- Ledger Donjon usou pulso de laser para resetar senha de cartões Tangem
- Ataque exige posse física, expertise avançada e laboratório de US$ 250 mil
- Cartões Tangem em circulação não recebem atualização de firmware
A equipe de segurança Donjon, braço de pesquisa da fabricante francesa Ledger, divulgou nesta semana um ataque de hardware capaz de resetar a senha de uma carteira tangem por meio de um pulso de laser direcionado ao chip do cartão. A técnica permitiria a um invasor assinar transações e mover fundos vinculados ao dispositivo sem conhecer a senha original.
O procedimento, no entanto, não é acessível ao criminoso comum. Segundo o relatório técnico, é preciso ter o cartão em mãos, expertise especializada e um laboratório com equipamento avaliado em cerca de US$ 250 mil (aproximadamente R$ 1,28 milhão). A Tangem afirmou que, nessas condições, o risco cotidiano é “virtualmente inexistente”.
Pulso de laser burla verificação de firmware
Os pesquisadores da Donjon aplicaram um pulso de laser em escala de nanossegundos contra uma área específica do secure element do cartão. O disparo interrompeu uma checagem interna do firmware executada durante o comando de reset de senha.
Normalmente, o cartão exige a senha atual antes de aceitar uma nova. Existe também um caminho legítimo de recuperação: quando o usuário tem um cartão de backup associado à mesma carteira, o sistema aceita substituir a credencial. Foi justamente esse fluxo que o ataque explorou, contornando a verificação que confirma se o dispositivo entrou em estado de recuperação aprovado.
A equipe repetiu o procedimento em três cartões diferentes. Após a etapa inicial de pesquisa, cada teste levou cerca de duas horas para ser preparado e executado. A falha foi comunicada à Tangem em 10 de fevereiro, dentro do protocolo padrão de divulgação responsável.
Cartões em circulação não recebem patch
Aqui está o ponto mais delicado da descoberta: os cartões Tangem já vendidos não suportam atualização de firmware. Isso significa que a fabricante não consegue distribuir uma correção para os dispositivos que estão nas mãos dos clientes. A única barreira que sobra é a dificuldade prática do ataque.
Para chegar ao chip, os pesquisadores cortaram o plástico do cartão, removeram camadas de blindagem e refizeram a fiação para conectar equipamentos externos de análise de energia e injeção de falhas por laser. O processo destrói fisicamente o cartão, o que impede qualquer devolução discreta ao dono original.
“Não há patch, mas o ataque é físico e invasivo”, afirmaram os pesquisadores, ressaltando que o risco maior surge se o cartão for perdido ou roubado.
Tangem questiona conflito de interesse
Em resposta publicada no X, a Tangem não contestou o resultado técnico. A empresa argumentou que a técnica de laser fault injection é aplicável a secure elements em geral e não constitui uma vulnerabilidade exclusiva de seu produto.
A fabricante também lembrou que a Donjon opera dentro da Ledger, uma das principais concorrentes no mercado de carteiras de hardware. Para a Tangem, o leitor deve considerar essa relação comercial ao avaliar o peso do relatório. Ainda assim, os pesquisadores da Ledger fazem uma ressalva relevante: a certificação EAL6+ do secure element cobre resistência a ameaças físicas do chip, mas não garante que o firmware acima dele seja imune a falhas lógicas.
Custódia própria vira tema sensível no Brasil
O caso chega em um momento em que a autocustódia ganha tração entre investidores brasileiros preocupados com risco de exchange. A memória da queda da FTX segue viva e episódios recentes de ataques a bibliotecas de software — como o pacote npm da Injective comprometido e o golpe de aprovação em Ethereum que drenou quase US$ 1 milhão — reforçam o apelo dos dispositivos físicos.
A limitação do ataque Donjon é dupla: exige posse do cartão e infraestrutura de laboratório inacessível ao criminoso médio. Para o investidor brasileiro que guarda o cartão em casa ou cofre, o vetor descrito não muda a rotina. O usuário exposto é quem perde ou tem o cartão furtado, cenário em que a recomendação padrão passa a valer: transferir os fundos para uma carteira nova assim que a perda for identificada.
A pesquisa não é a primeira da Donjon contra a Tangem. O grupo já havia divulgado bypass da verificação de autenticidade no Android e um método de força bruta contra o processo de autenticação do cartão, mostrando que auditorias de segurança em carteiras físicas seguem produzindo achados relevantes mesmo em produtos certificados.