Pesquisadores da equipe de segurança Donjon, da Ledger, mostraram que um pulso de laser aplicado com precisão ao chip dentro de um cartão da carteira cripto Tangem pode redefinir a senha para qualquer valor escolhido pelo invasor.
Sem senha antiga. Sem cartão de backup.
Depois da redefinição, quem executou o ataque passa a controlar a carteira e pode transferir os criptoativos.
Para a maioria dos usuários, não há motivo para alarme imediato.
O ataque exige o cartão físico em mãos e um laboratório que o Donjon estima em cerca de US$ 250.000.
Também é necessário abrir o cartão, o que deixa danos visíveis.
Não é algo que possa ser feito pela internet, e não existe correção a caminho: os cartões Tangem não recebem atualização de firmware, então todo cartão já vendido carrega essa fraqueza.
O grupo que precisa agir agora é o de pessoas cujo cartão foi perdido ou roubado e que armazenam valores relevantes.
## Como o cartão foi projetado para proteger você
A carteira Tangem parece um cartão bancário comum.
Basta aproximá-la do celular, e um aplicativo companheiro se comunica com um chip Samsung S3D232A dentro do cartão.
Esse chip é um elemento seguro, projetado para resistir a adulterações e certificado em um nível alto, chamado EAL6+.
Ele guarda a chave secreta que controla seus criptoativos e nunca a expõe.
Em tese, duas barreiras ficam entre um ladrão e o dinheiro: possuir o cartão e saber a senha.
O ponto fraco está na função de redefinição de senha.
A Tangem vende seus cartões em conjuntos vinculados e, se o usuário esquecer a senha, é possível criar uma nova ao aproximar dois cartões do conjunto.
No interior desse processo, o cartão executa uma única verificação: este cartão está em modo de recuperação? Se a resposta for sim, ele aceita uma nova senha sem pedir a antiga.
Um pulso de laser disparado no chip no exato momento em que essa checagem acontece não reescreve discretamente um valor armazenado.
Ele perturba por instantes a própria circuitaria do chip, fazendo a verificação falhar e o cartão agir como se estivesse em modo de recuperação, quando não está.
Com a checagem burlada, o comando normal SetPin do cartão aceita uma senha nova: sem senha antiga, sem segundo cartão e sem etapa de recuperação.
Desativar o recurso de recuperação não ajuda, porque a mesma checagem continua presente em todos os cartões.
## Difícil de executar e impossível de corrigir
Nada disso é simples.
O ataque exigiu um conjunto de laser, equipamentos de medição sensíveis, conhecimento profundo de hardware e um longo trabalho prévio para mapear o chip e encontrar o ponto exato e o tempo exato do disparo.
O cartão precisa ser aberto e o chip, exposto, o que deixa danos evidentes.
Não há como fazer isso discretamente e devolver o cartão ao bolso sem que ninguém perceba.
O Donjon informa que, uma vez ajustados os parâmetros, o ataque funcionou em todos os cartões testados, levando cerca de duas horas por unidade.
A equipe comunicou a falha à Tangem em 10/02/2026.
O problema maior é a permanência.
A Tangem fabrica seus cartões sem possibilidade de atualização de firmware e apresenta isso como um recurso de segurança: nada pode ser alterado, logo nada pode ser adulterado à distância.
Neste caso, porém, o mesmo desenho trabalha contra o usuário, deixando no código uma falha que nunca poderá ser corrigida.
Como disseram os pesquisadores, “não há patch, mas o ataque é físico e invasivo”, portanto ele não pode ser realizado remotamente.
## O que a Tangem diz
A Tangem reagiu.
Em uma resposta pública, a empresa classificou o método como uma técnica física de laboratório, válida contra chips de elemento seguro em geral e não algo específico de seus cartões.
A companhia também destacou que o Donjon faz parte da Ledger, uma de suas maiores concorrentes.
Seu argumento mais forte está no custo: um cartão Tangem não traz indicação de quem é o proprietário nem de quanto valor armazena.
Assim, um invasor que gaste US$ 250.000 e destrua cartões para ajustar o ataque não tem como saber se um cartão roubado vale US$ 50 ou US$ 50 milhões.
A Tangem também afirma que ninguém perdeu fundos em um ataque a laser contra qualquer hardware wallet até agora e que, para usuários comuns, “o risco prático é praticamente inexistente”.
Os dois lados têm parte da razão.
Os pesquisadores do Donjon estão corretos ao afirmar que a falha existe, está presente em todos os cartões e nunca poderá ser corrigida por patch.
A Tangem também está certa ao dizer que, para quase todo mundo, o custo, a destruição dos cartões e a incerteza sobre o valor armazenado tornam o ataque pouco viável.
O ponto em que os argumentos realmente se encontram é estreito: um cartão perdido, roubado ou apreendido, e que o invasor já tenha motivo para acreditar que vale o esforço.
## Não é a primeira vez que um chip de carteira é quebrado assim
Esta não é a única investida do Donjon contra uma hardware wallet neste ano.
No início de junho, a Trezor e sua parceira de chips, Tropic Square, divulgaram um resultado relacionado: o Donjon usou a mesma técnica, chamada injeção de falha a laser, no chip TROPIC01 da nova Trezor Safe 7.
Dessa vez, o ataque conseguiu contornar a verificação de assinatura do firmware do chip para executar seu próprio código.
A Trezor afirmou que os fundos permaneceram seguros porque a Safe 7 usa três camadas independentes de segurança e a camada que protege o PIN permaneceu intacta.
Diferentemente da Tangem, a Trezor e a Tropic Square puderam reagir: lançaram uma solução provisória para os chips atuais e estão reforçando a próxima versão do silício.
Ataques mais baratos contra carteiras existem há mais tempo, mas atingiam alvos mais fracos.
Há anos, a mesma equipe extraía a seed de recuperação diretamente de um Trezor One ou Trezor T roubado com um equipamento que custava cerca de US$ 100, porque essas carteiras protegiam seus segredos com um microcontrolador comum, sem elemento seguro.
O chip reforçado da Tangem é justamente o diferencial.
É por isso que um ataque físico semelhante agora exige um laboratório de um quarto de milhão de dólares.
Isso eleva a barreira, mas esta pesquisa mostra que não elimina o risco.
E uma certificação como EAL6+ só atesta o chip e suas defesas embutidas, não o código acrescentado pelo fabricante da carteira, que é onde esta falha está.
Este também é o terceiro achado do Donjon envolvendo a Tangem.
Um desvio no aplicativo Android poderia ser corrigido, porque estava no software controlado pela empresa.
Já este ataque a laser e um método anterior de força bruta contra a senha estão no firmware do cartão, que nunca pode ser alterado.
## O que fazer
Para quase todo mundo, a orientação continua a mesma: mantenha o cartão fora do alcance de ladrões.
Esse ataque não consegue atingir um cartão que você ainda controla.
Se um cartão Tangem foi perdido ou roubado e há valores significativos nele, mova os fundos agora, usando outro cartão do conjunto ou uma seed phrase, se você tiver configurado uma.
E pare de confiar na senha para proteger um cartão que você já não controla.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...