Imagem da matéria: Entenda como falhas colocaram em risco milhões de usuários de carteiras cripto da Binance e da Coinbase
Shutterstock

Um conjunto de vulnerabilidades encontradas em carteiras de criptomoedas que usam uma tecnologia chamada multi-party computation (MPC) em suas bibliotecas poderia ter aberto brecha para o roubo de milhões de fundos de empresas renomadas no setor, como Coinbase e Binance.

Quem descobriu as falhas foi a empresa de infraestrutura cripto Fireblocks, que só as tornou públicas na quarta-feira (9), depois de ter notificado as empresas para que corrigissem o problema a tempo.

Publicidade

Tanto a Binance quanto a Coinbase foram ao Twitter confirmar que suas carteiras usaram no passado as bibliotecas que continham as vulnerabilidades que, se exploradas, permitiriam a um invasor esvaziar as wallets.

Porém, ambas as empresas garantiram que nenhum fundo foi roubado e que o problema foi corrigido após o alerta da Fireblocks.

“Embora nosso produto de consumidor Coinbase Wallet não tenha sido afetado por esse problema de forma alguma, as bibliotecas em questão foram usadas em uma versão anterior de nossa solução Wallet as a Service (WaaS). No entanto, devido à abordagem da Coinbase de implementar segurança em várias camadas em nossa pilha de software, não havia como explorar esse problema em nossos produtos”, explicou a Coinbase no seu blog, garantindo ter atualizado as bibliotecas após a descoberta para eliminar o risco de ataque.   

O CEO da Binance, Changpeng “CZ” Zhao, também comentou sobre o incidente no Twitter. “Esse problema estava presente na biblioteca TSS que a Binance disponibilizou como open-source, o qual já foi corrigido. Agradecemos à Fireblocks por tê-lo descoberto!”, escreveu CZ.

Publicidade

Ele garantiu que nenhum fundo dos usuários da Binance foi afetado, mas pontuou que “mesmo as soluções de custódia MPC apresentam riscos”.

Entenda o bug

A Fireblocks deu mais detalhes no seu blog sobre os bugs encontrados em mais de 15 dos principais provedores de carteiras de criptomoedas do mercado.

De acordo com a equipe de pesquisa em criptografia da Fireblocks, tratou-se de um BitForge, uma série de vulnerabilidades de dia zero — ou seja, que não havia sido percebida antes da Fireblocks — em algumas das implementações de protocolos de multi-party computation (MPC) mais amplamente adotadas, incluindo GG-18, GG-20 e Lindell17.

Multi-party computation é uma tecnologia usada por carteiras de criptomoedas por permitir que várias partes troquem dados entre si sem revelar o conteúdo sensível dessas informações, e é vista como um padrão de segurança para a indústria cripto.

Publicidade

“A equipe descobriu vulnerabilidades de dia zero em implementações usadas por mais de 15 provedores de carteiras de ativos digitais, blockchains e projetos de código aberto, que permitiriam a um invasor com acesso privilegiado esvaziar fundos das carteiras. Em algumas implementações, o ataque levaria apenas segundos, sem conhecimento do usuário ou do fornecedor”, exemplifica a empresa para mostrar a gravidade do problema.

A Fireblocks explica que, de forma geral, um invasor poderia explorar a falha recém-descoberta nos protocolos GG18 e GG20 para extrair a chave privada completa da carteira devido à falta de uma prova de conhecimento zero. A empresa explica que a vulnerabilidade do protocolo Lindell17 permitiria que um invasor criasse uma espécie de “porta dos fundos” para expor parte da chave privada quando a assinatura falha. 

“As explorações foram validadas em implementações de código aberto importantes, e uma prova de conceito funcional foi construída nas bibliotecas abertas”, explica a Fireblocks.  

Mesmo assim, a empresa alerta que pelo fato de uma grande quantidade de implementações usadas por provedores de carteiras de criptomoedas serem fechadas, as empresas do setor devem verificar diretamente com seus provedores para fazer a checagem de bugs, ou acessar o Verificador de Status BitForge da Fireblocks para obter mais informações.

VOCÊ PODE GOSTAR
Imagem da matéria: Mike Tyson tem chance contra Jake Paul? Veja a previsão de nossa IA

Mike Tyson tem chance contra Jake Paul? Veja a previsão de nossa IA

O agente de IA do Decrypt analisou uma grande quantidade de dados de boxe e acha que Mike Tyson tem uma chance contra o muito mais jovem Jake Paul
Imagem da matéria: Paul Tudor Jones investe US$ 230 milhões em ETF de Bitcoin da BlackRock

Paul Tudor Jones investe US$ 230 milhões em ETF de Bitcoin da BlackRock

O gestor de fundos de hedge Paul Tudor Jones é um grande entusiasta do Bitcoin — e sua empresa comprou milhões de ações do ETF da BlackRock
Pepe Coin criptomoeda de meme, valoriza e entra no top 100 das criptomoedas

O que é Pepecoin? A memecoin que está subindo mais que Dogecoin

Descrita como a “memecoin mais memorável que existe”, Pepecoin (PEPE) se tornou uma das maiores criptomoedas do mundo
Imagem da matéria: Lightning Network ainda está “na infância”, mas especialistas veem grande potencial de crescimento

Lightning Network ainda está “na infância”, mas especialistas veem grande potencial de crescimento

Na Satsconf 2024, especialistas discutiram o potencial da Lightning Network e as oportunidades que ela oferece para o futuro do Bitcoin