A startup ZenGo descobriu uma vulnerabilidade em carteiras de criptomoedas que pode ser usada por criminosos para confundir vítimas em transações. O problema, segundo a organização, já afetou marcas de renome no mercado, como a Ledger, BRD e Edge. A descoberta permaneceu em sigilo por 90 dias devido a um acordo de divulgação entre a startup e as empresas.
A vulnerabilidade viabiliza ataques conhecidos como “BigSpender”. Eles exploram um protocolo chamado Replace-by-Fee, que permite a usuários enviarem um determinado valor de criptomoedas com taxas de transação baixas. Na sequência, o usuário pode substituir o primeiro aporte por outro do mesmo valor, mas com taxas de transações mais elevadas. Isso acelera o processo de transferência, à medida que mineradores dão prioridade a operações de índices mais altos.
Entretanto, algumas das carteiras de criptomoedas estavam integrando o valor das transações aos balanços financeiros de clientes antes que elas fossem de fato confirmadas. Com isso, um usuário mal intencionado poderia fazer o primeiro aporte e na sequência substituí-lo por uma transação para outra conta, sob o controle dele. Esse tipo de situação pode levar um vendedor de algum produto a acreditar que recebeu o pagamento e despachar a mercadoria, mesmo com a transferência cancelada.
O site americano TechCrunch ressalta que o ataque ainda permitiria golpista simularem 10 transações com valor de 0,1 Bitcoins (BTC). O destinatário então seria notificado com um saldo de 1 BTC na sua conta, mesmo tendo recebido zero. O saldo fictício poderia levar as vítimas a fazer transações de valores sem tê-los de fato na carteira. Apesar dos bitcoins permanecerem seguros, diante de tantas transações negadas, os ativos de criptografia da vítima seriam bloqueados nas plataformas.
Imagem: Reprodução
Empresas minimizam problema
A Ledger publicou, nesta quinta-feira (2), um artigo minimizando o impacto do BigSpender. Para a empresa, o ataque é uma falha de interface de experiência do usuário e não pode ser considerada uma vulnerabilidade, uma vez que os ativos dos clientes permanecem seguros. A companhia atualizou a carteira e agora as transações não confirmadas não são mais contabilizadas na conta, e há uma mensagem ao lado do saldo destacando se alguma transferência ainda está pendente.
Ao site especializado The Block, Samuel Sutch, CTO da BRD, afirmou que alguns usuários chegaram a ter o acesso a fundo de sua carteira prejudicados devido ao problema, disse que a empresa já tomou providências e recompensou a ZenGo por ter identificado a falha.
Já Paul Puer, CEO e cofundador da Edge, disse ao The Block que a carteira da empresa sinaliza explicitamente quando transações de um usuários está pendente. Ele admite, no entanto, que a empresa trabalha para consertar um problema em que a carteira contabiliza uma transação pendente, mesmo após ser cancelada. Puer explica que para corrigir o problema basta sincronizar a carteira para a remover a transação.
Fonte: TechCrunch/The Block