O termo Air Gap nasceu nos sistemas militares de criptografia — um computador trancado numa sala onde não passa um único cabo. Quando essa ideia chega às carteiras cripto, vira o degrau acima do hardware wallet com USB ou Bluetooth: o dispositivo de assinatura nunca, em hipótese alguma, troca bits eletronicamente com nada conectado à internet. Toda comunicação acontece por intermediário físico — câmera lendo QR Code, cartão SD trocado à mão, dígitos digitados.
Como o fluxo funciona
Você monta a transação no aplicativo da carteira no celular conectado ao Wi-Fi de casa. O app codifica os dados num QR Code e exibe na tela. Você aponta a câmera do dispositivo Air Gap — um Keystone Pro, um Cobo Tablet ou um Ngrave Zero — para o celular e o aparelho lê o conteúdo. A tela do dispositivo mostra cada campo: rede, destinatário, valor, taxa. Você confere, aperta o botão físico, e o dispositivo gera um novo QR Code com a transação já assinada. Você aponta o celular para esse QR, e o app difunde a transação na rede. Em nenhum momento existe fio, rádio, Bluetooth ou NFC entre os dois aparelhos.
Comparado a um Ledger ou Trezor convencional
Um Ledger plugado por USB conversa com o app no computador via HID. Esse canal é bidirecional, o que significa que um malware no host pode tentar enviar comandos não previstos ou explorar falhas de firmware — a equipe wallet.fail demonstrou bypasses de PIN em 2018. Bluetooth acrescenta ainda a possibilidade teórica de interceptação por rádio. O Air Gap simplesmente apaga esse canal. O preço é a lentidão: cada transação consome dois ciclos de leitura de QR, e contratos complexos podem precisar de três ou quatro telas divididas.
O que ele não resolve
O isolamento físico não substitui o chip seguro: se um ladrão encontra o dispositivo na sua bolsa, o que protege as chaves ainda é o Secure Element interno. O QR Code também pode carregar dados manipulados — em 2022 houve relatos de apps falsos exibindo valor visível diferente do valor real codificado. E o Air Gap não impede você de assinar a transação errada. A última linha de defesa de qualquer esquema frio continua sendo ler a tela antes de apertar o botão.