Em 2009, o webcomic xkcd publicou uma tirinha que explicava um dos conceitos mais assustadoramente simples da cibersegurança: o “ataque da chave inglesa de 5 dólares”. Na história, uma figura de palito descreve como burlar criptografia avançada — não com código nem força bruta, mas ameaçando alguém com uma chave inglesa de US$ 5 até que a pessoa revele sua senha.
Infelizmente, o ataque da chave inglesa de 5 dólares não é mais uma piada. Ataques muito piores estão ocorrendo na vida real, com frequência alarmante. Criminosos não estão se dando ao trabalho de hackear chaves privadas ou frases-semente — eles simplesmente batem à porta, sequestram detentores de criptomoedas e exigem acesso às carteiras, muitas vezes com violência.
O ataque mais recente ocorreu há poucos dias, em Uganda, quando o fundador da Mitroplus Labs, Festo Ivaibi, foi supostamente sequestrado perto de sua casa e forçado sob a mira de uma arma a transferir criptomoedas no valor de cerca de meio milhão de dólares.
Na França, uma série de sequestros horríveis e tentativas de sequestro têm alarmado a comunidade cripto. Notavelmente, o pai de um empreendedor de criptomoedas foi sequestrado em Paris no início deste mês, tendo um dedo amputado para pressionar o pagamento de um resgate entre € 5 e € 7 milhões em criptoativos.
Ele foi resgatado após dois dias de cativeiro, e cinco suspeitos foram presos. Em outro caso, a filha grávida de um CEO de criptomoedas e sua criança foram alvo de uma tentativa de sequestro em plena luz do dia, também em Paris, frustrada por transeuntes. Esse foi um dos seis ataques que ocorreram por lá desde janeiro.
Nos Estados Unidos, três adolescentes sequestraram um homem de Las Vegas em novembro, após ele participar de uma conferência sobre criptomoedas, e o levaram a cerca de 100 quilômetros de distância até o deserto de Mojave, onde exigiram acesso às suas criptomoedas.
Eles o deixaram lá após roubar US$ 4 milhões em ativos digitais. Dois dos suspeitos, ambos de 16 anos e naturais da Flórida, foram recentemente capturados e agora enfrentam múltiplas acusações criminais, incluindo sequestro e roubo.
Com o Bitcoin atingindo máximas históricas nos últimos dias, o alvo nas suas costas nunca foi tão grande. Então, o que você pode fazer quando o elo mais fraco da sua segurança é você mesmo?
Uma nova geração de ferramentas, configurações de carteiras e protocolos físicos está surgindo para defender os usuários contra coerção no mundo real. Veja como começar a pensar como um bilionário paranoico e especialista em cripto.
1. Carteiras Multisig
Carteiras multisig exigem múltiplas chaves privadas para autorizar uma transação. Uma configuração comum é 2 de 3: duas chaves são necessárias para movimentar fundos, mas três existem no total. Se um atacante conseguir acesso a apenas uma — digamos, sob ameaça — ainda assim não conseguirá drenar seus ativos.
Ferramentas como Nunchuk e Casa permitem que os usuários distribuam as chaves em diferentes locais (uma em casa, uma em um cofre bancário e uma com um advogado, por exemplo), tornando o roubo imediato impossível.
Possível desvantagem: os agressores podem forçar você a implorar a outro portador da chave para autorizar a transação.
2. Shamir’s Secret Sharing
Diversas carteiras, incluindo a Trezor Model T, oferecem suporte ao recurso chamado “Shamir’s Secret Sharing”, que parece nome de livro infantil, mas é um algoritmo criptográfico que divide sua frase de recuperação em múltiplos fragmentos. Você pode distribuir esses fragmentos entre pessoas ou locais de confiança. Apenas um número mínimo (por exemplo, 3 de 5) de fragmentos é necessário para reconstituir a chave.
Outra opção é a Vault12, que permite designar guardiões — familiares, advogados ou sócios — que ajudam a recuperar sua carteira somente quando necessário.
Possível desvantagem: assim como as carteiras multisig, o Shamir’s Secret Sharing é tão seguro quanto forem resistentes à coerção os seus co-detentores das partes da chave.
3. Carteiras de coação e falsas
Muitas carteiras, como a Blockstream Jade, oferecem suporte a “PINs de coação”. Você digita um PIN para acessar sua carteira real. Digita outro — sob coação — e abre uma carteira falsa com um saldo modesto. É possível até configurar um PIN secreto que apaga completamente o dispositivo.
Leia Também
A deniabilidade plausível pode ser uma excelente tática, especialmente se você souber improvisar.
Possível desvantagem: se o criminoso estiver monitorando você online, pode saber que você possui milhões — e não os R$ 1.300 que aparecem na carteira falsa.
4. Escondendo seus rastros
Uma ótima maneira de evitar um ataque é não parecer um alvo. Ferramentas que preservam a privacidade podem reduzir sua pegada visível na blockchain.
A criptomoeda Monero (XMR), por exemplo, utiliza endereços furtivos e assinaturas em anel para tornar transações praticamente impossíveis de rastrear. Carteiras de Bitcoin como a Wasabi implementam o CoinJoin, uma técnica que mistura moedas com as de outros usuários para ocultar a origem.
Possível desvantagem: ainda é relativamente fácil identificar quem movimenta grandes quantias em cripto, mesmo tentando esconder sua fortuna.
5. Apagamento próximo e remoto
Diversas boas carteiras físicas, incluindo Trezor e Ledger, oferecem essa funcionalidade, que pode ser ativada de várias maneiras — como inserir um PIN especial que inutiliza o dispositivo imediatamente.
A carteira Samourai, que já foi renomada por sua segurança até ser encerrada por autoridades americanas sob suspeita de lavagem de dinheiro, oferecia apagamento remoto via SMS. Se você sabe o que está fazendo, ainda é possível encontrar o software da Samourai em repositórios online e ativar essa função.
Possível desvantagem: inutilizar a carteira com uma arma apontada para a cabeça é arriscado; mensagens SMS podem ser interceptadas.
6. Carteiras físicas com isolamento total
O investidor avançado de cripto mantém seus ativos em uma ou mais carteiras físicas. E, se essas carteiras ficam em casa em vez de cofres ou esconderijos secretos, então estão muito bem escondidas.
Dispositivos como COLDCARD e Keystone Pro utilizam QR codes ou cartões SD para assinar transações offline. Mesmo que um invasor tenha seu notebook, ainda precisará do dispositivo físico, do PIN e (geralmente) de um coassinante.
Possível desvantagem: um ladrão extremamente motivado e violento provavelmente tem meios de forçar você a acessar sua carteira física. Afinal, todos já vimos filmes sobre isso.
7. Botões de pânico vestíveis com rastreamento por GPS
Botões de emergência compactos e vestíveis existem há muito tempo. Foram inventados para o típico paranoico de alto patrimônio, não especificamente para o público cripto.
Dispositivos como o Silent Beacon podem ligar para qualquer número e enviar alertas com sua localização GPS para contatos designados. Também permitem comunicação bidirecional, o que ajuda a vítima a falar com possíveis socorristas.
Possível desvantagem: usar um botão de pânico pode sinalizar a um criminoso que você está, de fato, protegendo algo muito valioso.
* Traduzido e editado com autorização do Decrypt.
- Você costuma enviar dinheiro para o exterior? O MB está estudando uma solução de pagamentos que promete tornar as transferências com cripto muito mais simples. Clique aqui para responder uma pesquisa e ajudar a construir algo que faça sentido para você!
