duress-PIN e modos de proteção. É frequentemente usada para multisig e hold de longo prazo.
- Conexão: USB (energia) • microSD (PSBT) • sem BT/bateria
- Ativos: BTC-only
- Controle: OLED + teclado • 12 teclas
- Compatibilidade: PC + offline via microSD
- Software: Electrum / Sparrow / Specter
- Modelo de proteção: 2× SE • duress PIN, Brick Me, tamper
|
Pontos fortes
|
Limitações
|
Para quem serve: hold de BTC e esquemas multisig, quando o controle é mais importante do que a conveniência “cotidiana”.
Keystone 3 Pro — air-gap por QR para DeFi ativo
Essência: troca de dados via QR (sem BT e sem troca de dados por USB), grande touch de 4″, 3× Secure Element e modos de proteção. O cenário é DeFi móvel por meio do WalletConnect e de combinações com aplicativos compatíveis.
- Conexão: Air-gap (QR) • sem BT/dados por USB
- Ativos: ≈5 500+
- Tela: 4″ touch + câmera
- Compatibilidade: Android / iOS • PC via QR
- Software: Keystone Companion • WalletConnect
- Modelo de proteção: 3× SE • Self-Destruct, Fingerprint
|
Pontos fortes
|
Limitações
|
Para quem serve: QR air-gap e operações ativas em DeFi pelo telefone, com prioridade para assinatura offline.
BitBox02 — minimalismo e backup por microSD “em um passo”
Essência: carteira compacta com fio, com backup em microSD “em arquivo”, abordagem open-source e chip protegido. Existem versões Multi e BTC-only.
- Conexão: USB-C • microSD (backup)
- Ativos: ≈1 500+ (Multi) • BTC-only — versão separada
- Controle: OLED • bordas sensíveis ao toque
- Compatibilidade: PC; Android (USB-C) • iOS — não
- Software: BitBoxApp
- Modelo de proteção: SE ATECC608A • Anti-Klepto, U2F
|
Pontos fortes
|
Limitações
|
Para quem serve: armazenamento cuidadoso com prioridade para backup simples e UX minimalista.
NGRAVE ZERO — “cofre de mesa” com EAL7 e modo QR
Essência: dispositivo offline no formato de “mini-smartphone”: troca por QR, tela grande, SE EAL7, sensores anti-violação e backup físico Graphene. É uma classe de nicho com foco em riscos físicos.
- Conexão: Air-gap (QR) • USB-C: carga/firmware
- Ativos: ~1 000+
- Tela: 4″ touch + câmera • 480×800
- Compatibilidade: Android / iOS
- Software: Liquid • WalletConnect; integrações por QR
- Modelo de proteção: SE EAL7 • sensores anti-violação, NGRAVE OS
|
Pontos fortes
|
Limitações
|
Para quem serve: modelo de ameaças rígido e valores altos, quando a prioridade é a assinatura offline e a resistência física do dispositivo.
Modelos de nicho e alternativas dignas
Aqui não estão os “maiores sucessos”, mas sim dispositivos para cenários específicos: ultraeconômico, Trezor com SE, BTC-only com UX, open-source para uma abordagem mais técnica, cartão NFC para uso cotidiano.
SafePal S1
Formato: air-gap por QR (USB — opcional, depende do cenário).
Ativos: são anunciados >30 000 tokens/redes — o suporte real depende do SafePal App.
Ponto forte: baixo preço de entrada no armazenamento frio + ampla cobertura de redes nas listas.
Limitação: UX mais simples e firmware fechado — o modelo de confiança difere dos dispositivos open-source.
Para quem serve: cenários em que o preço mínimo é importante com listas amplas de redes, e o processo por QR é aceitável em termos de velocidade.
Trezor Safe 3
Formato: com fio (USB), sem Bluetooth.
Ecossistema: Trezor Suite (PC + Android via OTG).
Ponto forte: “experiência Trezor” + Secure Element em uma linha mais acessível.
Limitação: sem iOS/BT e sem touch — a confirmação e a navegação são menos “móveis”.
Para quem serve: cenários em que a interface Trezor e o chip SE são importantes contra riscos de acesso físico.
Blockstream Jade
Formato: modos híbridos — USB / Bluetooth / QR.
Foco: abordagem open-source e cenários com BTC (geralmente via Green e carteiras compatíveis).
Ponto forte: escolha do modo de conexão de acordo com a situação (USB para simplicidade, BT para mobilidade, QR para isolamento).
Limitação: ausência de Secure Element “clássico” — para parte dos cenários, isso é essencial.
Para quem serve: abordagem open-source e flexibilidade dos modos de conexão sem vinculação a um único cenário.
Foundation Passport
Formato: BTC-only com QR-air-gap e foco em UX claro.
Integrações: geralmente combinado com Sparrow/Specter e outras ferramentas BTC.
Ponto forte: foco rígido em BTC sem uma interface “apenas para técnicos”.
Limitação: preço alto e estritamente BTC-only (sem cenário “para altcoins por precaução”).
Para quem serve: armazenamento apenas de BTC com QR-air-gap, quando a prioridade é legibilidade e navegação.
Tangem Wallet
Formato: “smart card” NFC sem tela — controle via smartphone.
Segurança: Secure Element (muitas vezes indicado como EAL6+); firmware fechado/imutável.
Ponto forte: barreira de entrada mínima e cenário cotidiano rápido.
Limitação: sem tela no dispositivo, não há conferência “de hardware” do endereço/valor; a dependência do smartphone aumenta.
Para quem serve: cenários em que velocidade e formato de cartão são importantes, e autonomia e conferência em tela são secundárias.
Guia de seleção: carteira de hardware por perfil e cenário
A escolha se reduz a três parâmetros: ativos (BTC-only ou multirredes), assinatura (USB / Bluetooth / QR) e escala de risco (operações cotidianas ou valores altos).
Lógica curta de escolha:
- Telefone: Bluetooth (Ledger) ou QR air-gap (Keystone / SafePal / NGRAVE).
- Menos confirmações “às cegas”: endereço e valor legíveis na tela (tela maior ou interface mais transparente).
- Valores altos: a prioridade vai para esquemas multisig + backups distribuídos, e só depois vem a escolha do modelo.
1) Para iniciantes e uso cotidiano
- Trezor Safe 3 / Trezor One — cenário com fio e ecossistema Suite; a proteção contra substituição depende da conferência do endereço na tela.
- Ledger Nano S Plus — econômico e com ampla cobertura de moedas em um cenário USB.
- SafePal S1 — muitas redes por pouco dinheiro com assinatura via QR; a velocidade é menor do que em USB/BT.
2) DeFi/NFT e uso ativo
- Ledger Nano X / Ledger Stax — Bluetooth, Ledger Live e integrações para multirredes.
- Keystone 3 Pro — QR air-gap para DeFi móvel via WalletConnect e aplicativos compatíveis; a troca por QR adiciona etapas e reduz o número de canais de troca de dados.
- BitBox02 Multi — backup por microSD e ecossistema; a cobertura de redes deve ser comparada com os tokens-alvo.
3) Valores altos e modelo de ameaças rígido
- Multisig 2-de-3 — menor risco de “um único ponto de falha”: marcas diferentes + armazenamento separado de chaves e backups.
- NGRAVE ZERO — QR air-gap e foco em proteção (mais caro e menos “cotidiano”).
- A rotina importa mais do que o modelo: passphrase, backup metálico, teste de recuperação e conferência do endereço/valor na tela.
Crítico em cada assinatura: conferir endereço, rede e valor na tela do dispositivo. A seed deve ser mantida offline (preferencialmente em metal), e PIN/seed/passphrase não devem ser entregues a terceiros.
Perguntas e respostas (FAQ)
Backup da seed phrase para carteira de hardware: metal, passphrase ou Shamir — o que escolher?
O nível básico é metal e um segundo conjunto em outro local. Para valores altos, adiciona-se passphrase ou usa-se Shamir 2-de-3; uma etapa separada é uma verificação única da recuperação em um dispositivo “limpo”. A análise detalhada do backup está em outro material: seed phrase: armazenamento e backups.
USB, Bluetooth ou QR (air-gap): como isso afeta a carteira de hardware e a confirmação?
QR/PSBT reduz o número de canais de troca de dados, USB continua sendo uma opção funcional com conferência na tela, e o Bluetooth adiciona um canal de comunicação em troca de mobilidade. O princípio geral é: a conferência de endereço/rede/valor é feita no dispositivo, e não no aplicativo.
PC/smartphone infectado e carteira de hardware “limpa”: onde o risco permanece?
As chaves privadas não saem do dispositivo, mas o host infectado pode substituir o endereço e os detalhes na interface. A reação prática é interromper as operações e mudar para um ambiente limpo; em caso de dúvida, usa-se o cenário nova seed + passphrase e transferência dos fundos.
DeFi/NFT via carteira de hardware: o que importa ver durante a assinatura?
É crítico que os detalhes da operação e o tipo de ação (por exemplo, transfer ou approve) sejam legíveis na tela do dispositivo e, em EVM, quem é o spender e qual allowance está sendo concedido. O aprofundamento sobre approvals e revogação de permissões está em um material separado: approval/allowance: verificação e revoke.
O que conferir na tela do dispositivo antes da assinatura?
Para quem (endereço), o quê (ativo/valor), onde (rede/chainId), quanto (taxa). Em EVM, separar ainda: transfer ou approve, e quem é o spender. Se a operação não estiver clara, a assinatura deve ser adiada.
Quando faz sentido usar multisig com carteiras de hardware?
Para valores altos, o esquema 2-de-3 com dispositivos de marcas diferentes reduz o risco de um único ponto de falha. As condições do cenário são: armazenamento separado de chaves e backups, além de teste de perda de um dispositivo. A montagem passo a passo e as nuances entre fabricantes estão em um material separado: multisig 2-de-3: princípios e montagem.
Herança e carteira de hardware: o que precisa ser previsto?
Dois níveis: documentos jurídicos e uma “instrução técnica” separada (onde estão os backups e qual é a ordem das ações). A seed phrase não deve ser colocada em testamento; o cenário precisa funcionar sem a participação do proprietário.
Final: armazenamento frio que realmente funciona
A carteira de hardware mantém as chaves privadas dentro do dispositivo e assina transações offline. A confirmação na tela reduz o risco de substituição de endereço e de “assinar a coisa errada”.
Fórmula prática: chaves offline + backup separado + conferência na tela — esse é o conjunto básico, mais importante do que um “modelo top”.
A seed phrase não deve entrar em formato digital (fotos/scans/nuvem/digitação no PC). Se a seed foi parar “no digital”, o risco de comprometimento passa a ser considerado maior.
|
Recomendado
|
Indesejado
|
Mini-algoritmo de início
- Compra: vendedor oficial → verificação da embalagem e do conteúdo.
- Inicialização: a seed é criada no dispositivo → anotação offline → segundo conjunto.
- Acesso: PIN → se necessário, passphrase (armazenamento separado).
- Verificação: transferência de teste de ida e volta com um pequeno valor.
- Separação: endereço separado para armazenamento e endereço “operacional” separado para DeFi.
- Manutenção: atualizações apenas de fontes oficiais + revisão periódica de permissões (allowance).
Pensamento final: a segurança não vem da “carteira mais cara”, mas da rotina: backup offline, armazenamento separado e conferência na tela.