Uma equipe de especialistas em segurança de blockchain da empresa Unciphered revelou recentemente a existência de uma vulnerabilidade crítica que afeta carteiras de criptomoedas geradas por navegadores. De acordo com a empresa, ao longo dos anos, esta vulnerabilidade causou a geração de um número significativo de carteiras de criptomoedas vulneráveis.
“Hoje divulgamos nosso trabalho sobre Randstorm: uma vulnerabilidade que afeta um número significativo de carteiras de criptomoedas geradas por navegador”, escreveu a empresa no X.
Em um artigo mais completo, os pesquisadores explicaram que é difícil calcular o período exato para a vulnerabilidade. Contudo, eles observaram a geração de carteiras de criptomoedas vulneráveis entre 2011 e 2015.
- Leia também: Bitcoin tem segunda correção e perde os US$ 36.000
Vulnerabilidade afeta carteiras de criptomoedas
Também confirmaram que a vulnerabilidade é explorável. No entanto, a quantidade de trabalho necessária para explorar as carteiras de criptomoedas varia de forma significativa, em geral, aumentando consideravelmente ao longo do tempo. Ou seja, as carteiras impactadas geradas em 2014 são mais difíceis de atacar do que as carteiras geradas em 2012.
A Unciphered já alertou milhões de utilizadores sobre o caso. Além disso, recomendou que os indivíduos afetados movam seus ativos para uma carteira recém-gerada, criada com software confiável.
A empresa explicou que descobriu a vulnerabilidade em janeiro de 2022, quando estava realizando um trabalho para um cliente de recuperação de criptomoedas na Blockchain.com. Ao examinar esta carteira de criptomoedas e os caminhos para recuperação, a empresa redescobriu um problema potencial nas carteiras geradas pelo BitcoinJS (e projetos derivados) entre 2011-2015.
“O valor dos ativos ainda nessas carteiras de criptomoedas é considerável. A Unciphered envolveu as partes afetadas e vem trabalhando há mais de um ano para remediar o problema”, disse.
BitcoinJS
BitcoinJS é uma implementação javascript do Bitcoin. O primeiro bloco da blockchain Bitcoin foi cunhado em janeiro de 2009 e o primeiro commit do BitcoinJS ocorreu pouco mais de dois anos depois, em maio de 2011. Mas houve um problema no BitcoinJS, que foi revelado pela primeira vez em abril de 2018.
A empresa de segurança também listou uma série de projetos que usou o BitcoinJS no início de 2010. A lista inclui, por exemplo, as carteiras de criptomoedas de: Bitgo, BitAdsress, Blockchain.info, Blocktrail, BrainWallet, CoinKite, Block.io, GreenAddress, entre outros.
Entretanto, a Unciphered esclareceu que nem todos os projetos mencionados são afetados. Além disso, para aqueles que o são, o impacto varia dependendo de quanto tempo utilizaram o código vulnerável, das mitigações adicionais implementadas e do tamanho da base de usuários no momento.
Além do Bitcoin, parece provável que existam carteiras Dogecoin, Litecoin e Zcash que também têm esta vulnerabilidade.