A Trezor, uma das principais carteiras de hardware para Bitcoin, anunciou uma atualização depois de ter sido revelada uma falha que permitia o furto do criptoativo.
Segundo a empresa, esta é uma atualização de firmware que neutraliza a vulnerabilidade associada ao gerenciamento de senha em dispositivos.
A vulnerabilidade em questão afeta uma senha adicional conhecida como “palavra 25”. Assim, expondo as carteiras ao sequestro de fundos.
Vulnerabilidade
A falha se baseia no fato de que o sistema Trezor não exigia a confirmação dessa senha no dispositivo quando ela era inserida pelo usuário para sincronizar a carteira com o computador.
Essa senha é um fator de segurança opcional, além das 24 palavras que o Trezor usa como semente.
Então, quando a palavra 25 era habilitada, era acionado um mecanismo que criava um novo endereço cada vez que uma palavra errada era digitada. Esse novo endereço era mostrado como se fosse o principal da carteira.
Trezor
O erro foi reportado em um artigo escrito Marko Bencun, que faz parte da equipe que fabrica as carteiras BitBox.
Segundo Bencum, um invasor pode interferir nos dados compartilhados entre a carteira e o computador, impedindo o usuário de acessar sua senha adicional.
Portanto, como o Trezor não pedia confirmação, o usuário não teria como perceber que algo estava errado. Com isso, o usuário ficava impedido de acessar seu saldo em Bitcoin e sem sequer saber o motivo.
Mas agora, com a atualização, o Trezor adicionou o pedido de confirmação de senha ao usuário que será exibido na tela da carteira. E o usuário precisará confirmar a senha antes de usar a carteira.
Outras carteiras
A vulnerabilidade exposta por Bencum não afetou apenas as carteiras Trezor.
Isso porque, além dela, os dispositivos KeepKey, da Shapeshift, correm o mesmo risco de sequestro de fundos.
No entanto, a KeepKey não demonstrou interesse imediato em corrigir o erro.
Bencum disse que está “em contato regular com um representante da KeepKey”. Entretanto, a empresa informou a ele que ainda não propôs “uma solução para o desenvolvimento, o que indica que estão trabalhando primeiro em elementos de maior prioridade”, disse Bencum na sua publicação.
Leia mais: Bitcoin despenca aos R$ 53.000 e ameaça deixar alta
Leia mais: Antigo malware volta à ativa para roubar Bitcoins