Imagem da matéria: Entenda como falhas colocaram em risco milhões de usuários de carteiras cripto da Binance e da Coinbase
Shutterstock

Um conjunto de vulnerabilidades encontradas em carteiras de criptomoedas que usam uma tecnologia chamada multi-party computation (MPC) em suas bibliotecas poderia ter aberto brecha para o roubo de milhões de fundos de empresas renomadas no setor, como Coinbase e Binance.

Quem descobriu as falhas foi a empresa de infraestrutura cripto Fireblocks, que só as tornou públicas na quarta-feira (9), depois de ter notificado as empresas para que corrigissem o problema a tempo.

Publicidade

Tanto a Binance quanto a Coinbase foram ao Twitter confirmar que suas carteiras usaram no passado as bibliotecas que continham as vulnerabilidades que, se exploradas, permitiriam a um invasor esvaziar as wallets.

Porém, ambas as empresas garantiram que nenhum fundo foi roubado e que o problema foi corrigido após o alerta da Fireblocks.

“Embora nosso produto de consumidor Coinbase Wallet não tenha sido afetado por esse problema de forma alguma, as bibliotecas em questão foram usadas em uma versão anterior de nossa solução Wallet as a Service (WaaS). No entanto, devido à abordagem da Coinbase de implementar segurança em várias camadas em nossa pilha de software, não havia como explorar esse problema em nossos produtos”, explicou a Coinbase no seu blog, garantindo ter atualizado as bibliotecas após a descoberta para eliminar o risco de ataque.   

O CEO da Binance, Changpeng “CZ” Zhao, também comentou sobre o incidente no Twitter. “Esse problema estava presente na biblioteca TSS que a Binance disponibilizou como open-source, o qual já foi corrigido. Agradecemos à Fireblocks por tê-lo descoberto!”, escreveu CZ.

Publicidade

Ele garantiu que nenhum fundo dos usuários da Binance foi afetado, mas pontuou que “mesmo as soluções de custódia MPC apresentam riscos”.

Entenda o bug

A Fireblocks deu mais detalhes no seu blog sobre os bugs encontrados em mais de 15 dos principais provedores de carteiras de criptomoedas do mercado.

De acordo com a equipe de pesquisa em criptografia da Fireblocks, tratou-se de um BitForge, uma série de vulnerabilidades de dia zero — ou seja, que não havia sido percebida antes da Fireblocks — em algumas das implementações de protocolos de multi-party computation (MPC) mais amplamente adotadas, incluindo GG-18, GG-20 e Lindell17.

Multi-party computation é uma tecnologia usada por carteiras de criptomoedas por permitir que várias partes troquem dados entre si sem revelar o conteúdo sensível dessas informações, e é vista como um padrão de segurança para a indústria cripto.

Publicidade

“A equipe descobriu vulnerabilidades de dia zero em implementações usadas por mais de 15 provedores de carteiras de ativos digitais, blockchains e projetos de código aberto, que permitiriam a um invasor com acesso privilegiado esvaziar fundos das carteiras. Em algumas implementações, o ataque levaria apenas segundos, sem conhecimento do usuário ou do fornecedor”, exemplifica a empresa para mostrar a gravidade do problema.

A Fireblocks explica que, de forma geral, um invasor poderia explorar a falha recém-descoberta nos protocolos GG18 e GG20 para extrair a chave privada completa da carteira devido à falta de uma prova de conhecimento zero. A empresa explica que a vulnerabilidade do protocolo Lindell17 permitiria que um invasor criasse uma espécie de “porta dos fundos” para expor parte da chave privada quando a assinatura falha. 

“As explorações foram validadas em implementações de código aberto importantes, e uma prova de conceito funcional foi construída nas bibliotecas abertas”, explica a Fireblocks.  

Mesmo assim, a empresa alerta que pelo fato de uma grande quantidade de implementações usadas por provedores de carteiras de criptomoedas serem fechadas, as empresas do setor devem verificar diretamente com seus provedores para fazer a checagem de bugs, ou acessar o Verificador de Status BitForge da Fireblocks para obter mais informações.

VOCÊ PODE GOSTAR
CEO do MB Reinlado Rabelo em evento da CVM na USP

“A Bolsa é sim lugar de startups”, diz CEO do Mercado Bitcoin em evento da CVM

Reinaldo Rabelo participou do evento do “Tecnologia e Democratização dos Mercados de Capitais no Brasil”
Imagem da matéria: CEO da Grayscale deixa cargo: "Momento certo para transição"

CEO da Grayscale deixa cargo: “Momento certo para transição”

A Grayscale, uma das maiores gestoras de criptomoedas do mundo, anunciou que Michael Sonnenshein está deixando o cargo de CEO
Imagem da matéria: El Salvador já minerou R$ 154 milhões em Bitcoin usando energia de vulcão

El Salvador já minerou R$ 154 milhões em Bitcoin usando energia de vulcão

A mineração de Bitcoin é feita com energia do vulcão Tecapa, usando 300 processadores voltados para essa atividade
busto de homem engravatado simulando gesto de pare

CVM proíbe corretora de criptomoedas e forex de captar clientes no Brasil

O órgão determinou, sob multa diária de R$ 1 mil, a imediata suspensão de qualquer oferta pública de valores mobiliários pela Xpoken