Ledger Pré-Inicializado do Mercado Livre: Lição de $34K

O Ledger do Mercado Livre que não estava lacrado

Março 2025. Um titular em Belém compra um "novo na caixa" Ledger Nano X no Mercado Livre por 350 BRL — 200 BRL abaixo do MSRP. A embalagem parece intacta. Ele configura, gera uma "nova" seed de 24 palavras exibida na tela do dispositivo, anota, transfere 34 mil USD em BTC para o endereço de recebimento. Duas semanas depois, a carteira é esvaziada.

O vendedor tinha pré-inicializado o dispositivo com uma seed phrase que ele já conhecia, depois reembalou com cuidado. A "nova seed" que o dispositivo mostrou no primeiro boot era a seed do vendedor, exibida como se fosse nova.

Por que esse ataque é o mais difícil de detectar

O dispositivo funciona. O fluxo de setup parece normal. A seed phrase é mostrada na tela do dispositivo, exatamente como o modelo de segurança promete. A única diferença é: o operador conhecia a seed antes da vítima abrir a caixa. Uma vez que a vítima abastece um endereço derivado dessa seed, o operador drena.

As quatro regras para compra de hardware wallet

• Compre só do site do fabricante. Ledger: ledger.com. Trezor: trezor.io. Coldcard: coinkite.com. Nunca Mercado Livre, nunca Amazon (vendedores terceiros), nunca "amigo de confiança". Os 200 BRL economizados na compra de segunda mão são a parte mais barata da perda.
• Rejeite qualquer dispositivo "novo" abaixo do MSRP. Fabricantes controlam o preço de varejo apertado. Um desconto de 30% num Ledger é a prova de que algo está errado.
• Se tiver que comprar usado, faça wipe primeiro. Inicie, propositalmente erre o PIN três vezes para apagar (Ledger), ou rode factory reset (Trezor). Depois reinicialize e gere uma seed nova. O fluxo wipe-then-init é o único jeito de ter certeza que a seed mostrada não está com o dono anterior.
• Inspecione a embalagem. Ledger usa selos tamper-evident em modelos novos. Trezor usa adesivo holográfico. Confira contra fotos publicadas pelo fabricante — mas entenda que reembaladores cuidadosos conseguem replicar selos.

A opção de recuperação

Se suspeita de dispositivo pré-inicializado: não abasteça. Nem com valores pequenos. Wipe o dispositivo, inicialize do zero, e verifique se a nova seed é diferente da inicialmente mostrada. Se já tem fundos, mova dentro de uma hora para endereços de um dispositivo recém-inicializado.

A regra que sigo

Trato todo hardware wallet abaixo de 25 BRL do preço do fabricante como backup, usado só para valores de teste minúsculos. O dispositivo de alto valor é sempre direto do fabricante, pago com cartão, enviado ao meu endereço real.