Entenda como falhas colocaram em risco milhões de usuários de carteiras cripto da Binance e da Coinbase

As vulnerabilidades descobertas pela Fireblocks em mais de 15 provedores de carteiras de criptomoedas permitiriam a um invasor esvaziar wallets em questão de segundos
Imagem da matéria: Entenda como falhas colocaram em risco milhões de usuários de carteiras cripto da Binance e da Coinbase

Shutterstock

Um conjunto de vulnerabilidades encontradas em carteiras de criptomoedas que usam uma tecnologia chamada multi-party computation (MPC) em suas bibliotecas poderia ter aberto brecha para o roubo de milhões de fundos de empresas renomadas no setor, como Coinbase e Binance.

Quem descobriu as falhas foi a empresa de infraestrutura cripto Fireblocks, que só as tornou públicas na quarta-feira (9), depois de ter notificado as empresas para que corrigissem o problema a tempo.

Publicidade

Tanto a Binance quanto a Coinbase foram ao Twitter confirmar que suas carteiras usaram no passado as bibliotecas que continham as vulnerabilidades que, se exploradas, permitiriam a um invasor esvaziar as wallets.

Porém, ambas as empresas garantiram que nenhum fundo foi roubado e que o problema foi corrigido após o alerta da Fireblocks.

“Embora nosso produto de consumidor Coinbase Wallet não tenha sido afetado por esse problema de forma alguma, as bibliotecas em questão foram usadas em uma versão anterior de nossa solução Wallet as a Service (WaaS). No entanto, devido à abordagem da Coinbase de implementar segurança em várias camadas em nossa pilha de software, não havia como explorar esse problema em nossos produtos”, explicou a Coinbase no seu blog, garantindo ter atualizado as bibliotecas após a descoberta para eliminar o risco de ataque.   

1/ We prioritize the security of our users above all else. Recently, an error handling flaw was discovered in a few Multi-Party Computation (MPC) libraries. Due to safeguards we implemented in the MPC protocol, there was no practically exploitable vulnerability in our services.

— Coinbase Cloud 🛡️ (@CoinbaseCloud) August 9, 2023

O CEO da Binance, Changpeng “CZ” Zhao, também comentou sobre o incidente no Twitter. “Esse problema estava presente na biblioteca TSS que a Binance disponibilizou como open-source, o qual já foi corrigido. Agradecemos à Fireblocks por tê-lo descoberto!”, escreveu CZ.

Publicidade

Ele garantiu que nenhum fundo dos usuários da Binance foi afetado, mas pontuou que “mesmo as soluções de custódia MPC apresentam riscos”.

This issue was present in the TSS Library Binance open-sourced, which has been fixed. Thanks to Fireblocks for uncovering it!

No @Binance user funds affected.

Even MPC custody solutions have risks. Stay #SAFU! 🙏 https://t.co/UneRs7VOj7

— CZ 🔶 Binance (@cz_binance) August 10, 2023

Entenda o bug

A Fireblocks deu mais detalhes no seu blog sobre os bugs encontrados em mais de 15 dos principais provedores de carteiras de criptomoedas do mercado.

De acordo com a equipe de pesquisa em criptografia da Fireblocks, tratou-se de um BitForge, uma série de vulnerabilidades de dia zero — ou seja, que não havia sido percebida antes da Fireblocks — em algumas das implementações de protocolos de multi-party computation (MPC) mais amplamente adotadas, incluindo GG-18, GG-20 e Lindell17.

Multi-party computation é uma tecnologia usada por carteiras de criptomoedas por permitir que várias partes troquem dados entre si sem revelar o conteúdo sensível dessas informações, e é vista como um padrão de segurança para a indústria cripto.

Publicidade

“A equipe descobriu vulnerabilidades de dia zero em implementações usadas por mais de 15 provedores de carteiras de ativos digitais, blockchains e projetos de código aberto, que permitiriam a um invasor com acesso privilegiado esvaziar fundos das carteiras. Em algumas implementações, o ataque levaria apenas segundos, sem conhecimento do usuário ou do fornecedor”, exemplifica a empresa para mostrar a gravidade do problema.

A Fireblocks explica que, de forma geral, um invasor poderia explorar a falha recém-descoberta nos protocolos GG18 e GG20 para extrair a chave privada completa da carteira devido à falta de uma prova de conhecimento zero. A empresa explica que a vulnerabilidade do protocolo Lindell17 permitiria que um invasor criasse uma espécie de “porta dos fundos” para expor parte da chave privada quando a assinatura falha. 

“As explorações foram validadas em implementações de código aberto importantes, e uma prova de conceito funcional foi construída nas bibliotecas abertas”, explica a Fireblocks.  

Mesmo assim, a empresa alerta que pelo fato de uma grande quantidade de implementações usadas por provedores de carteiras de criptomoedas serem fechadas, as empresas do setor devem verificar diretamente com seus provedores para fazer a checagem de bugs, ou acessar o Verificador de Status BitForge da Fireblocks para obter mais informações.