News

Electrum trabalha em correção de bug que deixou milhares de carteiras vulneráveis

por Rodrigo Camilo

08/01/2018 - 10:55 am

A popular desenvolvedora de carteiras virtuais Electrum disponibilizou um patch de emergência para um bug crítico em suas carteiras de bitcoin. A falha permitiu que qualquer site que hospedasse a carteira Electrum pudesse roubar as criptomoedas do usuário. Uma vulnerabilidade que expôs senhas à interface JSONRPC, permitindo que hackers tenham controle total da carteira. No entanto, o primeiro patch não solucionou o problema, o que fez com que a Electrum emitisse um segundo patch na noite de domingo. 

Um pequeno reparo para um grande problema

Na semana passada, o mundo da tecnologia foi balançado pela notícia de um erro nos processadores da Intel que não havia sido descoberto por anos. O mesmo aconteceu com a vulnerabilidade da carteira Electrum, alguns relatórios indicam que o erro já existia por cerca de dois anos. O pesquisador de vulnerabilidades da Google Tavis Ormandy alega ter descoberto o erro, apesar da falha ter sido encontrada no ano passado. Algumas horas após Ormandy ter encontrado a vulnerabilidade, a empresa disponibilizou uma correção para o problema.

Em um post do forum Bitcointalk, o administrador do site explicou:

“Se em algum momento no passado você teve seu Electrum aberto sem nenhuma senha da carteira definida; e teve uma página aberta, então é possível que sua carteira já esteja comprometida. Aquelas pessoas que estiverem paranoicas devem enviar todo o BTC de sua carteira Electrum velha a uma nova carteira Electrum.”

Mais tarde, ele atualizou seu post, acrescentando:

“Se você não definiu nenhuma senha da carteira, então o roubo já é de se esperar. Se você tinha uma carteira com uma senha razoável definida, então o invasor poderia “apenas” obter informações de endereços/transações de sua carteira e alterar as configurações do Electrum, o que a meu ver, este último fator tem altas chances de ser vulnerável a ataques. Assim, se sua carteira tiver uma senha definida, você pode diminuir seu pânico, todavia deve levar isto muito a sério.”

Leia mais: Investidores estão comprando Bitcoins com sistemas de crédito

Erro Fatal

O indivíduo que originalmente relatou a falha no Github explicou: “Enquanto o daemon do electrum está em funcionamento, alguém em um hospedeiro virtual diferente do servidor da rede poderia facilmente acessar sua carteira através da porta local RPC. Atualmente, não há nenhuma segurança/autenticação que dê a porta RPC acesso total para a carteira… ”

A Electrum é um software gratuito que é usado por inúmeros sites de criptomoedas, incluindo comerciantes e exchanges para armazenar o bitcoin. Qualquer um pode disponibilizar um servidor do Electrum, além disso, o software aceita carteiras tais como a Trezor, a Ledger e a Keepkey. Recursos avançados incluem multi-sig (multi-assinatura) e a capacidade de assinar transações usando um dispositivo de armazenamento frio que não está conectado à web.

O erro parece ter sido corrigido antes que qualquer dano fosse causado – embora corrigido na segunda tentativa visto que a primeira correção se mostrou ineficiente – no entanto, levando em conta o tempo levado para descobrir o erro, é difícil dizer se nenhum fundo foi realmente roubado. O caso mostra, mais uma vez, os riscos de armazenar bitcoins em uma carteira na rede.

Você acha seguro armazenar seus bitcoins em uma carteira na rede? Comente na seção abaixo!

Fonte: Bitcoin.com