Em vídeo publicado na tarde desta quinta-feira (9), a empresa de segurança cibernética Unciphered mostra como hackeou uma carteira física de criptomoedas “em menos de um segundo”.
A carteira em questão é uma OneKey Mini, um dispositivo de 58 dólares (R$ 300, em conversão direta, que afirma ser de “código aberto e confiado por milhões” de pessoas.
O processo utilizado pela Unciphered é bem semelhante ao trabalho de Joe Grand ao hackear uma carteira de hardware da Trezor após seu dono ter perdido seu PIN, travando R$ 10 milhões em criptomoedas na mesma. A grande diferença, no entanto, foi o tempo entre os dois hacks.
Carteira de hardware hackeada em menos de 1 segundo
Em suma, carteiras de hardware são consideradas as opções mais seguras para o armazenamento de criptomoedas. O principal motivo é o ambiente controlado das mesmas, ou seja, há uma grande proteção contra malwares e outras vulnerabilidades encontradas em computadores.
No entanto, a equipe da Unciphered conseguiu quebrar a segurança de uma dessas carteiras em um tempo considerado absurdo.
“Hoje a OneKey é uma das maiores produtoras de carteiras de hardware e nós encontramos uma maneira de invadir essa carteira em um segundo.”
Na sequência, o especialista afirma que essa é uma “vulnerabilidade crítica”, mas aponta que a própria OneKey já demonstrou interesse em trabalhar com eles para corrigir a falha.
Indo para o hack em si, a Unciphered mostra como ligou a carteira em um FPGA, interferindo na comunicação da mesma e então comunicando o dispositivo a um notebook.
“Bam! Extraímos a [frase] mnemônica e contornamos o PIN da OneKey em menos de um segundo.”
Com a frase mnemônica — ou seja, o jogo de 12 palavras — em mãos, o hacker então tem acesso a todas as criptomoedas que estavam armazenadas na carteira. Conforme este foi um experimento de segurança, obviamente nenhuma criptomoeda foi roubada, mas deixa usuários preocupados.
Hacks presenciais começam a preocupar a comunidade
Como visto acima, o hacker precisaria estar em posse da carteira de hardware para executar tal ataque. Ou seja, ainda que tal carteira tenha essa vulnerabilidade, seria impossível explorá-la por outro meio.
Dado isso, hacks presenciais estão se tornando uma nova tendência e exigem cuidados.
Como exemplo, nesta quarta-feira (8), o Livecoins reportou o caso de um empreendedor que perdeu R$ 20 milhões em criptomoedas após encontrar-se com golpistas em um hotel. Neste caso específico, não se tratava de uma carteira de hardware, mas sim uma carteira convencional.
Portanto, independente do método utilizado para armazenar criptomoedas, o fator humano ainda é uma grande vulnerabilidade.
Exemplos do tipo vão além. No ano passado, desenvolvedores da Ronin caíram em um falso anúncio de emprego no LinkedIn, levando a criptomoeda a sofrer um dos maiores hacks da história, de R$ 3 bilhões.
Por fim, a OneKey, fabricante da carteira de hardware hackeada pela Unciphered, não soltou nenhuma nota sobre a falha de segurança em seus equipamentos até o fechamento desta reportagem.
