O código da Electrum nunca foi hackeado. Seus usuários ainda assim perderam centenas de bitcoins — e a diferença importa.

Como funciona

A Electrum é uma carteira de verificação de pagamento simplificada (SPV) para Bitcoin. Em vez de baixar a blockchain inteira, ela se conecta a uma rede de servidores Electrum que indexam a cadeia e respondem a consultas de saldo e histórico. As chaves privadas são geradas a partir de uma frase semente, criptografadas e armazenadas localmente — elas nunca chegam a um servidor. O cliente assina as transações na máquina do usuário e as transmite pelo servidor ao qual estiver conectado.

O software roda em Windows, macOS, Linux e Android; não há versão para iOS. Ele oferece suporte a carteiras de hardware via plugins, carteiras multiassinatura, configurações de armazenamento a frio em que a chave de assinatura nunca toca uma máquina conectada, e controles de taxa, incluindo replace-by-fee e child-pays-for-parent. Desde a versão 4.0, a Electrum também roda um nó da Lightning Network. As versões são reproduzíveis e assinadas por GPG por vários compiladores independentes, e o próprio site exige duas assinaturas de mantenedores antes que um binário entre no ar.

KYC e privacidade

Não há cadastro, não há conta, não há e-mail e nenhuma verificação de identidade de qualquer tipo. A Electrum não armazena dados de usuário porque não existe registro de usuário a armazenar; a carteira é um software que você executa, e ninguém faz o seu cadastro.

A ressalva sobre privacidade é estrutural, não uma questão de política. Como o cliente consulta servidores remotos sobre seus endereços, o servidor ao qual você se conecta pode ver quais endereços pertencem a uma mesma carteira e o endereço IP que os consultou. É o vazamento de metadados inerente aos clientes leves. A Electrum o mitiga: pode rotear o tráfego pelo Tor, deixa os usuários escolherem ou trocarem de servidor e — da forma mais completa — permite apontar a carteira para o seu próprio servidor, situação em que nenhum terceiro vê nada. A experiência padrão ainda confia os metadados de endereços a servidores de estranhos.

Pontos fortes e limites

O argumento mais forte da Electrum é a longevidade sem comprometimento do código. O software é publicado desde 2011, tem licença MIT e é de código aberto, suas versões são reproduzíveis e sua cadeia de publicação é multiassinatura. Para uma carteira sem custódia, a questão da custódia é tão limpa quanto pode ser: as chaves são suas e o projeto não pode movimentar os fundos.

Os limites são reais. Entre 2018 e 2020, servidores maliciosos exploraram o fato de que os clientes antigos exibiam as mensagens de erro dos servidores como texto formatado — os atacantes empurravam falsos avisos de "atualização" que levavam os usuários a binários com backdoor, e centenas de bitcoins foram roubados de usuários em versões desatualizadas. O código do cliente nunca foi rompido; rompido foi o design que permitia a um servidor desenhar uma mensagem convincente. As versões 3.3.3 e posteriores neutralizaram a falha, e o projeto coloca servidores hostis em lista negra, mas o episódio continua sendo a entrada determinante no histórico da Electrum. Também não existe nenhuma auditoria de segurança formal de terceiros — a garantia vem da revisão aberta e das versões reproduzíveis, não de uma empresa nomeada. A interface é densa e pressupõe que o usuário já entende UTXOs, taxas e a higiene das frases semente.

Veredito

A Electrum é uma carteira para quem já sabe como o Bitcoin funciona e quer um cliente sem custódia com um histórico longo e transparente, com sólido suporte a armazenamento a frio e multiassinatura. Não é uma primeira carteira, e seu modelo de servidores exige que os usuários usem Tor, hospedem o próprio servidor ou aceitem o vazamento de metadados. Baixe somente em electrum.org e verifique a assinatura. Nota: A- (8,6/10). Confiança: TRUSTED.