Uma vulnerabilidade recém-identificada nos processadores da série M da Apple pode ter implicações graves para os usuários de criptomoedas, com o potencial de comprometer as chaves privadas.
Essa falha, que reside profundamente na microarquitetura desses chips, foi primeiro relatada pelo Ars Technica e detalhada em um artigo publicado por um coletivo de pesquisadores de importantes universidades dos EUA.
A vulnerabilidade deriva de um canal lateral no pré-buscador de memória de dados (DMP) do chip, um mecanismo projetado para aumentar a eficiência computacional. No entanto, esse recurso permite inadvertidamente a extração de chaves secretas durante operações criptográficas, um processo fundamental para a segurança de criptomoedas e outras transações digitais.
Apelidado de “GoFetch” por seus descobridores, esse método de ataque não requer acesso administrativo, levantando alarmes sobre a facilidade com que criminosos podem explorar essa vulnerabilidade.
“O fato de que os dados intermediários se parecem com um endereço é visível por meio de um canal de cache e é suficiente para revelar a chave secreta ao longo do tempo”, destacou o estudo.
Roubo de criptomoedas no MAC
Essa descoberta é especialmente preocupante para detentores de criptomoedas, já que as chaves privadas são o ponto central da segurança de carteiras digitais e transações.
As implicações do GoFetch são vastas, afetando não apenas os protocolos de criptografia tradicionais, mas também aqueles projetados para serem resistentes contra ataques de computação quântica. Isso coloca uma ampla variedade de chaves criptográficas em risco, incluindo RSA e Diffie-Hellman, juntamente com algoritmos pós-quânticos como Kyber-512 e Dilithium-2.
A mitigação dessa vulnerabilidade representa um desafio significativo devido à sua natureza baseada em hardware. Embora defesas baseadas em software possam ser desenvolvidas, muitas vezes isso resulta em degradação de desempenho, especialmente em dispositivos com chips da série M mais antigos.
A Apple ainda não fez uma declaração pública sobre as descobertas do GoFetch. Enquanto isso, os pesquisadores aconselham os usuários finais a procurarem por atualizações de software que abordem especificamente essa vulnerabilidade.