Ledger expõe falha que acelera ataques ao PIN de cartões Tangem

Técnica de tearing reduz tempo de força bruta em até 120 vezes; Tangem diz que risco é baixo

A Ledger, por meio de sua equipe de pesquisa Donjon, divulgou uma vulnerabilidade que afeta os cartões Tangem, usados como carteira de hardware para criptomoedas. O ataque explora uma técnica conhecida como “tearing”, que interrompe a sequência normal de comunicação do cartão e neutraliza o mecanismo de atraso aplicado após tentativas de PIN incorretas.

Segundo a análise, o bloqueio progressivo de tentativas — que aumenta até 45 segundos entre erros — pode ser contornado, acelerando ataques de força bruta em cerca de 120 vezes. Como referência, um PIN de 4 dígitos cairia de ~5 dias para ~1 hora; já um PIN de 8 dígitos, de ~143 anos para ~460 dias. Ataques de dicionário podem reduzir ainda mais esses prazos.

A Ledger afirma que o ataque depende de conhecimentos específicos e equipamentos de bancada, com um setup estimado em menos de US$ 5.000. A empresa também aponta que, embora exista uma implementação de “canal seguro” entre o app e o cartão, ela não estaria sendo ativada, o que favoreceria o cenário explorado. A vulnerabilidade se manifesta quando o cartão é desligado em menos de ~6.700 microssegundos (com variação de até ~1.000 μs conforme unidade e temperatura).

A Tangem, por sua vez, contestou a classificação do achado como vulnerabilidade e avaliou que o cenário proposto não representa risco significativo para seus usuários.

Como mitigação, as recomendações aos usuários incluem: escolher uma senha com pelo menos 8 caracteres, contendo ao menos 1 dígito, 1 letra e 1 símbolo; e evitar senhas previsíveis. Segundo a Ledger, correções estruturais exigem mudanças de produto e não se aplicam retroativamente às unidades já em circulação.

O caso reacende o debate sobre a segurança de carteiras físicas e destaca a importância de configurações robustas de PIN/senha, procedimentos de uso cuidadosos e auditorias independentes no ecossistema de hardware wallets.