Pesquisadores da plataforma de ativos digitais Fireblocks informaram nesta sexta-feira (17) que descobriram uma vulnerabilidade na popular carteira de criptomoedas BitGo. De acordo com a empresa, a falha – que recebeu o nome de BitGo Zero Proof Vulnerability – teria exposto as chaves privadas de todos os usuários da BitGo, incluindo as de exchanges, bancos e de outras corporações.
A equipe explicou que a falha em questão permite que um invasor extraia a chave privada completa de um usuário em menos de 60 segundos. Para isso, ele só precisa usar um pequeno trecho de JavaScript (linguagem de programação).
A Fireblocks disse que notificou a descoberta à BitGo no dia 5 de dezembro de 2022. Em seguida, a empresa por trás da carteira confirmou os detalhes técnicos e suspendeu o seu serviço vulnerável no dia 10 de dezembro.
A BitGo se pronunciou em nota sobre a suposta descoberta e disse que as alegações são de “um concorrente tentando criar medo desnecessário, transformando uma lacuna conhecida em um golpe publicitário”.
BitGo apresenta falha que pode expor senhas
Conforme destacou o cofundador e CTO da Fireblocks, Idan Ofrat, a falha resultou do fato de o provedor de carteira em seguir um padrão cripto bem revisado.
“O crescimento explosivo dos ativos digitais nos últimos anos, tanto em número de usuários quanto em volumes de transações, tornou extremamente lucrativo para os hackers atingir esse espaço. A missão da Fireblocks é ajudar a indústria a aumentar sua resiliência e segurança”, disse Ofrat.
Em sua análise, a equipe Fireblocks provou que a falha era explorável por meio de uma conta BitGo gratuita na rede principal. De acordo com a empresa, a vulnerabilidade resultou da não implementação de provas de conhecimento zero no protocolo de carteira BitGo ECDSA TSS. Isso facilitou a exposição da chave privada por meio de um simples ataque.
“A vulnerabilidade BitGo Zero Proof permite que qualquer parte, incluindo invasores internos e externos, obtenha acesso à chave privada completa, ignorando completamente todos os controles de conformidade e segurança da empresa”, explicou a empresa.
Bitfinex tinha a mesma falha quando foi alvo de hacker
Ainda segundo a Fireblocks, a falha expõe os clientes da carteira a uma tática que hackers empregam contra exchanges e fundos. Em 2016, por exemplo, a exchange Bitfinex foi hackeada em 119.756 BTC (no valor de cerca de R$ 378 milhões na época do hack). Quando o hack ocorreu, os invasores exploraram uma falha semelhante. Após o incidente, a equipe corrigiu a falha.
Embora as chaves privadas do cliente BitGo possam ter sido comprometidas, o invasor ainda não retirou os ativos. Por isso, a Fireblocks recomendou que os usuários que criaram carteiras ECDSA TSS BitGo antes da data de correção criem novas carteiras e transfiram os seus fundos para suas novas carteiras.
BitGo nega alegações
De acordo com a equipe BitGo, o tipo específico de carteira MPC em questão está desbloqueada apenas para 20 desenvolvedores. Ou seja, não é uma versão acessível aos clientes em geral.
“Ao contrário de outros provedores de infraestrutura cripto que criam soluções de caixa preta, a BitGo abre os principais componentes de nossa tecnologia e incentiva desenvolvedores de todo o mundo a testar nossas implementações mais recentes. Nossas APIs e SDKs são acessíveis a todos. Qualquer pessoa (incluindo engenheiros de empresas concorrentes) pode criar uma conta de desenvolvedor BitGo e realizar transações de teste no TestNet e MainNet”, disse a BitGo.
Ainda segundo a empresa, o fato de a Fireblocks divulgar um problema conhecido em um produto de pré-lançamento à imprensa é incomum.
“Estamos surpresos que o Fireblocks tenha decidido seguir esse caminho depois de informá-los de que se tratava de um software de lançamento antecipado. Embora a Fireblocks afirme que estava em “produção” porque o testaram na rede principal usando o site BitGo (ignorando todos os avisos sobre o lançamento antecipado), o fato é que não estava. Emitir um press release/postagem de blog sobre os produtos beta de outra empresa em nome da “divulgação responsável” é, na melhor das hipóteses, hipócrita. Não é assim que as divulgações coordenadas devem funcionar. No entanto, mantemos nossos processos de segurança de código aberto e damos as boas-vindas ao escrutínio contínuo”, disse.
Por fim, a BitGo disse que as alegações falsas visam prejudicar a reputação da BitGo. Diante disso, a empresa está buscando todos os recursos legais, incluindo, danos, medida cautelar, custas judiciais e honorários advocatícios.
*Notícia atualizada às 14h57 de 17 de março para incluir posicionamento da BitGo.