Em primeiro lugar, o Bitcoin (BTC) é uma moeda digital que funciona por uma rede muito segura, e não oferece grandes riscos aos seus usuários. Mesmo assim, um hacker descobriu uma vulnerabilidade na compatibilidade de carteiras Bitcoin que utilizam segwit, como a Trezor, por exemplo.
Isso porque, um usuário Bitcoin que preza pela segurança das suas moedas, procura uma carteira segura. Uma das mais seguras do mercado atualmente é a Trezor, que é um hardware wallet bastante conhecida, ao lado da Ledger.
Alguns usuários podem usar suas carteiras hardware em conjunto com outras wallets. De acordo com um hacker, esse conjunto de uso de carteiras pode estar com uma vulnerabilidade grave.
Compatibilidade entre carteiras de Bitcoin que usam endereços segwit pode estar com bug fatal
A Trezor descobriu uma falha através de informações repassadas pelo hacker ético Saleem Rashid. Ao entrar em contato com a equipe de desenvolvedores da Trezor, Saleem explicou que uma falha poderia atingir os usuários e recomendou soluções.
Ainda que os usuários que possuem endereços não-segwit estejam seguros, quem tem um endereço segwit deve tomar cuidado. Em nota, a Trezor explicou que uma vulnerabilidade inteligente foi encontrada por Saleem, que permitia a um malware explorar a maneira de gastar as moedas de um endereço Bitcoin.
Neste ponto, fica claro que para o malware ser eficiente, um minerador malicioso deveria estar atento e conseguir minerar o bloco em que a transação seria incluída. Ou seja, é uma vulnerabilidade real, contudo, difícil de ser executada na prática. Todas as carteiras de hardware estão expostas a este bug.
“Observe que essa vulnerabilidade é inerente ao design do BIP-143 e é sugerida na proposta Taproot descrita no BIP-341. Essa falha afeta todos os fornecedores de carteira de hardware , alguns dos quais solicitaram 90 dias para implementar a solução. É por isso que demoramos mais do que o habitual para liberar essa correção, porque respeitamos as regras da divulgação coordenada”, afirmou a Trezor
A Trezor correu para resolver a falha e lançou no último dia 3 de junho uma correção para o bug. Entretanto, criou um problema para usuários que utilizam endereços segwit de Bitcoin na Trezor e em outros locais ao mesmo tempo, pois, sua atualização não possui compatibilidade com outros serviços.
Atualização da Trezor pode ser mais preocupante que falha descoberta, diz fundador da Wasabi wallet
Ao retirar o problema da Trezor, criou outro para as carteiras Bitcoin que utilizam endereços segwit em compatibilidade com o hardware wallet. Isso porque, um usuário da Trezor que utiliza a Wasabi Wallet ou BTCPay Server poderá perder acesso a todos os seus Bitcoins caso atualize o firmware de suas Trezors.
Em nota a BTCPay Server pede que seus usuários aguardem a decisão da Trezor. Neste ponto, o BTCPay Server compartilhou pelo Twitter que os usuários devem tomar cuidado.
Se você usa o Trezor e atualizou o firmware, não poderá mais sacar seu dinheiro com o Trezor via BTCPay Server. Não podemos corrigir o problema, pois não temos os dados que a Trezor solicitará. (sem índice de transação)
Já a Wasabi, através de um de seus fundadores, Adam Fiscor, pede que seus usuários não atualizem o firmware da Trezor por enquanto. Em conversa com o portal de notícias Decript, Fiscor afirmou que a atualização da Trezor é até mais perigosa do que a vulnerabilidade em si.
Se você estiver usando o Trezor com Wasabi, não atualize seu firmware até que os problemas de compatibilidade sejam resolvidos; caso contrário, seus fundos ficarão paralisados até que o suporte ao novo firmware seja lançado.
Quem não usa endereços segwit, e nem dois dispositivos integrados, não corre risco de ter problemas ao gastar suas moedas. Além disso, não há relatos da falha ter sido utilizada por mineradores desde que foi descoberta no último mês de março.
Por fim, o caso mostra que algumas falhas descobertas foram corrigidas por alguns desenvolvedores de carteiras de Bitcoin, mas ainda preocupa outros. A rede Bitcoin segue segura, mas o cuidado com as carteiras devem ser frequente.