Trezor: a hardware wallet 100% open source — e o que isso realmente significa

Se a Ledger é a hardware wallet "mainstream" do cripto, a Trezor é a escolha dos cypherpunks. Fabricada pela tcheca SatoshiLabs em Praga, foi a primeira hardware wallet Bitcoin da história (Trezor Model One, 2014). Seu diferencial filosófico: firmware 100% open source, auditável por qualquer um.

Este artigo analisa os modelos atuais (Safe 3, Safe 5, Model T), a vulnerabilidade histórica de voltage glitching, a importância crítica da passphrase, e pra quem a Trezor faz mais sentido do que as alternativas.

A empresa: quem é a SatoshiLabs

Fundada em 2013 em Praga por Marek "Slush" Palatinus e Pavol "Stick" Rusnák. Slush também criou o primeiro mining pool da história (Slush Pool, 2010) — uma dupla de veteranos Bitcoin de primeira hora.

A filosofia sempre foi: código aberto, transparência total, sem concessões comerciais. Até hoje, o firmware completo, incluindo bootloader, é publicado no GitHub oficial. Qualquer pesquisador pode compilar, verificar e apontar falhas — e faz isso, constantemente.

Os modelos atuais (2026)

Trezor Safe 3 — entry-level com Secure Element

• Preço: ~R$ 480 (€79)
• Chip: SE certificado EAL 6+ (Optiga Trust M)
• Tela: OLED pequena, botões físicos
• Conectividade: USB-C apenas
• Firmware: 100% open source

Lançada em 2023, foi a primeira Trezor com Secure Element — resposta direta à vulnerabilidade histórica de voltage glitching. Não elimina todas as críticas puristas (o SE tem uma parte binária fechada do fornecedor Infineon), mas eleva drasticamente a segurança física.

Trezor Safe 5 — premium touchscreen

• Preço: ~R$ 1.350 (€169)
• Tela: 1,54" colorida touchscreen
• Chip: SE EAL 6+
• Feedback tátil (vibração ao confirmar)

O "iPhone" das Trezor. Tela colorida facilita verificar endereços, QR codes, e confirma visualmente a transação. Preço competitivo com Ledger Flex e tela maior.

Trezor Model T — legado premium (descontinuado em 2025)

O Model T foi o carro-chefe entre 2018-2024. Touchscreen colorida, suporte a Shamir Backup, mas sem Secure Element. Substituído pelo Safe 5, que mantém as qualidades e adiciona SE.

Trezor Model One — entry-level descontinuado

O modelo original de 2014 ainda era vendido até 2024. Extremamente confiável, mas sem SE, o que o torna vulnerável a voltage glitching (veremos adiante). Se você tem um, não tem problema desde que use passphrase.

A vulnerabilidade histórica: voltage glitching

Em 2019-2020, pesquisadores (Kraken Security Labs, Ledger Donjon) publicaram ataques bem-sucedidos contra Trezor One e Model T. O ataque, chamado voltage glitching, funciona assim:

1. Atacante tem posse física do dispositivo.
2. Remove a capa, solda contatos precisos no chip STM32.
3. Aplica variações rápidas de voltagem durante operações críticas, causando falhas de processamento.
4. Em cerca de 15 minutos, consegue extrair a seed em texto plano.

A resposta da SatoshiLabs foi cristalina: voltage glitching é uma limitação física do chip STM32, impossível de corrigir via firmware. A mitigação: use passphrase — que não fica armazenada no dispositivo.

Em 2023, o Trezor Safe 3 trouxe o Secure Element, que torna esse ataque impraticável. O debate puristas-vs-pragmáticos continua, mas o hardware evoluiu.

A importância crítica da passphrase

A seed de 12/24 palavras é apenas o primeiro fator. A passphrase (tecnicamente, BIP39 passphrase) é uma palavra/frase adicional que você digita em cada inicialização.

Do ponto de vista técnico: passphrase cria uma carteira totalmente nova e diferente, derivada da seed + passphrase. Sem a passphrase correta, mesmo quem tem a seed não acessa os fundos reais — acessa uma "carteira falsa" (geralmente vazia ou com saldo de camuflagem).

Implicações:

• Proteção contra ataque físico (inclusive $5 wrench attack — quando te ameaçam até você entregar a seed).
• Proteção contra vulnerabilidades como voltage glitching — o atacante extrai a seed mas não acessa o saldo real.
• Risco de auto-sabotagem: esquece a passphrase, perde tudo. Irrecuperável. Não há "esqueci a senha".

Regra prática: use passphrase forte (12+ caracteres, memorizável ou guardada em local diferente da seed). Não use a passphrase "senha" ou "bitcoin" — isso invalida toda a proteção.

Trezor Suite: o app companion

Trezor Suite é o software oficial (desktop e web). Pontos:

• 100% open source — auditável.
• Integra com Tor nativamente — conexão anônima ao nó padrão.
• Suporte a CoinJoin (Wasabi, Whirlpool) — anonimização de Bitcoin nativamente.
• Ethereum e altcoins suportadas, mas catálogo menor que Ledger (~1.800 ativos vs 5.500).

Pra Bitcoin e Ethereum puro, a Suite é suficiente. Pra ecossistemas como Solana, Cosmos, Polkadot — Trezor fica devendo.

Pontos fortes

• Firmware 100% open source: todo código é auditável. Zero trust assumption no fabricante.
• Empresa com histórico limpo: nunca teve vazamento de dados de cliente, nunca houve polêmica tipo Ledger Recover.
• CoinJoin nativo via Trezor Suite — privacidade Bitcoin sem fricção.
• Shamir Backup (no Safe 5 e Model T) — divide seed em N partes, onde M de N são necessárias pra recompor. Herança/multi-usuário resolvido.
• Comunidade técnica forte: suporte comunitário robusto, reviews independentes constantes.

Pontos fracos

• Catálogo menor de altcoins (~1.800 vs ~5.500 da Ledger).
• Sem Bluetooth em nenhum modelo — pra uns, bom (menos ataque); pra outros, falta de mobilidade.
• Modelos pré-Safe não têm SE — exigem passphrase obrigatória pra proteger de glitching.
• Interface Trezor Suite menos polida que Ledger Live em UX para usuário casual.

Pra quem serve Trezor

• Bitcoiner puro ou majoritário (BTC + ETH + poucas altcoins).
• Usuário que valoriza privacidade: CoinJoin nativo é diferencial único.
• Desenvolvedor ou pesquisador que quer auditar firmware antes de usar.
• Quem desconfia do modelo "confie em nós" das empresas cripto.
• Planejamento de herança com Shamir Backup: dividir seed em 5 partes, 3 delas reconstroem — herdeiros recebem partes separadas.

Pra quem NÃO serve

• Investidor multi-chain com posições grandes em Solana, Cosmos, Polkadot, etc: Ledger cobre mais.
• Quem quer operação air-gapped absoluta: Coldcard é superior.
• Usuário mobile-first que quer Bluetooth e apps nativos polidos: experiência Trezor em mobile é inferior à Ledger.

Comprando com segurança (Brasil)

1. Só em trezor.io ou revenda oficial (SatoshiLabs lista revendas brasileiras no site).
2. Lacre antiviolação holográfico — se estiver violado, devolva.
3. Primeira inicialização: gere seed no dispositivo, ative passphrase imediatamente.
4. Anote seed + passphrase em locais diferentes. Passphrase NUNCA com a seed (derrota o propósito).
5. Teste recuperação: antes de depositar patrimônio sério, faça um reset e recupere pra garantir que a seed/passphrase funcionam.

"Open source não é sobre ter certeza que não tem bug. É sobre garantir que qualquer um pode encontrar — e, com sorte, alguém encontra antes do atacante." — princípio fundacional do ethos Trezor.

Conclusão

A Trezor é a escolha filosoficamente mais limpa pra quem valoriza auditabilidade, privacidade e histórico sem polêmica. A evolução pro Safe 3/Safe 5 (com Secure Element) resolveu a principal crítica técnica histórica (voltage glitching) sem abrir mão do open source.

Pra Bitcoiner consciente, usuário multi-chain moderado e planejamento de herança com Shamir, a Trezor é provavelmente a melhor escolha do mercado em 2026. Pra quem quer ir ainda mais longe em paranoia e Bitcoin-only absoluto — a próxima parada é Coldcard.

Leia também

• Ledger: a referência de mercado multi-chain
• Coldcard: air-gapped e Bitcoin-only
• Segurança cripto no Brasil: o erro de 40% dos usuários

Fontes externas

• Trezor Learn — documentação oficial
• Trezor Firmware (código-fonte)