A Ledger é uma das principais carteiras de hardware do mercado, sendo utilizada por centenas de milhares de holders de diferentes moedas com segurança. No entanto, um relatório recente expôs uma falha grave na Ledger, que poderia causar a perda de Bitcoins.
O pesquisador Mo Nokhbeh escreveu em seu blog pessoal, Monokh, sobre a vulnerabilidade descoberta por ele. De acordo com o artigo, ao explorar a vulnerabilidade, um atacante poderia transferir Bitcoins de uma carteira, mas a transação se passaria por uma moeda de valor mais baixo (Litecoin, Bitcoin Cash e outros forks ou moedas em rede de testes).
De forma bem simples, o usuário acreditaria que está fazendo a transação de 1 Litecoin (US$ 59), mas pode estar mandando 1 Bitcoin (US$ 11,4 mil). Segundo informações do artigo, a falha foi divulgada à Ledger ainda no ano passado, mas não tinha sido corrigida até a data de publicação.
Como funciona a falha não corrigida da carteira Ledger
De acordo com o pesquisador a falha é bastante técnica e está na incapacidade da carteira Ledger de isolar corretamente os diferentes aplicativos para diferentes carteiras. Uma carteira Ledger isola cada aplicativo de criptomoeda acessado.
Por exemplo, ao acessar o aplicativo Ethereum ela é completamente isolada para que o hardware não tenha caminhos para a carteira de Bitcoin e cause confusões com as transações.
O artigo argumenta que a carteira Ledger não conseguia isolar propriamente os aplicativos que autorizam as transações de diferentes ativos com a mesma base. Enquanto a carteira de Bitcoin e Ethereum ficavam isoladas uma da outra, as forks do Bitcoin não eram isoladas.
Com isso, a carteira poderia autorizar uma transação de Bitcoin como se fosse de Litecoin, Bitcoin Cash, Dash e outros ativos diferentes.
Além disso, a vulnerabilidade também permitia que moedas na testnet do Bitcoin fossem usadas para autorizar transações em BTC. Um usuário, por exemplo, poderia ser convidado para participar de um teste de uma rede com transações de uma moeda de teste, sem valor real. Na verdade, entretanto, ele poderá estar enviando seus Bitcoins da mainnet, ou seja, rede principal.
Resposta da Ledger
A Ledger afirmou em uma resposta que “corrigiu” a vulnerabilidade e que optou por uma solução alternativa, já que não tem como isolar os caminhos de Bitcoin completamente. Segundo a empresa, isso poderia afetar o funcionamento de diferentes carteiras e bloquear fundos.
A vulnerabilidade ainda pode ser explorada, no entanto, a Ledger dificultou um pouco a ação. A partir dessa nova atualização, o usuário sempre receberá uma mensagem de aviso caso a carteira identifique o uso suspeito desses caminhos alternativos para altcoins.
Com essa recente notícia, esses últimos dias não têm sido bons para a reputação da Ledger, que recentemente teve um grande vazamento em seu banco de dados. Ao lado da Trezor, essa é uma das principais marcas de carteiras hardware de Bitcoin.