A empresa de segurança digital Kaspersky divulgou um estudo de caso que serve de alerta para investidores de criptomoedas. De acordo com a empresa, uma das carteiras consideradas mais seguras do mercado, a hardware wallet, pode não ser suficiente para proteger suas criptomoedas.
O estudo faz referência à Trezor, modelo de carteira existente desde 2013 e uma das mais conhecidas. A Kaspersky não afirmou que a carteira é insegura, mas disse aos usuários que hackers passaram a aplicar golpes mais sofisticados usando versões falsas da Trezor.
Nesse sentido, a Kaspersky recomendou que os usuários tomem cuidado ao adquirir suas carteiras. Afinal, um software adulterado pode causar perdas irreversíveis.
Camadas de proteção em hardware wallet
De acordo com a análise da empresa, o golpe acontece de maneira furtiva. Um dia, o usuário descobre que a sua carteira transferiu uma grande quantidade de Bitcoins (BTC) para outro endereço. No entanto, ele não deu o comando para isso – a carteira sequer estava conectada no e-mail.
O que pode ter acontecido? A Trezor não é tão segura quanto dizem? Na verdade, o problema está na carteira específica: o usuário comprou uma Trezor falsa no mercado.
A Satoshi Labs, criadora da Trezor Model One e T, adotou uma ampla gama de medidas de segurança que, em teoria, protegem o dispositivo contra invasores. Por exemplo, tanto a caixa quanto o invólucro da unidade são selados com adesivos holográficos. Além disso, o bootloader verifica a assinatura digital do firmware e, se for detectada alguma anomalia, exibe uma mensagem de firmware não original e apaga todos os dados da carteira.
Ou seja, a embalagem possui uma proteção contra falsificações, que é a primeira barreira de proteção. E mesmo assim, a carteira ainda conta com uma proteção no dispositivo.
Por fim, a carteira ainda possui um PIN de acesso e a possibilidade de proteção por senha, e ninguém pode roubar as criptomoedas sem ter o dispositivo. Então, o que aconteceu nesse ataque que a Kaspersky cita como exemplo?
Gato por lebre
No estudo de caso, a Kaspersky utilizou uma carteira Trezor como exemplo. Só que com um detalhe: a versão era falsa, uma Trezor adulterada.
À princípio, a carteira examinada pela empresa parecia ser exatamente igual a uma genuína, sem quaisquer sinais de adulteração. A Kaspersky afirma que comprou o dispositivo em um “site de classificados popular” com um vendedor bem classificado no local.
Por outro lado, os adesivos holográficos na caixa e na própria carteira estavam todos presentes e intactos. Ao inicializar no modo de atualização, a carteira exibia a versão de firmware 2.4.3 e a versão de bootloader 2.0.4.
Ao manusear a carteira, também nada parecia suspeito: todas as funções funcionaram como deveriam e a interface do usuário não era diferente da original. Mas as descobertas interessantes começaram quando os analistas viram os detalhes da carteira.
“Logo de cara, descobrimos que o fornecedor nunca havia lançado o bootloader versão 2.0.4. O histórico de alterações do projeto no GitHub afirma concisamente que esta versão foi ‘ignorada devido a dispositivos falsos’”, disse a Kaspersky.
Trezor faz alerta
Ou seja, a própria Trezor alertou seus usuários contra riscos de falsificação envolvendo este firmware, o que mostra que o sistema é falso.
E o problema fica ainda mais grave, pois o programa em questão é um trojan, software que rouba dados. E como se sabe, as chaves privadas de uma carteira ficam armazenadas dentro da hardware wallet. Portanto, assim que o usuário cadastra sua chave, o trojan tem acesso completo a carteira.
“O fato de que os invasores foram capazes de realizar uma transação enquanto a carteira offline estava escondida no cofre de seu proprietário significa que eles copiaram a chave privada depois que ela foi gerada ou… eles sabiam disso o tempo todo”, disse a empresa.
O que fazer sobre a hardware wallet?
De acordo com Jefferson Rondolfo, sócio da KriptoBR (revendedora oficial das carteiras Ledger e Trezor no Brasil), a falsificação pode ser algo comum nesse mercado. E infelizmente, os usuários leigos não conseguem distinguir a carteira falsa de uma verdadeira.
Outro problema é a compra de carteiras em sites de varejo das mãos de usuários desconhecidos. Esse tipo de prática torna o cliente mais sujeito a cair nesse tipo de golpe.
“Um usuário leigo não consegue identificar uma carteira falsa. A única segurança é adquirir na fábrica ou em Revenda Oficiais. Uma vez que, a adulteração é feita de forma interna no microchip do dispositivo e algumas vezes no firmware, ou ambos”, disse Rondolfo.