O especialista em segurança digital Charles Guillemet — Diretor de Tecnologia da Ledger e criador do centro de pesquisas em segurança Donjon — resolveu comentar na terça-feira (25) no episódio que, segundo ele, poderia ter sido um dos maiores hacks da história das criptomoedas, envolvendo a Trust Wallet, Trust Wallet, carteira que foi adquirida pela Binance em 2018.
Em uma thread no Twitter, o especialista explicou como sua equipe identificou uma falha gravíssima no sistema de segurança da carteira.
No último final de semana, o Portal do Bitcoin reportou um bug encontrada na Trust Wallet que causou a perda de aproximadamente US$ 170 mil em criptoativos. A equipe da carteira prometeu reembolsar os investidores lesados.
No entanto, o especialista em segurança da Ledger afirmou ontem (25), no Twitter, que essa era apenas a ponta do iceberg e, não fosse o trabalho de sua equipe no Donjon — centro de pesquisas em segurança blockchain — as perdas poderiam ter sido absolutamente maiores.
Nas palavras de Charles Guillemet, a correção do problema “impediu um dos maiores hacks da história cripto”.
A explicação da falha de segurança na Trust Wallet
O executivo diz que, no dia 14 de novembro, a equipe da Trust Wallet, a Binance e o próprio CZ, anunciaram o lançamento da versão da carteira de criptomoedas para navegador, afirmando se tratar de um aplicativo seguro.
Mas sua própria equipe (Donjon) encontrou uma vulnerabilidade gravíssima, que permitia um atacante descobrir as chaves privadas de qualquer usuário apenas ao conhecer seu endereço público.
Um endereço público de criptomoedas, é aquele endereço utilizado para receber moedas ou tokens de outras pessoas. É a informação que pode (e deve) ser compartilhada com outros, caso você queira utilizar a rede blockchain em questão.
Já as chaves privadas, são as chaves que abrem o “cadeado” em sua carteira. Assinando as transações e permitindo que valores sejam movidos entre endereços públicos.
Leia Também
Essas chaves são (normalmente) protegidas por criptografia de ponta e devem ser guardadas com cuidado pelos donos das carteiras, já que seu acesso dá total controle sobre todos os ativos do endereço.
O especialista explicou que a falha na Trust Wallet estava no sistema de geração dessa chave privada. Reduzindo o número de possibilidades e permitindo a aplicação de técnicas de força bruta para que um atacante descobrisse — chutando várias combinações em sequência — qual a chave privada de cada endereço público.
Colocando em números, o que ele chama de “entropia mnemônica” normal de um sistema de geração de chaves é “de 2^128 ou 2^256”. No caso da versão da Trust Wallet para navegador, a “entropia” era de apenas “2^32 (mais de 4 bilhões)”. O que fazia da carteira insegura e facilmente “hackeável”.
A falha de segurança foi identificada apenas três dias após o lançamento da plataforma e a equipe de Charles Guillemet comunicou a Trust Wallet que, rapidamente, corrigiu o problema.
Charles afirmou que a equipe da carteira levou o caso muito a sério. Mesmo após corrigir a falha, passaram a comunicar seus usuários de que suas chaves privadas poderiam estar comprometidas e direcionavam os investidores para um tutorial sobre como gerar novas chaves privadas, agora, com segurança.
O hack mais recente, cinco meses após a descoberta do problema e as correções pela equipe de desenvolvimento, foi apenas de alguns ativos que “sobraram”, por investidores que não tomaram as medidas de segurança sugeridas e — segundo o especialista, foi muito menor do que poderia ter sido.
Promessa de segurança
O fundador e CEO da Binance, Changpeng Zhao, promoveu a carteira em algumas ocasiões, o que causou uma alta de preço de 92% do token nativo TWT, mesmo durante o difícil bear market de 2022.
Vale lembrar que, em um comunicado oficial da exchange internacional, a Binance havia destacado a questão da segurança do do produto, dizendo que “a Trust Wallet oferece uma opção segura e confiável para usuários que desejam gerenciar seu portfólio de criptomoedas.”
“Com criptografia de nível militar, a Trust Wallet protege as interações online dos usuários e garante que suas chaves privadas estejam protegidas com segurança de nível bancário”.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.
