Resposta curta
Uma hardware wallet roubada não é um evento de perda cripto por si só — o secure element do dispositivo detém a chave mas requer o PIN para acessá-la. Após 3 tentativas erradas de PIN, o dispositivo se autodestrói. Se você tem seu backup de seed phrase, pode restaurar fundos para um novo dispositivo imediatamente, e o ladrão não ganha nada. O evento real de perda é "hardware wallet roubada + ladrão conhece seu PIN ou olhou por cima do ombro". Mitigação: restaurar da seed para um novo dispositivo, transferir fundos para uma seed nova (a seed antiga está potencialmente comprometida se o ladrão é sofisticado).
O modelo de ameaça realista
Para um ladrão casual que encontra seu Ledger em uma mochila roubada: inútil. Eles não sabem o PIN; 3 tentativas erradas zeram o dispositivo.
Para um atacante sofisticado que sabe que você tem cripto e roubou o dispositivo especificamente: mais preocupante. Podem tentar ataques de side-channel (decapsulação, voltage glitching, análise eletromagnética). O paper Ledger Donjon de 2018 documentou alguns ataques side-channel contra modelos Ledger antigos. O secure element do Trezor Safe 3 é classificado para resistir a esses em níveis de custo de "atacante state-actor bem-financiado".
Para um ladrão que viu você digitar seu PIN: o dispositivo é deles. Podem assinar transações imediatamente.
Resposta imediata ao roubo
Restaure da seed phrase para uma nova hardware wallet imediatamente. A mesma seed reproduz os mesmos endereços, então você pode ver seus saldos no novo dispositivo. Depois — e isto é crítico — gere uma seed phrase nova, configure uma nova wallet, e transfira todos os fundos da wallet antiga para a nova wallet.
Por que transferir? Se a hardware wallet antiga foi fisicamente atacada por um ladrão sofisticado, a seed phrase original poderia ter sido extraída via side-channel. Mover para uma seed nova elimina este risco. Custo: as taxas de gas para a transferência. Benefício: certeza.
O que "seed comprometida" parece
Se o ladrão tinha o dispositivo e seu PIN: alta probabilidade de seed comprometida.
Se o ladrão tinha apenas o dispositivo (sem exposição de PIN): baixa probabilidade para ladrão casual, média probabilidade para atacante sofisticado.
Se o dispositivo nunca saiu da sua vista mas foi roubado brevemente: baixa probabilidade.
Para confiança mais alta em compromisso: qualquer sinal de que alguém esteve em sua casa, qualquer transação não-familiar na wallet, qualquer padrão sugerindo roubo direcionado.
Seguro e autoridades
Para holders brasileiros com perdas cripto substanciais por roubo: registre boletim de ocorrência (requerido para reivindicações de seguro), arquive denúncia na Polícia Federal especializada em crimes cibernéticos. O roubo da hardware wallet em si raramente é recuperável, mas a documentação é necessária se você carrega uma apólice de seguro residencial que cobre cripto (raro) ou tem uma apólice de seguro de roubo cripto privada.
A maioria das apólices de seguro residencial brasileiras não cobre roubo cripto. Coincover e Lloyd's underwriters oferecem seguro de roubo específico cripto, com prêmios anuais de 0,5-2% do valor segurado.
Prevenção
Armazene a hardware wallet em um cofre antichamas em casa. Não a carregue na sua mochila diária. Para viagens, o dispositivo pode ficar em casa — restaure da seed phrase apenas se você realmente precisar assinar enquanto viaja.
Leitura adicional: Hardware wallet, Secure element.