Durante a tentativa de acessar um montante de US$ 600 mil (R$ 2,9 milhões) de um cliente, a empresa especializada na recuperação de ativos digitais Unciphered descobriu um fato chocante: cerca de US$ 1 bilhão (R$ 4,8 bilhões) em posse de investidores em criptomoedas podem ser facilmente roubados em um ataque hacker.
A história foi revelada em uma reportagem publicada na terça-feira (14) pelo The Washington Post. O problema está em uma biblioteca de programação de computadores chamada BitcoinJS.
A função da BitcoinJS é criar chaves privadas aleatórias para carteiras. O problema é que o nível de aleatoriedade aplicado pelo sistema era dramaticamente menor do que o adequado para evitar ataques hacker.
Essa descoberta começou após Nick Sullivan, um empresário do setor de tecnologia, resolver tentar obter acesso a sua carteira de Bitcoin. Anos atrás ele havia apagado sem querer as palavras chave de seu gerenciador de senhas. O valor deixado trancado era de US$ 18 mil. Quando se tornou US$ 600 mil em 2022, ele resolveu contratar a Unchipered para tentar acessar o endereço.
Foi nesse processo que a empresa descobriu que as wallets criadas com uso da BitcoinJS poderiam ser facilmente hackeadas. O nível de aleatoriedade na criação das palavras-chave, que deveria ser de trilhões, estava na casa dos milhares.
O problema do Bitcoin foi consertado em 2014, mas as wallets criadas com o programa até 2012 sofrem grande perigo e 2% das criadas entre 2012 e 2015 também estão sob risco.
A plataforma Blockchain.com é um nome conhecido e que gerou milhares de endereços com o programa na época. A Dogecoin.info também utilizou essa biblioteca de programação.
Pelas contas da Unichpered, cerca de US$ 1 bilhão, entre Bitcoin (maior parte) e Dogecoin estão dentro da zona de risco de quebra de senha de acesso do endereço de criptomoedas.
A Unchipered entrou em contato com a Blockchain.com, que checou e reconheceu o problema. A plataforma criou sistemas de atualização automática, mudou seu aplicativo e enviou e-mail para 1,1 milhão de usuários.
Mas muitos dos sites que criavam endereços de Bitcoin no começo da década passada não existem mais. Os donos dessas carteiras ainda podem estar em perigo.
Para saber se a sua carteira de criptomoedas corre perigo, acesse: www.keybleed.com.
Ironicamente, a carteira de Sullivan, o homem que começou toda a história, não estava entre as afetadas pela vulnerabilidade e ele não conseguiu recuperar seus US$ 600 mil.
- Quer desvendar os mistérios do Bitcoin? Adquira “O Livro de Satoshi”, um compilado de escritos e insights de Satoshi Nakamoto