As criptomoedas são consideradas o dinheiro do futuro. Com elas, é possível realizar transações online de maneira segura e eficaz. Porém, como toda forma de pagamento, muitos querem tirar proveito de suas facilidades. Como é o caso da descoberta feita pela equipe de especialistas em segurança da empresa Independent Security Evaluators. Eles descobriram acidentalmente que um criminoso conseguiu roubar milhões em criptomoedas apenas se aproveitando de chaves de segurança consideradas fracas.
A empresa examinou várias chaves de segurança de um de seus clientes, iniciando com chaves simples, como “0x01”, e descobriu que sua carteira associada as criptomoedas foi esvaziada. Eles descobriram que um bandido estava canalizando todos os valores dessas contas.
Para ver o quão rápido ele estava extraindo o dinheiro, eles enviaram um dólar em uma criptomoeda para o endereço associado a uma dessas chaves privadas fracas e descobriram que o ladrão transferiu o valor instantaneamente para outra conta. Graças a esse método, o ladrão (ou ladrões) conseguiu acumular uma fortuna.
“Descobrimos que os fundos desses endereços estavam sendo roubados e enviados a um endereço de destino que pertence a um indivíduo ou grupo que tenta obter ou comprometer chaves privadas para retirar esses fundos”, escreveu a empresa e um documento sobre a sua descoberta. “Em 13 de janeiro de 2018, esse ladrão tinha em saldo de 97.926 ETH, que foi avaliado em US$ 55 milhões (equivalente a R$ 219 milhões).”
Há algumas coisas que podem explicar por que haviam chaves tão fracas. Os pesquisadores da empresa escreveram que esse pode ser um erro de codificação, onde a chave deveria ser mais longa. Outra teoria aponta que a bolsa poderia permitir que os usuários escolhessem as próprias chaves. “Embora seja improvável que uma chave fraca seja gerada em circunstâncias normais usando caminhos de código apropriados, é possível que essas chaves fracas sejam geradas por erros de codificação, sistema operacional ou ambiente de execução, que são erros relativamente comuns.”
O analista de segurança sênior da empresa, Adrian Bednarek, disse a Wired que não tem ideia de quem está por trás dessa operação de saque. A equipe não conseguiu identificar para onde esse dinheiro estava indo, apenas que ele estava sendo roubado. Este deve ser um alerta para os desenvolvedores de bolsas e seus usuários, e Bednarek disse que todos devem se certificar de que estão usando uma carteira confiável.
Via: Gizmodo