Revelações recentes de uma empresa de cibersegurança, Unciphered, trouxeram à tona uma vulnerabilidade de carteira com uma década de existência que poderia potencialmente colocar em risco um impressionante total de US$ 2,1 bilhões em criptomoedas. Essa vulnerabilidade afeta as carteiras baseadas em navegador criadas entre 2011 e 2015 e se estende por várias redes, incluindo Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) e Zcash (ZEC).
Desvendando a Vulnerabilidade da Carteira de Criptomoedas
A Unciphered tropeçou nessa vulnerabilidade da carteira enquanto tentava recuperar US$ 600.000 em Bitcoin (BTC) para um investidor inicial, Nick Sullivan, que havia perdido o acesso à sua carteira. Sullivan havia criado inicialmente sua carteira de Bitcoin em 2014 usando a Blockchain.info (agora Blockchain.com) e depois perdeu o acesso às suas moedas após apagar inadvertidamente a memória de seu computador sem salvar a chave privada de sua carteira.
Durante sua investigação, a Unciphered descobriu que o código usado pela Blockchain.info para criar chaves de carteira aleatórias, conhecido como BitcoinJS, não tornava todas as suas carteiras aleatórias o suficiente, deixando-as vulneráveis a ataques. Essa vulnerabilidade também se estende ao Dogecoin.info, que usava o mesmo BitcoinJS, expondo assim muitos usuários antigos de Dogecoin ao mesmo risco.
A Extensão da Vulnerabilidade da Carteira
De acordo com a Unciphered, as carteiras criadas antes de março de 2012 contêm aproximadamente US$ 100 milhões em ativos que poderiam ser facilmente hackeados por um usuário doméstico de computador. Além disso, outros US$ 50 bilhões estão contidos em carteiras criadas entre esse período e 2015, com pelo menos US$ 500 milhões sendo vulneráveis a ataques.
Embora criptógrafos tenham identificado falhas na aleatoriedade da geração de carteiras em 2014 e desde então melhorado seus métodos, a Unciphered não encontrou nenhuma carteira gerada após 2016 sofrendo com falta de aleatoriedade.
Alertando as Vítimas
A Unciphered tomou a iniciativa de divulgar publicamente essa vulnerabilidade, mas não sem antes alertar silenciosamente os usuários afetados por meses sobre o risco de seus ativos. O desafio era convencer milhões de vítimas a mover seus fundos sem alertar possíveis ladrões sobre a vulnerabilidade.
A Blockchain.com, o maior site responsável por gerar tais carteiras, foi abordada pela Unciphered para notificar discretamente os usuários afetados. A Blockchain.com enviou e-mails para mais de 1,1 milhão de titulares de carteiras afetadas e encontrou uma maneira de atualizar automaticamente as carteiras de qualquer pessoa que visitasse seu site.
No entanto, muitos usuários afetados não foram diretamente alertados, pois os sites que usaram para criar suas carteiras não estão mais em operação.
Para aqueles que estão preocupados com a segurança de suas carteiras, plataformas como cryptoview.io oferecem uma visão abrangente do seu portfólio de criptomoedas, permitindo que você monitore seus ativos e fique informado sobre possíveis vulnerabilidades.
Permaneça vigilante e proteja seus ativos
