Startup identifica vulnerabilidade em carteiras de criptomoedas

A startup ZenGo descobriu uma vulnerabilidade em carteiras de criptomoedas que pode ser usada por criminosos para confundir vítimas em transações. O problema, segundo a organização, já afetou marcas de renome no mercado, como a Ledger, BRD e Edge. A descoberta permaneceu em sigilo por 90 dias devido a um acordo de divulgação entre a startup e as empresas.

A vulnerabilidade viabiliza ataques conhecidos como "BigSpender". Eles exploram um protocolo chamado Replace-by-Fee, que permite a usuários enviarem um determinado valor de criptomoedas com taxas de transação baixas. Na sequência, o usuário pode substituir o primeiro aporte por outro do mesmo valor, mas com taxas de transações mais elevadas. Isso acelera o processo de transferência, à medida que mineradores dão prioridade a operações de índices mais altos.

Entretanto, algumas das carteiras de criptomoedas estavam integrando o valor das transações aos balanços financeiros de clientes antes que elas fossem de fato confirmadas. Com isso, um usuário mal intencionado poderia fazer o primeiro aporte e na sequência substituí-lo por uma transação para outra conta, sob o controle dele. Esse tipo de situação pode levar um vendedor de algum produto a acreditar que recebeu o pagamento e despachar a mercadoria, mesmo com a transferência cancelada.

O site americano TechCrunch ressalta que o ataque ainda permitiria golpista simularem 10 transações com valor de 0,1 Bitcoins (BTC). O destinatário então seria notificado com um saldo de 1 BTC na sua conta, mesmo tendo recebido zero. O saldo fictício poderia levar as vítimas a fazer transações de valores sem tê-los de fato na carteira. Apesar dos bitcoins permanecerem seguros, diante de tantas transações negadas, os ativos de criptografia da vítima seriam bloqueados nas plataformas.

Fonte: olhardigital