A Trezor, uma das principais fabricantes de carteiras de hardware do mercado, confirmou uma tentativa de golpe envolvendo seu sistema de suporte. Criminosos exploraram uma brecha no funcionamento do formulário de contato do site, disparando e-mails fraudulentos que simulavam respostas legítimas do suporte da empresa.
Esses e-mails, com aparência profissional e enviados a partir do domínio legítimo da Trezor, tinham como objetivo induzir usuários a compartilhar o seed phrase (backup da carteira) — informação que dá acesso total aos fundos.
Entenda o que aconteceu
De acordo com a Trezor, não houve vazamento de e-mails, invasão de servidores ou qualquer comprometimento dos sistemas internos. O ataque aconteceu de forma indireta: os hackers preencheram o formulário de suporte do site usando o e-mail das vítimas, como se elas mesmas estivessem solicitando atendimento.
Ao fazer isso, o sistema de respostas automáticas da Trezor disparava um e-mail legítimo — o mesmo que qualquer usuário recebe ao abrir um chamado —, o que dava uma aparência totalmente confiável à comunicação.
A partir desse ponto, os golpistas seguiam com a tentativa de phishing, solicitando informações sensíveis como o seed, sob pretextos falsos de verificação ou ajuda técnica.
O formulário em si não estava comprometido nem vulnerável em sua estrutura. Ele foi usado dentro da sua própria funcionalidade normal, mas de forma maliciosa. A Trezor reforçou que já implementou melhorias para evitar esse tipo de abuso no futuro.
Comunicado oficial da Trezor
Important Update
— Trezor (@Trezor) June 23, 2025
We have identified a security issue where attackers abused our contact form to send scam emails appearing as legitimate Trezor support replies.
These scam emails appear legitimate but are a phishing attempt.
Remember, NEVER share your wallet backup — it must…
No comunicado, a Trezor explica que identificou um problema de segurança no qual hackers abusaram do formulário de contato da empresa para enviar e-mails fraudulentos que simulavam respostas legítimas do suporte.
Os e-mails eram, na verdade, tentativas de phishing, com o objetivo de enganar os usuários e convencê-los a fornecer informações sensíveis, como o seed phrase (backup da carteira).
A empresa informou que o problema foi rapidamente contido e reforçou que nunca solicita o backup da carteira dos usuários, sob nenhuma circunstância.
Esclarecimento adicional publicado pela Trezor
Here’s what happened
— Trezor (@Trezor) June 23, 2025
There was no email breach.
Attackers contacted our support on behalf of affected addresses, triggering an auto-reply as a legitimate Trezor support message.
Our contact form remains safe and secure.
We're actively researching ways to prevent future…
Em uma segunda publicação, a Trezor esclareceu que não houve vazamento de e-mails, nem invasão dos sistemas ou servidores.
O que os atacantes fizeram foi simplesmente preencher o formulário de contato com o e-mail da vítima, acionando uma resposta automática legítima da própria Trezor. Isso fazia com que a mensagem parecesse oficial e confiável, quando, na verdade, fazia parte da estratégia dos golpistas para dar credibilidade ao golpe.
A empresa também afirmou que o formulário segue seguro e que já está trabalhando em medidas adicionais para impedir esse tipo de abuso no futuro.
Reforçando a segurança: o que fazer
Nunca compartilhe seu seed phrase. Nenhuma empresa legítima solicita isso.
Fique atento a qualquer e-mail, mesmo que pareça vindo de um domínio oficial, solicitando informações sensíveis.
Se você abriu algum chamado recente na Trezor, revise atentamente qualquer e-mail recebido e ignore qualquer solicitação suspeita.
Mantenha boas práticas de segurança, incluindo revisão de permissões em contratos usando ferramentas como Revoke.Cash.
O alerta para toda a comunidade cripto
O incidente mostra que até empresas altamente respeitadas e especializadas em segurança podem ser exploradas de forma indireta, através de funcionalidades operacionais como formulários de contato e sistemas automatizados.
No universo das criptomoedas, a responsabilidade final sobre os ativos permanece nas mãos do próprio usuário. Nenhuma empresa, por maior que seja sua reputação, tem ou deve ter acesso ao seu seed phrase.
Se alguém pedir essa informação, é golpe.
