As chamadas paper wallets (ou carteiras de papel), carteiras de Bitcoin que são criadas totalmente offline, ainda hoje são consideradas as mais seguras que existem. Por não estarem conectadas à Internet, é praticamente impossível para um hacker roubar os Bitcoins guardados nelas.
Entretanto, um dos principais sites que criam essas carteiras pode ter apresentado uma grave vulnerabilidade. Segundo o portal de notícias Coindesk, um pesquisador de segurança da MyCrypto.com chamado Harry Denley postou uma análise detalhada e preocupante do site WalletGenerator.net.
O núcleo da análise depende do código aberto original do WalletGenerator disponível aqui. Até 17 de agosto de 2018, o código online correspondia ao código-fonte aberto e todo o projeto gerava carteiras usando uma técnica do lado do cliente, que gerava entropia aleatória real e produzia uma carteira única. Mas, depois dessa data, os dois conjuntos de códigos pararam de corresponder.
O resultado? Isso abre uma possibilidade muito real de que o WalletGenerator está fornecendo chaves idênticas para vários usuários. Para testar isso, o pesquisador da MyCrypto executou o gerador em massa e obteve alguns resultados estranhos.
“Aproximando-se de um ângulo diferente, usamos o gerador de ‘Bulk Wallet’ para gerar 1.000 chaves. Na versão livre de riscos do GitHub, recebemos 1.000 chaves privadas únicas, como era esperado. No entanto, usando o WalletGenerator em vários momentos entre 18 de maio de 2019 e 23 de maio de 2019, obtivemos apenas 120 chaves exclusivas por sessão. Atualizar o navegador, alternar locais de VPN ou fazer com que uma outra parte execute o mesmo teste resultaria em um conjunto diferente de 120 chaves sendo geradas.”
Embora o comportamento estranho não tenha sido encontrado na última sexta-feira, 24 de maio, ele pode reaparecer a qualquer momento, o que coloca em risco a integridade das carteiras geradas durante esses cinco dias.
Confira nossas sugestões de Pre-Sales para investir agora
“Por enquanto, consideramos como uma grave suspeita. Recomendamos aos usuários que geraram pares de chaves públicas e privadas depois de 17 de agosto de 2018 que tirem seus fundos das carteiras”, diz o pesquisador. “Não recomendamos o uso do WalletGenerator no futuro, mesmo que o código, neste exato momento, não seja vulnerável.”
O relatório completo pode ser lido aqui, mas Denley recomenda a retirada de fundos de suas carteiras de papel criadas no WalletGenerator. Como não há uma maneira clara de entrar em contato com o “cara aleatório [sic] se divertindo com um projeto paralelo” que aparentemente administra o site, o pesquisador recomenda que os usuários evitem completamente o site.
Leia também: Urgente! Ledger detecta malware que pode infectar aplicativo de carteira da empresa
