Um hardware wallet é um dispositivo físico dedicado à guarda de chaves privadas cripto. A promessa central é simples e radical: a chave nasce dentro do aparelho, vive dentro do aparelho, e é usada para assinar transações sem jamais sair em forma clara para o computador ou celular. Você monta a transação no app conectado, o conteúdo é enviado para o dispositivo, a tela física exibe os campos críticos, você confirma com o botão, e a transação volta assinada para ser difundida na rede. É a categoria de cold wallet com melhor compromisso entre segurança e usabilidade prática.
SE versus MCU — uma discussão antiga
Os fabricantes se dividem em dois campos. O time Secure Element usa chips dedicados como ST33 (Ledger) e ATECC608 (Keystone Pro). Esses circuitos têm resistência a ataques físicos certificada — Common Criteria EAL5+ ou EAL6+ — e tornam impraticável a leitura direta da flash mesmo com microscópio eletrônico. O custo é firmware parcialmente fechado: você precisa confiar que a fabricante implementou o que prometeu.
O time MCU adota microcontroladores genéricos como o STM32 (Trezor clássico). O firmware roda totalmente open source, auditável pela comunidade. Em compensação, pesquisadores acadêmicos demonstraram em mais de uma ocasião extração de seed via canal lateral em modelos sem SE. Qual vertente é "melhor" depende do seu modelo de ameaça: se o medo é estado-nação com acesso físico, escolha SE; se o medo é backdoor escondido em código fechado, escolha MCU.
Critérios práticos de escolha
Três regras consolidadas. Tela primeiro — durante a assinatura, o aparelho precisa mostrar endereço de destino completo, valor e o nome da função de contrato. Aparelhos com telinha de meia polegada quebram nesse quesito. Suporte a Air Gap em segundo — equipamentos com fluxo de assinatura via QR Code, sem precisar de cabo USB nem Bluetooth, sobem um degrau de isolamento. E processo de compra em terceiro: só do site oficial ou de revendedores diretos com nota fiscal; nunca em marketplaces brasileiros como Mercado Livre, OLX ou Shopee, e jamais aparelhos abertos ou usados — interceptação durante o envio é vetor real.
O que importa mais do que o modelo
Independentemente da marca, mais transações são perdidas por usuários assinando phishing em fluxos legítimos do que por falha do hardware em si. O Secure Element não consegue avaliar se a operação é maliciosa — ele assina o que você confirmou. O treinamento de hábito antiphishing pesa, na prática, mais que dez níveis de certificação EAL. Em São Paulo conheço quem comprou Ledger Nano X importada e perdeu o saldo num "claim" falso semanas depois — o equipamento estava intacto.