Pesquisadores encontram falhas em protocolos de segurança desenvolvidos por grandes exchanges de Cripto

De acordo com uma nova pesquisa, as bolsas de Criptomoeda que detêm fundos de usuários correm o risco de cair em inúmeras armadilhas de segurança ao não garantir que os protocolos de segurança sejam implementados corretamente.

• Falando comCom fio para um artigo de domingo, Jean-Philippe Aumasson, cofundador da empresa de segurança de câmbio Taurus Group, disse que ele e sua equipe, juntamente com Omer Shlomovits da Maker de carteiras de Cripto ZenGo, descobriram três vulnerabilidades significativas na forma como algumas bolsas de custódia mantêm fundos de usuários.
• Embora as carteiras privadas de Cripto geralmente tenham apenas uma chave privada para o titular, as exchanges vão um passo além e dividem as chaves em diferentes componentes – um esquema de chaves distribuídas – para que ONE entidade tenha controle total sobre a carteira principal.
• Isso geralmente melhora a segurança, mas, como o Taurus Group descobriu, os novos vetores de ataque surgiram da divisão de chaves privadas, em parte porque eles presumiram que os detentores das chaves, entidades responsáveis por parte da chave, não seriam maliciosos.
• Alguns vetores vêm da função de atualização que melhora a Política de Privacidade ao substituir componentes-chave para que terceiros T consigam descobrir lentamente uma chave privada completa.
• Em um exemplo, a partir de um software de código aberto de uma bolsa que os pesquisadores se recusaram a identificar, um detentor de chave malicioso poderia alterar, ou ameaçar alterar, parte do componente, de modo que a chave privada completa fosse perdida, impedindo que a bolsa acessasse os fundos novamente.
• Provavelmente, a maior vulnerabilidade veio de um protocolo de geração de chaves da Binance, onde o detentor da chave fingia ser o próprio protocolo, atribuindo a outros detentores de chaves os valores aleatórios necessários para verificar sua identidade.
• Munido dessas informações, um hacker poderia comprometer o sistema desde o momento em que ele foi configurado, dando-lhe acesso ao restante da chave privada e permitindo que ele drenasse os fundos da carteira.
• A Binance corrigiu o problema em março e disse que recomenda que os usuários passem pelo procedimento de geração de chaves somente se estiverem preocupados que um dos detentores possa ser malicioso.
• Tanto Aumasson quanto Shlomovits disseram que a pesquisa destacou o quão fácil é o surgimento de vulnerabilidades em mecanismos aparentemente seguros.

Veja também:Empresa de Cripto Hackeada por US$ 1,4 M Admite que Terá Dificuldades para Reembolsar Usuários