Como funciona
O Coldcard é um dispositivo físico de assinatura exclusivo para Bitcoin, fabricado pela Coinkite, uma empresa de Toronto que comercializa o produto desde 2017. Ele cumpre uma única função: gerar e proteger as chaves privadas de uma carteira Bitcoin e, em seguida, assinar transações sem nunca se conectar a um computador por um enlace de dados confiável.
O fluxo é deliberadamente indireto. Uma carteira somente-leitura em um computador ou celular — Sparrow, Electrum ou as próprias ferramentas da Coldcard — monta uma transação não assinada no formato PSBT. Esse arquivo é transferido para o Coldcard em um cartão microSD, como QR code ou via NFC no Coldcard Q, maior. O aparelho mostra o destinatário e o valor na própria tela, o usuário aprova com um PIN, e a transação assinada volta pelo mesmo caminho. A máquina anfitriã faz a transmissão, mas nunca toca na frase de recuperação.
As chaves ficam atrás de dois elementos seguros de fabricantes diferentes, de modo que comprometer um chip não equivale a comprometer a carteira. A carcaça é transparente de propósito, para tornar visível qualquer adulteração física.
KYC e privacidade
Não há nenhuma conta, nenhum cadastro, nenhum e-mail nem serviço em nuvem associado. O Coldcard é um objeto físico, não um serviço hospedado: uma vez em mãos, nenhum servidor sabe que ele existe, e não há nada para intimar judicialmente, congelar ou registrar em log. O aparelho não se conecta à internet de forma alguma, portanto não emite telemetria.
A privacidade passa então a depender de como o aparelho é pareado. O Coldcard assina transações; ele não decide como uma carteira de desktop consulta a rede. Um usuário que aponta uma carteira somente-leitura para o servidor Electrum de um desconhecido expõe seus endereços a esse servidor. Parear o Coldcard com um nó Bitcoin próprio fecha essa brecha. O aparelho em si não coleta nada; é na configuração do entorno que a privacidade dos endereços se ganha ou se perde.
Pontos fortes e limites
O argumento mais forte a favor do Coldcard é o modelo de ameaça que ele assume: todo computador é hostil, inclusive o do próprio dono. A assinatura isolada da rede, a verificação no próprio aparelho e os dois elementos seguros tornam difícil um comprometimento remoto e visível um comprometimento silencioso. Oito anos de operação sob uma única empresa, com vulnerabilidades divulgadas e corrigidas em vez de enterradas, constituem um histórico significativo.
Os limites são reais. O firmware é publicado e reproduzível, mas é distribuído sob uma licença Commons Clause — consultável para inspeção, sem ser código aberto no sentido estrito, um ponto que a comunidade de privacidade levanta com frequência. Divulgações passadas — um contorno da exibição de testnet em 2020, uma falha no registro de xpubs multisig em 2020–21 corrigida no firmware 3.2.1 e uma fraqueza de extração do PIN no Mk2, há muito descontinuado — foram todas resolvidas, mas mostram que o aparelho não escapa ao escrutínio. Ele também é exclusivo para Bitcoin e exige mais cuidado do que uma carteira de celular assinada com um gesto.
Veredito
O Coldcard serve ao usuário que trata a gestão de chaves como uma disciplina, e não como uma comodidade, e vai frustrar quem quiser mover fundos em segundos. A licença Commons Clause e a sequência de bugs divulgados são ressalvas reais, mas nenhuma delas abala um aparelho cuja promessa central — manter a frase de recuperação fora de qualquer máquina conectada — se sustenta há oito anos. Nota: A (9,4/10). Confiança: TRUSTED.
O Coldcard é um instrumento de especialista: recompensa os usuários que buscam controle máximo e frustra quem busca comodidade. A licença consultável e um histórico de bugs divulgados e depois corrigidos o impedem de receber uma nota sem ressalvas, mas a engenharia e o histórico de oito anos são sólidos. Nota: A (9,4/10). Confiança: TRUSTED.
