O 2FA da maioria das exchanges de criptomoedas é inseguro!

Siga no

Você sabia que a maioria dos 2FA de exchanges brasileiras e estrangeiras, não segue as melhores práticas de segurança?

Você sabia que o aplicativo mais usado para isso, o Google Authenticator também não tem a funcionalidade necessária?

Eu explico melhor, antes deu ser 100% cripto, infelizmente fui da área de segurança/inovações dos sistemas bancários no Brasil(Bradesco, Itáu, Santander etc) e na Europa(Santander e Banco Espirito Santo), isso me deu bastante experiência e me fez participar de várias iniciativas como membro da OATH (https://openauthentication.org) a que eu julgo ser a maior iniciativa a escrever os RFC dos principais mecanismos do 2FA como HTOP, TOTP e OCRA, participei de diversas implantações do mesmo.

Porém infelizmente não usamos o modelo principal para assinar as transações, segue um breve resumo:

HOTP: An HMAC-Based OTP Algorithm (RFC 4226): Podemos ver que o HOTP, foi a primeira RFC o ponto zero de tudo, ele era um 2FA, não baseado no tempo, e sim em “evento”, a cada clique no seu dispositivo de autenticação ele mudaria o seu 2FA .

TOTP – Time-based One-time Password Algorithm (RFC 6238): Essa foi a grande sacada, por conta da RFC anterior e das pessoas clicarem muito nos seus dispositivos as vezes os mesmos tinham “perda de sincronia” com o servidor, causando um número de suporte absurdo, o TOTP, é o queridinho, ele é o algorítimo por trás do Google Authenticator atual e da maioria das exchanges o utilizam, como Mercado Bitcoin, Binance etc, porém ele é “inseguro”, para assinar transações, sendo facilmente suscetível para um ataque man-in-the-midle.

Ou seja, esse sistema atual é inseguro, a própia OATH, já sinalizou isso há tempos e pasmem, você sabia que o Bradesco e esses outros bancos que citei utilizam um protocolo diferente e que protege esses ataques?

É isto mesmo, o sistema bancário nacional está mais a frente na segurança do 2FA, do que nossas exchanges, eles utilizam o modelo OCRA para assinar as transações!

OCRA – OATH Challenge/Response Algorithms Specification(RFC 6287): O modelo OCRA, muito parecido com o modelo da OriginalMy(nossa queridinha), é um modelo que concatena dados da transações junto com a semente, e assim consegue dar um 2FA único para aquela transação, mesmo que o hacker capture seu OTP tradicional, ele não conseguiria assinar tal transação.

E porque o modelo de OCRA não é difundido nas exchanges grandes como a Binance?

A resposta é simples!

Eu não sei 🙁 talvez pelo conforto do Google Authenticator não ter a funcionalidade.

Link da RFC OCRA: https://tools.ietf.org/html/rfc6287

Especificações do OATH: https://openauthentication.org/specifications-technical-resources/

Avatar
matheusgrijohttps://anubis.website/
Amante do open source e entusiasta das criptomoedas desde 2016, é CEO da AnubisTrade e possui vários projetos de código aberto na criptoesfera; developer blockchain e colunista de portais relacionados ao mundo do bitcoin e das criptomoedas.

Cardano sobe 2600% em um ano e se torna a 3ª criptomoeda mais valiosa...

Apesar de o mercado de criptomoedas estar em queda desde segunda-feira (22), a Cardano valorizou 48% nos últimos 7 dias e se tornou a...

Maioria dos mineradores de Ethereum aceitam proposta para reduzir taxas

A grande maioria dos mineradores de Ethereum não devem protestar contra a proposta EIP-1559, que diminui as taxas da rede e, consequentemente, diminui a...
Bitcoin em destaque capa

‘Aprecie com moderação’: como gestoras de fundos de criptomoedas no Brasil veem valorização do...

A grande valorização recente experimentada pelo bitcoin — apesar da correção ocorrida nesta semana — novamente fez o mercado financeiro olhar mais profundamente para...

Cotação do Bitcoin por TradingView

Últimas notícias

Maioria dos mineradores de Ethereum aceitam proposta para reduzir taxas

A grande maioria dos mineradores de Ethereum não devem protestar contra a proposta EIP-1559, que diminui as taxas da rede e, consequentemente, diminui a...

‘Aprecie com moderação’: como gestoras de fundos de criptomoedas no Brasil veem valorização do bitcoin

A grande valorização recente experimentada pelo bitcoin — apesar da correção ocorrida nesta semana — novamente fez o mercado financeiro olhar mais profundamente para...

Líder da pirâmide com Bitcoin, ArbCrypto, é preso em Minas

Um dos fundadores da empresa ArbCrypto - que atuava com arbitragem de criptomoedas - Alexandre Cesário Kwok, foi preso em Uberaba, no Triângulo Mineiro, nesta quinta-feira (25). Havia...

Bitcoin pode registrar maior queda semanal desde março de 2020

O preço do Bitcoin está em forte queda nesta sexta-feira (26). Com uma perda de 7% nas últimas 24 horas, o ativo digital está...

Tether cria dólares do nada, igual ao Fed, diz Pompliano

Um processo contra a Tether e a corretora Bitfinex foi encerrado no inicio desta semana, de acordo com a decisão, empresa enganou clientes e o...