O mercado de carteiras hardware tem cerca de 20 modelos que se chamam de "seguros". Esta página reduz a lista a oito que eu usei pessoalmente ou avaliei para a redação, e pontua cada um nos critérios de segurança, recuperação e usabilidade que realmente fazem diferença para um holder no Brasil.
A regra de pontuação é direta: um dispositivo que falha em qualquer critério crítico vai para o fim da lista independentemente do marketing. Firmware fechado, EAL baixo, ausência de Air Gap, ausência de multisig — cada um é incompatível com um modelo de ameaça específico. Leia a matriz como checklist, não como ranking.
A matriz · 8 dispositivos, 9 dimensões
| Dispositivo | Preço (USD) | Elemento seguro | EAL | Open source | Tela | Air Gap | Shamir backup | Multisig |
|---|---|---|---|---|---|---|---|---|
| Ledger Nano S Plus | $79 | ST33K1M5 | EAL5+ | Parcial | 0.96" OLED + botões | Não (USB) | Não | Suportado |
| Ledger Stax | $399 | ST33K1M5 | EAL5+ | Parcial | 3.7" E-ink touchscreen | Não (USB / NFC) | Não | Suportado |
| Trezor Safe 3 | $79 | Optiga Trust M | EAL6+ | Totalmente aberto | 0.99" colorida + botões | Não (USB) | Sim (SLIP-39) | Suportado |
| Trezor Safe 5 | $169 | Optiga Trust M | EAL6+ | Totalmente aberto | 1.54" colorida touchscreen | Não (USB) | SLIP-39 nativo | Suportado |
| OneKey Classic 1S | ≈$70 | Infineon SLE 78 | EAL6+ | Camada app aberta | Mono OLED + botões | Não (USB) | Não | Suportado |
| OneKey Pro | ≈$249 | Infineon SLE 78 | EAL6+ | Camada app aberta | 3.5" colorida touchscreen | Sim (QR) | Não | Suportado |
| Keystone 3 Pro | $129 | Triple SE | 3× EAL5+ | Maior parte aberta | 4" colorida touchscreen | Sim (QR) | Não | Nativo |
| Coldcard Mk4 | $157 | Microchip ATECC608 | EAL5 | Totalmente aberto | OLED + teclado físico | Sim (microSD) | Não | Nativo (recurso âncora) |
Como ler as linhas
Ledger Nano S Plus. A entrada mais barata no ecossistema Ledger Live. Adequado para uma carteira de cinco dígitos em dólares e um único signatário. O vazamento de dados de clientes de 2020 é história antiga, mas vale lembrar: vazaram endereços postais, não as seeds. O firmware é parcialmente fechado — é o trade-off que você aceita pelo suporte amplo a moedas e pela UX do Ledger Live.
Ledger Stax. Desenhada por Tony Fadell, tela curva E-ink touchscreen. O preço é de colecionador; o modelo de segurança é idêntico ao do Nano S Plus. Compre se quer a tela, não compre esperando outro modelo de ameaça.
Trezor Safe 3 / Safe 5. O padrão de referência em open source. Optiga Trust M eleva o elemento seguro para EAL6+, e SLIP-39 Shamir backup vem de fábrica — divida a seed em três locais e exija duas para recuperar. Vale o investimento extra se você mora sozinho e quer resiliência sem montar multisig.
OneKey Classic 1S / Pro. Alternativa sólida se você não quer nem Ledger nem Trezor. A camada de aplicação é aberta; o design do hardware é revisado publicamente. O Pro adiciona touchscreen de 3.5" e Air Gap por QR — útil para manter o assinante estritamente offline.
Keystone 3 Pro. Desenho multisig-first com triplo elemento seguro. A tela de 4" e o Air Gap por QR fazem dele o dispositivo mais fácil de operar dentro de um esquema 2-of-3 com parceiro ou inventariante. Combine com Sparrow ou Specter como coordenador.
Coldcard Mk4. Bitcoin-only. Teclado físico, Air Gap via microSD, fluxo PSBT nativo. A UX opinativa intimida quem é iniciante — é exatamente o ponto. Compre se está disposto a aprender o round-trip PSBT e quer a superfície de assinatura mais paranoica do varejo.
Recomendações por perfil
- Cinco dígitos em USD, um signatário, Brasil. Trezor Safe 3 + Shamir 2-of-3 entre cofre de casa, casa dos pais e caixa de banco. Custo total menos de R$ 500.
- Seis dígitos, um signatário. Trezor Safe 5 ou OneKey Pro. Habilite passphrase. Mantenha as anotações fiscais (declaração Receita Federal) fora do dispositivo, em nota criptografada separada.
- Seis dígitos com handoff familiar. Keystone 3 Pro + Sparrow como coordenador. Multisig 2-of-3: uma chave em casa, uma com advogado/contador, uma com parente de confiança.
- Purista BTC-only. Coldcard Mk4 + Sparrow. Aceite a curva de aprendizado.
- Iniciante com menos de R$ 25 mil. Ledger Nano S Plus serve. Não complique nessa escala; aprenda o básico primeiro.
Canal de compra — Brasil
Ledger e Trezor não têm loja oficial brasileira; a importação direta passa por Receita Federal e pode cobrar até 60% de tributos sobre o valor declarado. Caminhos reais: comprar via Amazon US ou loja oficial e pagar o imposto no recebimento; comprar de revendedores brasileiros autorizados (raros — confira a lista no site da Trezor / Ledger antes); ou trazer de viagem dentro da cota de bagagem.
Evite Mercado Livre e OLX para hardware wallets — o risco de seed pré-configurada é alto. Coldcard a Coinkite envia para o Brasil mas exige pagamento em cripto ou cartão internacional. OneKey está disponível por marketplaces chineses e loja oficial; pague o tributo no recebimento.
Leitura adicional: Carteira fria vs quente, Chaves privadas e frases-semente, Casos.