Ledger Donjon revelou uma vulnerabilidade da MediaTek que extrai frases-semente de carteiras Android em menos de 45 segundos, afetando milhões de dispositivos. CVE-2025-20435.
Ledger Donjon descobriu uma grave vulnerabilidade na MediaTek. Permite que atacantes obtenham frases-semente de carteiras de telemóveis Android em segundos. O telemóvel nem precisa estar ligado.
Charles Guillemet, a publicar como @P3b7_ no X, divulgou publicamente as descobertas. Confirmou que @DonjonLedger voltou a descobrir uma falha com alcance sério. Segundo Guillemet no X, dados de utilizador, incluindo PINs e frases-semente, podem ser extraídos em menos de um minuto, mesmo de um dispositivo desligado.
A escala aqui é importante. Milhões de telemóveis Android usam processadores MediaTek. O Trusted Execution Environment da Trustonic também está afetado.
O Telemóvel Desligado Agora Não Significa Nada
Como Guillemet twittou no X, a equipa Ledger Donjon conectou um Nothing CMF Phone 1 a um portátil. Em 45 segundos, a segurança fundamental do telemóvel foi destruída. Sem configurações complicadas. Sem hardware especial. Apenas uma ligação ao portátil e um cronómetro.
Vale a pena ler: Ameaças à segurança em criptomoedas estão a escalar rapidamente em direção a 2026
A exploração nunca tocou no Android propriamente dito. Como Guillemet publicou no X, o ataque recuperou automaticamente o PIN, decriptou o armazenamento do dispositivo e extraiu frases-semente das carteiras de software mais populares. Tudo antes do sistema operativo carregar.
Isso não é uma falha pequena. É uma falha estrutural.
O Problema da Arquitetura do Chip que Ninguém Queria Admitir
Os chips de uso geral trocam segurança por velocidade e facilidade. Guillemet destacou isso diretamente na sua thread no X. Um Elemento Seguro dedicado mantém segredos isolados de tudo o resto no dispositivo. Os chips MediaTek não foram construídos assim. O TEE da Trustonic fica dentro do mesmo chip que lida com tarefas diárias. O acesso físico derruba essa barreira.
Não é a primeira vez que investigadores questionam a segurança de smartphones para utilizadores de criptomoedas. O problema volta sempre à mesma lacuna arquitetural. Chip de conveniência versus chip de segurança. Não são a mesma coisa.
Divulgação Responsável, Depois a Correção
Ledger Donjon não divulgou isto publicamente sem aviso prévio. Como Guillemet confirmou no X, a equipa seguiu um processo rigoroso de divulgação responsável com todos os fornecedores relevantes. A MediaTek confirmou que forneceu uma correção aos OEMs a 5 de janeiro de 2026. A vulnerabilidade está agora listada publicamente como CVE-2025-20435.
Leitura obrigatória: Ledger mira cotação em Nova York enquanto ataques a carteiras de criptomoedas aumentam
Os OEMs receberam a correção. Se essas atualizações chegaram aos utilizadores finais é uma questão completamente diferente. A fragmentação do Android é um problema real. Dispositivos mais antigos de fabricantes menores muitas vezes permanecem sem patches durante meses.
Por que as Carteiras de Software Foram as Mais Afetadas
As frases-semente armazenadas numa carteira de software vivem dentro do dispositivo. Dependem totalmente da segurança do chip subjacente. Quando esse chip falha, tudo acima dele também falha.
A thread de Guillemet no X terminou com clareza sobre o motivo. A pesquisa não foi feita para criar medo. Foi feita para que a indústria pudesse corrigir a vulnerabilidade antes que os atacantes chegassem lá primeiro. Essa janela agora está fechada, pelo menos para esta falha específica.
Relacionado: Detectores de carteiras cross-platform estão a ficar mais difíceis de identificar
As carteiras de software no Android sempre tiveram esse risco. A vulnerabilidade da MediaTek apenas colocou um número nisso. Quarenta e cinco segundos. Foi tudo o que precisou.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Polkadot sofre exploração de ponte, o atacante cunha 1B $DOT no Ethereum
A Polkadot enfrentou uma grande violação de segurança, em que um atacante cunhou 1B $DOT coins na Ethereum através de uma ponte de 3º por terceiro, drenando mais de $240,000 em $ETH. Este incidente realça vulnerabilidades contínuas na infraestrutura de cross-chain e o seu impacto na estabilidade do mercado.
BlockChainReporter14m atrás
CEO da Circle: Por não ter congelado o incidente de pirataria do Drift, em que foram roubados USDC, devido a um “dilema moral”
O CEO da Circle, Jeremy Allaire, respondeu às críticas na conferência de imprensa sobre o facto de o USDC roubado não ter sido congelado, sublinhando que apenas irá congelar carteiras sob instruções de aplicação da lei. Além disso, afirmou que a Circle está a comunicar com os legisladores dos EUA, na esperança de criar um mecanismo de “porto seguro” para emissores de stablecoins.
GateNews1h atrás
Uma mulher de meia-idade em Hong Kong foi vítima de burla por romance online, tendo sofrido prejuízos superiores a 2 milhões de yuan; o burlão apresentou-se como um especialista em investimentos em criptomoedas
A polícia de Hong Kong revelou um caso de burla de investimento em criptomoedas, em que uma mulher foi enganada no Instagram, com perdas superiores a 2 milhões de yuan. Os burlões, que se fizeram passar por especialistas em investimentos, convenceram-na a fazer transferências e a trocar dinheiro por numerário em várias vezes. A polícia lembra que, ao conhecer pessoas online, é preciso estar mais atento e prevenir burlas relacionadas com transferências.
GateNews2h atrás
Golpe de romance online no Instagram: o “especialista” de investimento em criptomoedas enganou uma mulher de 50 anos e levou 2 milhões
A polícia de Hong Kong revelou recentemente um caso de burla amorosa online, com perdas superiores a 2 milhões de dólares de Hong Kong. Os burlões abordaram ativamente as vítimas no Instagram, estabeleceram confiança e, em seguida, levaram-nas a acreditar numa “investição em criptomoedas”, induzindo as vítimas a trocarem dinheiro em sete ocasiões para obter USDT e a efetuarem transferências. A polícia lembra os cidadãos de reconhecerem os indícios de burla e recomenda a utilização de ferramentas de prevenção de burlas, mantendo-se em alerta perante quaisquer contactos amorosos online que envolvam transferências.
MarketWhisper6h atrás
Justin Sun Critica o Token WLFI por Preocupações com a Transparência
Justin Sun revelou que o projeto World Liberty Finance tem funções de backdoor nos seus contratos inteligentes, permitindo a confiscação de ativos sem aviso. Isto viola os princípios da descentralização, prejudica os direitos dos investidores e mina a confiança na comunidade blockchain.
BlockChainReporter6h atrás
O contrato do Ethereum Hyperbridge HandlerV1 foi alvo de um ataque de replay de provas MMR, com perdas de cerca de 242.000 dólares
O contrato Hyperbridge HandlerV1 na Ethereum foi alvo de um ataque de repetição (replay) de prova MMR, com uma perda de cerca de 242 000 dólares. O atacante aproveitou uma vulnerabilidade para repetir provas históricas com o objectivo de realizar operações privilegiadas; a protecção contra repetição não conseguiu associar de forma eficaz a carga útil do pedido.
GateNews6h atrás
