Nick Sullivan, empresário e investidor de tecnologia, perdeu a senha para recuperar mais de US$ 600 mil (R$ 2,91 milhões) em bitcoin e contratou especialistas para abrir a carteira onde ele guardava o dinheiro.

No entanto, eles não conseguiram ajudá-lo a recuperar suas criptomoedas, mas descobriram uma maneira de quebrar outras carteiras de software e roubar mais de US$ 1 bilhão (R$ 4,8 bilhões).

Leia mais:

A startup Unciphered, que está trabalhando para alertar mais de um milhão de pessoas de que suas carteiras estão em risco, divulgou informações sobre sua descoberta na terça-feira (13).

publicidade

Eles esperam que os proprietários de milhões de carteiras percebam que estão em perigo e movam seu dinheiro, mas não forneceram dados suficientes para que os criminosos possam realizar um dos maiores roubos da história.

  • Essa vulnerabilidade das carteiras destaca o enorme risco das moedas experimentais, além das flutuações selvagens de seu valor e das regulamentações em constante mudança;
  • Muitas carteiras foram criadas com código contendo falhas graves e as empresas que usaram esse código podem desaparecer;
  • Além disso, é um lembrete preocupante de que, por baixo da infraestrutura de software de todos os tipos, inclusive aqueles explicitamente dedicados à segurança de fundos, existem programas de código aberto que poucas ou nenhuma pessoa supervisiona.

“O código aberto é como o leite. Eventualmente, tudo vai dar errado”, disse Chris Wysopal, cofundador da empresa de segurança Veracode, que aconselhou a Unciphered enquanto ela resolvia o problema, ao The Washington Post, que obteve os detalhes da situação.

Vulnerabilidade das carteiras destaca risco do código aberto

A descoberta dessa vulnerabilidade destaca também o risco do código aberto. O Log4j, ferramenta amplamente utilizada por prestadores de serviços de software, foi descoberto em 2021 e causou grande preocupação em empresas em todo o mundo. Isso levou a segurança do código aberto a se tornar uma prioridade para a Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna dos Estados Unidos.

“Toda tecnologia feita pelo homem contém falhas que se originam em seus criadores”, disse o cofundador da Unciphered, Eric Michaud.

Stefan Thomas, o tecnólogo que criou o software utilizado para criar as carteiras, admitiu que fez isso como passatempo e pegou parte do código de um programa publicado por um estudante da Universidade de Stanford. Ele não verificou se o código era seguro.

“Em vez disso, eu estava obcecado em garantir que não cometeria nenhum erro em meu próprio código”, disse Thomas. “Sinto muito por qualquer pessoa afetada por esse bug.”

A Unciphered chamou essa falha de “Randstorm“, porque as carteiras criadas com esse software não tinham chaves criptográficas suficientemente aleatórias, o que facilitava a invasão.

Risco de invasão em carteiras criadas antes de março de 2012

Michaud afirmou que muitas carteiras criadas antes de março de 2012 ainda são vulneráveis e podem ser invadidas por um usuário de computador comum.

“O BitcoinJS está terrivelmente corrompido até março de 2014”, disse Michaud. “Qualquer pessoa que o use diretamente corre risco muito alto de ataque.”

Há também cerca de US$ 50 bilhões (R$ 243,3 bilhões) em bitcoin armazenados em carteiras criadas entre março de 2012 e o final de 2015, sendo que pelo menos 2% delas são vulneráveis. Além do bitcoin, outras moedas, como dogecoin e litecoin, também apresentam vulnerabilidades relacionadas ao uso do software BitcoinJS.

Imagem: Marko Aliaksandr/Shutterstock

Descoberta da vulnerabilidade e solução

A descoberta da vulnerabilidade foi apenas metade do desafio. A Unciphered precisava encontrar uma forma de avisar milhões de pessoas sobre o problema sem revelar a existência de grande vulnerabilidade.

Eles conseguiram entrar em contato com a Blockchain.com, empresa que ainda estava em funcionamento e era a maior usuária do software de carteiras BitcoinJS.

Depois de algum ceticismo inicial, a Blockchain.com concordou em ajudar na solução. Ela atualizou automaticamente as carteiras dos usuários afetados, além de enviar e-mails de notificação.

Ao todo, foram mais de 1,1 milhão de carteiras afetadas começando em 10 de outubro, menos de 2% das 90 milhões de carteiras criadas.

Na criptografia, você precisa ser bastante cético em relação às pessoas que ligam com algo que parece dramático, porque há muitos golpistas. Não estava claro quem eles eram e qual era o escopo disso.

Lane Kasselman, presidente da Blockchain.com, em entrevista ao The Washington Post

Muitos dos notificados levantaram suspeitas sobre o que poderia estar acontecendo. Um deles postou a informação em um chat para entusiastas de criptos. O especialista em segurança, Dan Guido, viu e postou no X (ex-Twitter), e alguém respondeu indicando uma informação no site da Unciphered, que dizia que teria um anúncio a ser feito no futuro relacionado às carteiras.

Guido, então, pediu à equipe de sua empresa de engenharia de segurança, a Trail of Bits, que analisassem a o que a Unciphered poderia estar se referindo.

Eles descobriram o problema em questão de dias, mas concordaram em permanecer em silêncio, conforme orientação da Unciphered. “Eles conseguiram manter isso em segredo por 20 meses, o que é uma loucura, e é isso que é necessário. A capacidade de as pessoas tirarem vantagem disso é extremamente alta” afirmou.

Essa situação expõe a hostilidade do ambiente criptográfico, repleto de ataques, desafios regulatórios e interesses em destruir o bitcoin.

Infelizmente, a carteira de Sullivan não estava entre as que sofreram com a falha de segurança – infelizmente, pois, se fosse este o casso, talvez ele pudesse ter recuperado seu dinheiro.

De qualquer forma, ele não está mais no universo cripto. Agora, ele tem três companhia e trabalha com inteligência artificial (IA).

A criptografia é um lugar bastante hostil, para ser honesto, cheio de pessoas atacando o que você está construindo, sejam eles tentando hackeá-lo, ou desafios de reguladores, ou outras pessoas interessadas em ver o bitcoin sendo derrubado.

Nick Sullivan, empresário e investidor de tecnologia, em entrevista ao The Washington Post

Mesmo assim, Sullivan se sente satisfeito por ajudar tantas pessoas que ainda estão emocional e financeiramente investidas em criptomoedas “Honro aqueles que ainda estão nessa luta.”

Para saber se sua carteira foi uma das afetadas, visite o site da Key Bleed.