Falha deixava exposto R$ 92 milhões em criptomoedas para qualquer um

Os hackers entraram em contato com as empresas e apenas uma respondeu, informando que a base de dados pertencia a ela e que a falha já estava sendo resolvida.

Pesquisadores de segurança cibernética encontraram cerca de US$ 18 milhões (R$ ~ 92 milhões) de clientes de duas corretoras de criptomoedas expostos em base de dados pública onde qualquer pessoa poderia ter acesso.

O grupo de White hackers (hacker ético) pôde facilmente cruzar os dados públicos com chaves de API e ter acesso irrestrito aos fundos dos clientes.

As informações foram reveladas pelo site de segurança CyberNews e noticiada pelo Decrypt.

Os analistas identificaram a maior quantia exposta na corretora Lykke, da Suíça. O site apontou que a corretora está em “grande crescimento” e tem um volume mensal de US$ 106 milhões.

De modo bem simples, o que as duas exchanges fizeram foi deixar o valor milionário de seus muitos clientes completamente exposto na internet. Felizmente, os primeiros a identificar a falha de segurança foram os pesquisadores. Nenhum hacker mal intencionado  teve acesso aos fundos.

Exchange Lykke
Exchange Lykke

Dados vazados permitiam acesso ao dinheiro de clientes

A CyberNews informou que a primeira coisa que eles encontraram na base de dados pública foram as chaves API da Lykke. Com a posse dessas chaves, eles poderiam ter acesso direto à plataforma da exchange e realizar negociações, depósitos e saques.

Mas o pior não é isso, os analistas encontraram também as chaves privadas das carteiras de criptomoedas.

Chaves privadas estavam expostas em uma database pública.

Essas chaves privadas permitiriam o acesso à carteira dos clientes, praticamente liberando acesso total com os valores guardados, incluindo compras, transferências e negociações.

Por fim, CyberNews também teve acesso as informações de transações dos clientes, com informações sobre o saldo de cada conta. Apesar de esses dados não serem modificáveis, com o acesso das chaves privadas e da API de cada clientes, é possível manipular os valores facilmente.

Saldo dos clientes também estava de fácil acesso.

A Lykke não foi a única

Uma corretora chinesa chamada Hubdex também teve os dados de seus clientes facilmente acessados. No entanto, o valor era bem menor, cerca de US$ 2 milhões.

Além das informações de API e chaves privadas, os analistas também tiveram acesso aos documentos de KYC, o que permitia um controle ainda maior as contas.

Os hackers entraram em contato com as empresas e apenas a Lykke respondeu, informando que a base de dados pertencia a ela e que a falha já estava sendo resolvida.

Ao tentar entrar em contato com a Hubdex, os pesquisadores descobriram que os endereços de e-mail listados não funcionam.

No mais, resta sempre lembrar o clássico ditado popular: Exchange não é carteira!

$100 de bônus de boas vindas. Crie sua conta na maior corretora de criptomoedas do mundo e ganhe até 100 USDT em cashback. Acesse Binance.com

Entre no nosso grupo exclusivo do WhatsApp | Siga também no Facebook, Twitter, Instagram, YouTube e Google News.

Matheus Henrique
Matheus Henrique
Fã do Bitcoin e defensor de um futuro descentralizado. Cursou Ciência da Computação, formado em Técnico de Computação e nunca deixou de acompanhar as novas tecnologias disponíveis no mercado. Interessado no Bitcoin, na blockchain e nos avanços da descentralização e seus casos de uso.

Últimas notícias

Últimas notícias