Startup identifica vulnerabilidade em carteiras de criptomoedas

Falha infla o saldo de usuários e pode levar a confusões no recebimento de pagamentos

Victor Pinheiro 02/07/2020 17h07
bitcoin
A A A

A startup ZenGo descobriu uma vulnerabilidade em carteiras de criptomoedas que pode ser usada por criminosos para confundir vítimas em transações. O problema, segundo a organização, já afetou marcas de renome no mercado, como a Ledger, BRD e Edge. A descoberta permaneceu em sigilo por 90 dias devido a um acordo de divulgação entre a startup e as empresas.


A vulnerabilidade viabiliza ataques conhecidos como "BigSpender". Eles exploram um protocolo chamado Replace-by-Fee, que permite a usuários enviarem um determinado valor de criptomoedas com taxas de transação baixas. Na sequência, o usuário pode substituir o primeiro aporte por outro do mesmo valor, mas com taxas de transações mais elevadas. Isso acelera o processo de transferência, à medida que mineradores dão prioridade a operações de índices mais altos.

Entretanto, algumas das carteiras de criptomoedas estavam integrando o valor das transações aos balanços financeiros de clientes antes que elas fossem de fato confirmadas. Com isso, um usuário mal intencionado poderia fazer o primeiro aporte e na sequência substituí-lo por uma transação para outra conta, sob o controle dele. Esse tipo de situação pode levar um vendedor de algum produto a acreditar que recebeu o pagamento e despachar a mercadoria, mesmo com a transferência cancelada.

O site americano TechCrunch ressalta que o ataque ainda permitiria golpista simularem 10 transações com valor de 0,1 Bitcoins (BTC). O destinatário então seria notificado com um saldo de 1 BTC na sua conta, mesmo tendo recebido zero. O saldo fictício poderia levar as vítimas a fazer transações de valores sem tê-los de fato na carteira. Apesar dos bitcoins permanecerem seguros, diante de tantas transações negadas, os ativos de criptografia da vítima seriam bloqueados nas plataformas.

Reprodução

Imagem: Reprodução

Empresas minimizam problema

A Ledger publicou, nesta quinta-feira (2), um artigo minimizando o impacto do BigSpender. Para a empresa, o ataque é uma falha de interface de experiência do usuário e não pode ser considerada uma vulnerabilidade, uma vez que os ativos dos clientes permanecem seguros. A companhia atualizou a carteira e agora as transações não confirmadas não são mais contabilizadas na conta, e há uma mensagem ao lado do saldo destacando se alguma transferência ainda está pendente.

Ao site especializado The Block, Samuel Sutch, CTO da BRD, afirmou que alguns usuários chegaram a ter o acesso a fundo de sua carteira prejudicados devido ao problema, disse que a empresa já tomou providências e recompensou a ZenGo por ter identificado a falha.

Já Paul Puer, CEO e cofundador da Edge, disse ao The Block que a carteira da empresa sinaliza explicitamente quando transações de um usuários está pendente. Ele admite, no entanto, que a empresa trabalha para consertar um problema em que a carteira contabiliza uma transação pendente, mesmo após ser cancelada. Puer explica que para corrigir o problema basta sincronizar a carteira para a remover a transação.

Fonte: TechCrunch/The Block

bitcoin criptomoedas Bitcoin bitcoins minerador de criptomoedas
Você faz compras Online? Não deixe de conferir a nova extensão do Olhar Digital que garante o preço mais baixo e ainda oferece testadores automáticos de cupons. Clique aqui para instalar.

Recomendados pra você