Chamada Randstorm, uma nova vulnerabilidade foi divulgada nesta terça-feira (14) pela Unciphered. Em suma, a falha afeta carteiras antigas de Bitcoin, criadas entre 2011 e 2015, deixando até R$ 12,4 bilhões em Bitcoin em risco.
“Uma tempestade está chegando à blockchain”, escreve a Unciphered. “Uma tempestade grande o suficiente para ter nome próprio. Randstorm. Por razões que ficarão claras em breve, os antigos investidores de criptomoedas podem precisar procurar abrigo.”
“Se você usou alguma das primeiras plataformas de blockchain (particularmente entre os anos 2011 – 2015), você pode ter sido afetado.”
Em suma, a vulnerabilidade está ligada ao BitcoinJS, uma biblioteca usada por diversos softwares para a geração de carteiras. Dentre os nomes mais famosos entre os possíveis afetados estão a Blockchain.info (atualmente Blockchain.com), BitAddress, Bitgo, GreenAddress e CoinKite.
“O BitcoinJS foi usado por muitos projetos no início de 2010. Abaixo está uma lista não exaustiva de projetos que usaram BitcoinJS e seus estados atuais.”
“Nem todos os projetos mencionados acima foram afetados”, comenta a Unciphered, notando que cada carteira pode ter sido exposta por um tempo diferente à vulnerabilidade.
Vulnerabilidade Randstorm foi encontrada por acidente
Toda a história começa com Nick Sullivan, um investidor que perdeu a senha de uma carteira com cerca de R$ 500.000 em Bitcoin e decidiu contratar uma equipe de especialistas para recuperar a quantia.
Segundo relatos publicados pelo The Washington Post, os especialistas não conseguiram recuperar a quantia, mas descobriram uma vulnerabilidade de até R$ 12,4 bilhões em outras carteiras de Bitcoin.
Em uma página especial, a equipe da Unciphered destaca que está trabalhando na vulnerabilidade há 22 meses (quase dois anos). Como destaque, a empresa de segurança nota que quanto mais antiga a carteira, mais fácil de ser invadida.
“Temos coordenado a divulgação com diversas entidades e, como resultado, milhões de investidores foram alertados.”
“Em janeiro de 2022, a Unciphered estava realizando um trabalho para um cliente que estava bloqueado em uma carteira Bitcoin da Blockchain.com. Ao examinar esta carteira e os caminhos para recuperação, isso nos levou a (re)descobrir um problema potencial nas carteiras geradas pelo BitcoinJS (e projetos derivados) entre 2011 – 2015”, conta a Unciphered.
“Isso afeta potencialmente milhões de carteiras de criptomoedas que foram geradas entre 2011 e 2015. O valor dos ativos ainda nessas carteiras é considerável. A Unciphered envolveu as partes afetadas e vem trabalhando há mais de um ano para remediar o problema. Não fomos, no entanto, os primeiros a perceber isso.”
Ainda em 2015, relatos apontavam que navegadores não conseguiram gerar números aleatórios fortes, levando ao abandono do BitcoinJS. Mais tarde, em 2018, outros especialistas apontaram para a vulnerabilidade, mas não faziam ideia de seu tamanho.
Para resumir a vulnerabilidade aos leigos, a equipe publicou um desenho. Enquanto no topo está “toda a infraestrutura digital moderna”, tudo isso está sendo sustentado apenas por “um projeto criado por uma pessoa aleatória de Nebraska que está mantendo o projeto sem apoio desde 2003”.
Outra curiosidade é o nome do criador do BitcoinJS, Stefan Thomas. No mês passado, o programador ficou famoso por outra história: ter perdido a senha de uma carteira com R$ 1,2 bilhão em Bitcoin, mas estar recusando ajuda para recuperar a quantia.
“Eu estava obcecado em garantir que não cometeria nenhum erro em meu próprio código”, disse Thomas ao The Washington Post. “Sinto muito por qualquer pessoa afetada por esse bug.”
O que fazer se você achar que foi afetado pelo Randstorm?
Em outra página dedicada, a Unciphered destaca que hoje cerca de 1,4 milhões de bitcoins estão em carteiras geradas com uma criptografia fraca. A quantia está avaliada em R$ 248 bilhões. A estimativa conservadora joga o número para 35.000 a 70.000 bitcoins expostos, embora menor, a quantia é equivalente a valores entre R$ 6,2 bilhões a R$ 12,4 bilhões.
“Se estimarmos de forma conservadora que apenas 3 a 5% das carteiras geradas durante esse período foram afetadas, o valor atual das moedas em risco está entre 1,2 a 2,1 bilhões de dólares (assumindo 1 BTC = US$ 30.000).”
Continuando seu texto, a empresa de segurança afirma que a matemática do Bitcoin está “mais segura que nunca”. No entanto, nota que antigos investidores devem mover suas economias para novas carteiras caso estejam preocupados com a vulnerabilidade em questão.
“Se você criou uma carteira que acredita estar afetada por esta vulnerabilidade, sugerimos que você mova seus ativos para uma carteira gerada mais recentemente e criada por um software confiável.”
Em agosto desse ano, outra equipe encontrou outra falha em carteiras antigas (criadas entre 2014 e 2022). Chamada Milk Sad, a vulnerabilidade atingiu menos pessoas, mas também preocupou diversos investidores.
Quanto ao Randstorm, seu nome é uma mistura de Random (aleatório) e Storm (tempestade), focando nos problemas da baixa aleatoriedade durante a criação de algumas carteiras. Abaixo estão três links com mais informações sobre a falha.
Anúncio da falha: https://www.unciphered.com/blog/disclosure-of-vulnerable-bitcoin-wallet-library
Explicações técnicas: https://www.unciphered.com/blog/randstorm-you-cant-patch-a-house-of-cards
Perguntas frequentes: https://www.unciphered.com/randstorm
