O Vanitygen é um dos mais conhecidos geradores de carteiras de Bitcoin (BTC) da internet, mas o serviço tem sido alvo de graves acusações. De acordo com usuários que o utilizaram, o Vanitygen estaria acessando as carteiras e retirando os BTC armazenados nos endereços.
Pelo menos dois usuários foram até o fórum Reddit e reclamaram a respeito do caso. O tema também foi discutido no programa Morning Crypto, apresentado todas as manhãs por Edilson Osório. Em conversa com o CriptoFácil, o cientista de computação e fundador da OriginalMy explicou o caso.
Entenda o problema
Os geradores de carteiras são utilizados para gerar endereços de BTC ou de Ether (ETH). Esses geradores criam endereços aleatórios tradicionais, mas permitem a criação de uma sequência de letras não aleatória.
Dessa forma, o usuário pode criar um endereço mais personalizado, algo de certa forma exclusivo. Por exemplo, se alguém chamado Paulo quer colocar seu nome num endereço, ele pode fazer isso usando um gerador. Assim, o endereço sairia algo como 1pauLOy27TK1YyrJuYxPvRparcf5HKuxs (endereço meramente ilustrativo).
Segundo Osório, estes endereços precisam ser gerados na blockchain, o que pode levar um tempo. Quanto mais letras não aleatórias a chave tiver, maior será esse tempo. Após uma série de cálculos, o gerador consegue encontrar a chave privada que está associada ao endereço.
Feito esse processo, o gerador entrega ao usuário a chave privada da carteira e em seguida destrói a cópia da chave, para que ela não fique guardada no gerador. Contudo, o Vanitygen é um gerador online, ou seja, conectado à Internet, e portanto as chaves privadas geradas no site não estariam sendo apagadas.
“Algumas plataformas prometiam entregar as chaves privadas da carteira e de fato cumpriam. Elas também prometiam apagar as chaves do seu banco de dados, só que essa parte não foi cumprida. No caso da Vanitygen, os BTC de quem teve a chave privada gerada por lá foram roubados. O site diz que foi alvo de hackers, o que não há como comprovar. Mas o fato é que eles guardavam cópias das chaves privadas das carteiras, o que possibilitou os roubos, seja quem foi que roubou”, explica Osório.
Casos no Reddit
As suspeitas desse tipo não são um fato novo, já que há acusações desse tipo de procedimento desde 2014. Pelo menos dois usuários tiveram seus fundos roubados justamente através de carteiras geradas pela Vanitygen.
Um deles pensou que havia sido um erro em seu backup, mas descobriu que todos os endereços foram gerados no Vanitygen. Outro reportou um endereço que teria recebido mais de 14 BTC em fundos roubados de carteira da Vanitygen. São mais de R$ 2,6 milhões na cotação atual da criptomoeda.
Para Osório, os geradores de carteiras não são o problema em si, mas sim os programas que funcionam online. O cientista destaca que o Vanitygen possui um totalmente fechado, sem transparência e com reclamações de falta de suporte em redes sociais. E agora, suspeito de manter cópias das chaves.
Logo, não é um site que as pessoas devem ficar longe para qualquer coisa que manipule senhas ou chaves privadas. Ao invés disso, Osório alerta que sejam utilizados outros tipos de sistemas.
“Geradores online em algum momento poderão ser hackeados, ou então eles mesmos roubarem seus fundos e dizer que foram hackeados. A melhor maneira de criar uma carteira é utilizar um software reconhecido, oficial, no seu computador ou smartphone, que gere as chaves privadas em um dispositivo que esteja sob seu controle. Em seguida, você deve guardar essa chave privada em papel ou, preferencialmente, em uma placa de metal”, alerta Osório.
Leia também: Pesquisa: 63% dos brasileiros querem fazer pagamentos com criptomoedas em suas lojas
Leia também: Time brasileiro de eSports Furia recebe patrocínio de R$ 15 milhões da FTX
Leia também: Desenvolvedor do Bitcoin Core promove soft fork no BTC para criar resistência quântica