As carteiras de hardware que são amplamente divulgadas como um dos dispositivos mais seguros para armazenar Bitcoin e criptomoedas podem não ser tão confiáveis como se tem dito. Recentemente, pesquisadores conseguiram romper as barreiras de segurança destes hardwares e com isso acessar a chave privada e os fundos dos usuários.
Segundo o Cointelegraph, a equipe de pesquisa por trás do projeto chamado de “Wallet.fail” é composta pelo designer de hardware e pesquisador de segurança Dmitry Nedospasov, o desenvolvedor de software Thomas Roth e o pesquisador de segurança Josh Datko. Uma demonstração das vulnerabilidades foi publicada recentemente em um vídeo e o processo inteiro foi demonstrado na conferência Refreshing Memories da 35C3.
Durante a conferência, os pesquisadores anunciaram que conseguiram extrair a chave privada de uma carteira de hardware da Trezor One, no entanto, eles apontaram que a falha só pode ser explorada se o usuário não definir uma frase secreta. Pavol Rusnak, CTO da SatoshiLabs (a empresa por trás da Trezor), comentou no Twitter que eles não foram notificados através do seu programa de Divulgação Responsável antes da demonstração, e que abordarão as vulnerabilidades relatadas através de uma atualização de firmware no final de janeiro.
Além disso, o mesmo grupo de pesquisadores hackers também afirmou que foram capazes de comprometer os hardwares Ledger Nano S e Ledger Blue por meio de técnicas diferentes que envolveram até mesmo o uso de Inteligência Artificial. Ao contrário da Trezor, a Ledger não se manifestou publicamente sobre o caso.
Está não é a primeira vez que dispositivos da Ledger apresentam falhas que podem comprometer o saldo de seus usuários. Outras atualizações de segurança ja foram publicadas para corrigir falhas identificadas. No inicio de 2018, um programador de 15 anos chamado Saleem Rashid descobriu uma falha na Ledger que permitia que hackers pegassem PINs secretos antes ou depois do envio. Os buracos, que Rashid descreveu em seu blog , permitiam tanto um “ataque à cadeia de suprimentos” – significando um hack que poderia comprometer o dispositivo antes de ser enviado ao cliente – quanto outro ataque que poderia permitir que um hacker roubasse as chaves quando o dispositivo fosse inicializado.
Recentemente, como mostrou o Criptomoedas Fácil, a Trezor alertou seus clientes contra um golpe que tem prejudicado inúmeras pessoas em diferentes países. Segundo a empresa, hardwares falsificados estão sendo vendidos como se fosse originais, no entanto, o caso não trata-se apenas de falsificação de um dispositivo pois, como os equipamentos da empresa são usados para armazenamento de criptomoedas, os hardwares falsificados estão sendo usados para roubar os fundos dos usuários que acabam adquirindo e utilizando este tipo de equipamento.