Pesquisadores independentes da Security Evaluators (ISE) publicara um novo estudo que aponta uma espécie de “falha” no Ethereum e em todas as blockchains que usam assinatura de chave pública baseada em ECDSA. De acordo com os pesquisadores, o suposto bug pode ser usado para descobrir chaves privadas usando geradores de chaves defeituosos (RNG).
Segundo os pesquisadores, mais de 37 mil ETH foram roubados por um grupo apelidado de “Blockchain Bandit” usando a vulnerabilidade. No entanto, de acordo com o estudo, o valor pode ser ainda maior, pois os pesquisadores identificaram cerca de 732 pares de chaves vulneráveis com mais de 60.286.012 tokens baseados no ERC20 mantidos dentro dessas chaves.
“O ISE descobriu 732 chaves privadas, assim como suas correspondentes chaves públicas, que respondem por 49.060 transações do Ethereum. Além disso, identificamos 13.319 Ethereums que foram transferidos para endereços de destino inválidos, ou carteiras derivadas de chaves fracas”, destaca o estudo.
Mas o documento do ISE ressalta que o uso de pares de chaves privadas fracos não é um “problema generalizado” e demanda um trabalho muito “pesado” para ser executado. No caso, foram mais de 1.024 horas de pesquisa para chegar aos resultados que, segundo o documento, também ascende um alerta para erros de geração de chaves em redes como Bitcoin, ZCash, Ripple, Monero e outras.
Leia também: Ernst & Young revela plano ambicioso de levar Ethereum para clientes corporativos