Imagem da matéria: Entenda como falhas colocaram em risco milhões de usuários de carteiras cripto da Binance e da Coinbase
Shutterstock

Um conjunto de vulnerabilidades encontradas em carteiras de criptomoedas que usam uma tecnologia chamada multi-party computation (MPC) em suas bibliotecas poderia ter aberto brecha para o roubo de milhões de fundos de empresas renomadas no setor, como Coinbase e Binance.

Quem descobriu as falhas foi a empresa de infraestrutura cripto Fireblocks, que só as tornou públicas na quarta-feira (9), depois de ter notificado as empresas para que corrigissem o problema a tempo.

Publicidade

Tanto a Binance quanto a Coinbase foram ao Twitter confirmar que suas carteiras usaram no passado as bibliotecas que continham as vulnerabilidades que, se exploradas, permitiriam a um invasor esvaziar as wallets.

Porém, ambas as empresas garantiram que nenhum fundo foi roubado e que o problema foi corrigido após o alerta da Fireblocks.

“Embora nosso produto de consumidor Coinbase Wallet não tenha sido afetado por esse problema de forma alguma, as bibliotecas em questão foram usadas em uma versão anterior de nossa solução Wallet as a Service (WaaS). No entanto, devido à abordagem da Coinbase de implementar segurança em várias camadas em nossa pilha de software, não havia como explorar esse problema em nossos produtos”, explicou a Coinbase no seu blog, garantindo ter atualizado as bibliotecas após a descoberta para eliminar o risco de ataque.   

O CEO da Binance, Changpeng “CZ” Zhao, também comentou sobre o incidente no Twitter. “Esse problema estava presente na biblioteca TSS que a Binance disponibilizou como open-source, o qual já foi corrigido. Agradecemos à Fireblocks por tê-lo descoberto!”, escreveu CZ.

Publicidade

Ele garantiu que nenhum fundo dos usuários da Binance foi afetado, mas pontuou que “mesmo as soluções de custódia MPC apresentam riscos”.

Entenda o bug

A Fireblocks deu mais detalhes no seu blog sobre os bugs encontrados em mais de 15 dos principais provedores de carteiras de criptomoedas do mercado.

De acordo com a equipe de pesquisa em criptografia da Fireblocks, tratou-se de um BitForge, uma série de vulnerabilidades de dia zero — ou seja, que não havia sido percebida antes da Fireblocks — em algumas das implementações de protocolos de multi-party computation (MPC) mais amplamente adotadas, incluindo GG-18, GG-20 e Lindell17.

Multi-party computation é uma tecnologia usada por carteiras de criptomoedas por permitir que várias partes troquem dados entre si sem revelar o conteúdo sensível dessas informações, e é vista como um padrão de segurança para a indústria cripto.

Publicidade

“A equipe descobriu vulnerabilidades de dia zero em implementações usadas por mais de 15 provedores de carteiras de ativos digitais, blockchains e projetos de código aberto, que permitiriam a um invasor com acesso privilegiado esvaziar fundos das carteiras. Em algumas implementações, o ataque levaria apenas segundos, sem conhecimento do usuário ou do fornecedor”, exemplifica a empresa para mostrar a gravidade do problema.

A Fireblocks explica que, de forma geral, um invasor poderia explorar a falha recém-descoberta nos protocolos GG18 e GG20 para extrair a chave privada completa da carteira devido à falta de uma prova de conhecimento zero. A empresa explica que a vulnerabilidade do protocolo Lindell17 permitiria que um invasor criasse uma espécie de “porta dos fundos” para expor parte da chave privada quando a assinatura falha. 

“As explorações foram validadas em implementações de código aberto importantes, e uma prova de conceito funcional foi construída nas bibliotecas abertas”, explica a Fireblocks.  

Mesmo assim, a empresa alerta que pelo fato de uma grande quantidade de implementações usadas por provedores de carteiras de criptomoedas serem fechadas, as empresas do setor devem verificar diretamente com seus provedores para fazer a checagem de bugs, ou acessar o Verificador de Status BitForge da Fireblocks para obter mais informações.

VOCÊ PODE GOSTAR
Chill Guy art from Phillip Banks

Chill Guy dispara mais de 50% enquanto criador do meme luta contra o ativo

Os primeiros usuários do CHILLGUY obtiveram retornos enormes, com um trader transformando um investimento de US$ 1.000 em mais de US$ 1 milhão
Imagem da matéria: Alguém acabou emprestar R$ 16 milhões usando apenas um NFT como garantia

Alguém acabou emprestar R$ 16 milhões usando apenas um NFT como garantia

Um investidor conseguiu um dos maiores empréstimos da história da rede ao colocar seu CryptoPunk como garantia
Imagem da matéria: Coinbase se nega a dar suporte à migração da rede Celo e revolta comunidade

Coinbase se nega a dar suporte à migração da rede Celo e revolta comunidade

Mesmo após críticas, a Coinbase disse que só vai avaliar a nova blockchain da Celo após o hard fork
Imagem da matéria: Fundos de criptomoedas captam recorde de R$ 18 bilhões na semana

Fundos de criptomoedas captam recorde de R$ 18 bilhões na semana

No acumulado do ano, as entradas nos fundos de criptomoedas já atingem o recorde de R$ 214 bilhões