Shamir Backup — formalmente SLIP-39, Satoshi Labs Improvement Proposal 39 — divide uma única seed em N shares de tal forma que qualquer T dos N (por exemplo, 2 de 3, ou 3 de 5) reconstituem a seed. Perca qualquer share único e a seed ainda é recuperável; comprometa qualquer share único e a seed ainda está segura. Implementado nativamente nos Trezor Safe 3 e Safe 5; também suportado via Trezor Suite em modelos Trezor mais antigos.

A base criptográfica

Shamir's Secret Sharing, projetado por Adi Shamir em 1979, é uma primitiva criptográfica de 47 anos. A matemática: codifique o segredo como o termo constante de um polinômio de grau T-1, amostre N pontos no polinômio, distribua os pontos. T pontos são suficientes para reconstruir o polinômio — e portanto o termo constante, o segredo. Menos de T pontos não revelam literalmente nada sobre o segredo.

SLIP-39 empacota isso com uma wordlist (diferente da BIP-39, otimizada para o caso de uso SLIP-39), bits de checksum, e estrutura de grupos que permite divisões hierárquicas (por exemplo, 3-de-5 onde dois grupos de holders cada um precisam de aprovação interna por threshold).

Por que isso importa na prática

Shamir Backup resolve dois problemas distintos que backups de seed única não resolvem:

Primeiro, redundância geográfica sem comprometimento. Com uma divisão 2-de-3, você pode deixar um share em casa, um na casa de um parente, um em caixa-forte bancária. Qualquer local único pode queimar sem perder a seed. Nenhum local único contém a seed — então um ladrão em qualquer local único não pega nada.

Segundo, planejamento de sucessão sem expor a seed em vida. O inventariante pode receber um share (com instruções sobre onde encontrar o segundo após a morte) enquanto o terceiro fica com o holder. O plano de sucessão funciona sem o holder ter que anotar a seed completa para alguém ler.

Shamir vs multisig

Shamir divide uma única seed; multisig usa múltiplas seeds independentes. A diferença prática: Shamir exige reconstrução em um lugar (uma janela breve de vulnerabilidade quando a seed existe em um único dispositivo), multisig nunca reconstrói (assinaturas são combinadas, as chaves em si nunca são montadas). Para um holder brasileiro abaixo de R$ 1 milhão em cripto, Shamir é mais simples e suficiente. Acima disso, a propriedade mais forte de não-reconstrução do multisig se torna válida pela complexidade.

Erros comuns

Guardar dois shares no mesmo local derrota o objetivo de redundância geográfica. Guardar shares com a marca da carteira visível derrota a opsec. Esquecer qual T você usou para dividir (era 2-de-3 ou 3-de-5?) torna a reconstrução um chute-e-conferência. Escreva o threshold em cada share, claramente: "2/3 — Trezor SLIP-39 — Cofre do Holder setup, Maio 2026."

Leitura adicional: Multisig, Mnemonic, Cinco formas de guardar uma seed phrase.