NANO alerta sobre vulnerabilidade no aplicativo Android e pede que usuários movam seus fundos

NANO, que recentemente mudou seu nome para RaiBlocks, emitiu uma declaração alertando os usuários sobre uma vulnerabilidade em sua carteira para Android, pedindo que movam seus fundos para uma nova carteira.

Leia mais: Credores da Mt. Gox podem ser pagos em criptomoedas

Isso se aplica a qualquer um que tenha criado uma seed para carteira NANO em Android, que foi lançada há algumas horas.

O problema surgiu pela utilização da classe Random.java, usada para gerar um fluxo de números pseudoaleatórios protegidos criptograficamente. A equipe de desenvolvedores deixou este problema passar, sendo importante ressaltar que ele não foi descoberto anteriormente.

Segundo uma postagem no Reddit feita pelo CEO da Nanex, o método aleatório utiliza uma combinação do tempo atual e o endereço do dispositivo da classe ‘java.util.Random’.

public Random() {

internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));

}

O código gera 64 números inteiros aleatórios, convertendo-os para formato hex e então utilizando os primeiros 64 caracteres resultantes. Uma possível correção seria utilizar o método SecureRandom, que é muito mais seguro e recomendado conforme documentos oficiais java.

Os documentos java mencionam explicitamente o seguinte:

“Utilizações do java.util.Random não são criptograficamente seguras. Em vez dele, considere utilizar SecureRandom para obter um gerador de números pseudoaleatórios criptograficamente seguros para ser utilizado em aplicações sensíveis em termos de segurança.”

Leia mais: Pesquisadores alegam que a Tron plagiou códigos de outros projetos

d028bad555f7d735f938b888c4aeba8c

Efetivamente, você precisará de um processo malicioso sendo executado no seu dispositivo Android que tenha acesso ao endereço de memória, que é a memória do dispositivo que um processo ou aplicativo tem acesso. Isso fará com que a seed de sua carteira NANO seja comprometida.

Contudo, o usuário aponta que, a menos que o vetor de ataque seja realmente utilizado, a probabilidade da seed ser comprometida é mínima.

Contudo, é uma prática segura e altamente recomendada mover seus fundos para uma carteira diferente, com uma nova seed, para que esteja totalmente seguro. A equipe da NANO está atualmente corrigindo a carteira para torná-la criptograficamente segura, e o aviso foi emitido imediatamente após sua descoberta.

A NANO teve um ano ruim até agora, com o hack da BitGrail resultando no roubo de 17 milhões de moedas, seguido do posicionamento das equipes de ambas as empresas afirmando que não estavam erradas. Muitas reviravoltas ocorreram, incluindo o co-fundador da BitGrail, Francesco Firano, pedindo que a equipe da NANO fizesse um fork em seu blockchain, a fim de efetivamente reaver os fundos roubados.

A BitGrail, que por muito tempo manteve uma postura discreta no ramo das exchanges, causou muitas dores de cabeça para traders, inclusive um usuário que mantinha US$1,4 milhões de NANO na plataforma, quantia que foi perdida. Em uma postagem do Reddit, o usuário explicou que o limite de saque imposto, 10 bitcoins por dia, afetou seus negócios de forma severa, piorando quando o limite foi reduzido para 1 bitcoin por dia, além do suporte falho.

Leia mais: EOS atinge sua marca mais baixa dos últimos 60 dias

Fonte: CCN