Bug do qual a Foxbit tinha ciência fez com que seus usuários perdessem 58 BTC
A exchange Foxbit recentemente revelou que, através da plataforma de troca BlinkTrade, a empresa havia atualizado seu processo de login, tornando-o seguro para seus usuários. Contudo, a atualização pode ter sido implementada tarde demais, tendo em vista que recentes relatos sugerem que a fraca segurança da companhia permitiu que hackers “phishassem” os usuários e roubassem cerca de 58 BTC (pouco mais de R$1,8 milhão).
Leia mais: Nasdaq considera “seriamente” se tornar uma exchange de criptomoedas
A estimativa de 58 BTC vem do especialista em cibersegurança Leandro Trindade, que alertou a Foxbit sobre algo estar errado com suas práticas de segurança no dia 29 de março. Ele percebeu que algo estava errado ao notar que o Reclame Aqui estava cheio de queixas relacionadas à Foxbit.
Ao se aprofundar no assunto, ele descobriu que muitos usuários estavam reclamando que os fundos que eles possuíam na plataforma sumiram. Em sua investigação, Leandro descobriu que, na Foxbit, usuários podem alterar suas configurações de autenticação em dois passos (2FA), utilizando apenas uma senha.
Isso permitiu que os hackers utilizassem um ataque de phishing, mudando as configurações 2FA de usuários para deixá-los de fora de suas próprias contas. Tendo em vista que não havia confirmação por email, nenhuma pergunta de segurança ou qualquer outra camada de segurança, tudo o que eles precisaram então foi sacar os fundos dos usuários.
Falando para o Portal do Bitcoin, Leandro declarou:
“Eu poderia estar rico agora, mas o meu código de ética não deixa.”
Ele acrescentou que tentou avisar à exchange sobre o risco que seus usuários estavam correndo. Ele enviou dois emails à companhia, deixou uma mensagem ao suporte e lhes enviou uma mensagem no Facebook. Levou cerca de duas semanas para que a BlinkTrade o respondesse. Em sua resposta, foi revelado que seriam necessários sete dias para corrigir os problemas.
Segundo o Portal do Bitcoin, levou cerca de 25 dias para que a vulnerabilidade fosse corrigida. Tanto a Foxbit quanto a BlinkTrade revelaram depois que estavam cientes do problema antes dos avisos de Leandro, acrescentando que “um novo procedimento de login e saque estava sendo planejado desde fevereiro”.
Foxbit’s statement reads (roughly translated):
“A empresa foi informada das primeiras ocorrências em dezembro e desde então tem trabalhado junto à BlinkTrade para reforçar a segurança e orientar os usuários, como mostram post no nosso blog nesse sentido.”
Leia mais: OKEx suspende depósitos de tokens ERC20 após descobrir bug crítico em smart contracts do Ethereum
“Essa conta não é minha!”
Evando Conceição Oliveira, usuário da Foxbit, alega que perdeu quase R$35 mil na plataforma em 22 de janeiro. Ele foi contatado pelo departamento legal da Foxbit, que tentou oferecer a ele 50% do valor perdido. Evando tentou negociar um pouco mais, e acabou recebendo R$19300 da exchange.
Segundo a Foxbit, a companhia está cuidando de muitos outros casos, com alguns sendo levados ao judiciário. No Brasil, um caso semelhante envolvendo um serviço bancário online foi decidido a favor do usuário, potencialmente servindo como jurisprudência.
Essa não é a primeira falha da Foxbit. Em março, um bug na exchange permitiu que usuários sacassem seus fundos duas vezes, levando a um prejuízo de quase R$1 milhão. O problema fez com que a Foxbit desativasse seus serviços por duas semanas, embora estivesse processando saques durante seu período de inatividade.
A competição parece que se acirrará no país, com a maior firma de investimentos do Brasil, XP Investimentos, estando prestes a lançar sua exchange.
BlinkTrade revelou que não possui responsabilidade sobre as ocorrências, uma vez que em casos de phishing, são os usuários que entregam suas informações a terceiros. O CEO da companhia, Rodrigo Souza, postou um vídeo contestando o criticismo de Leandro Trindade.
Tomou prejuízo nessa história? Divide com a gente.
Fonte: CCN