{"id":22070,"date":"2023-12-11T16:23:51","date_gmt":"2023-12-11T19:23:51","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22070"},"modified":"2023-12-11T16:23:51","modified_gmt":"2023-12-11T19:23:51","slug":"vulnerability-in-hot-cryptowallets-from-2011-2015","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-in-hot-cryptowallets-from-2011-2015\/22070\/","title":{"rendered":"Randstorm: vulnerabilidade das carteiras criptogr\u00e1ficas da d\u00e9cada de 2010"},"content":{"rendered":"

Pesquisadores identificaram diversas vulnerabilidades na biblioteca BitcoinJS, expondo as carteiras Bitcoin criadas online h\u00e1 uma d\u00e9cada a poss\u00edveis ataques de hackers. O problema principal \u00e9 que as chaves privadas dessas carteiras criptogr\u00e1ficas foram geradas com uma previsibilidade muito maior do que os desenvolvedores da biblioteca esperavam.<\/p>\n

Vulnerabilidades e consequ\u00eancias do Randstorm<\/h2>\n

Vamos come\u00e7ar do in\u00edcio. Pesquisadores da Unciphered, uma empresa especializada em recupera\u00e7\u00e3o de acesso a carteiras criptogr\u00e1ficas, descobriram e descreveram<\/a> uma s\u00e9rie de vulnerabilidades na biblioteca JavaScript BitcoinJS usada por muitas plataformas de criptomoedas on-line. Entre esses servi\u00e7os est\u00e3o alguns muito populares, em particular, o Blockchain.info, agora conhecido como Blockchain.com. Os pesquisadores apelidaram esse conjunto de vulnerabilidades de Randstorm.<\/p>\n

Embora as vulnerabilidades na biblioteca BitcoinJS tenham sido corrigidas em 2014, o problema persiste nos resultados do uso dessa biblioteca. Carteiras criptogr\u00e1ficas criadas com BitcoinJS no in\u00edcio da d\u00e9cada de 2010 podem ser inseguras, pois \u00e9 consideravelmente mais f\u00e1cil encontrar as chaves privadas do que a criptografia subjacente do Bitcoin assume.<\/p>\n

Os pesquisadores estimam que v\u00e1rios milh\u00f5es de carteiras, totalizando cerca de 1,4 milh\u00e3o de BTC, est\u00e3o potencialmente em risco devido ao Randstorm. Entre as carteiras potencialmente vulner\u00e1veis<\/em>, segundo os pesquisadores, 3 a 5% delas s\u00e3o realmente vulner\u00e1veis<\/em> a ataques de fato. Com base na taxa de c\u00e2mbio aproximada do Bitcoin de cerca de US$ 36.500 no momento da publica\u00e7\u00e3o, isso implica um saque total de US$ 1,5 a 2,5 bilh\u00f5es para os invasores que venham a explorar com sucesso o Randstorm.<\/p>\n

Os pesquisadores afirmam que as vulnerabilidades do Randstorm podem de fato ser usadas para ataques do mundo real em carteiras criptogr\u00e1ficas. Al\u00e9m disso, eles exploraram com sucesso essas vulnerabilidades para restaurar o acesso a v\u00e1rias carteiras criptogr\u00e1ficas criadas no Blockchain.info antes de mar\u00e7o de 2012. Por motivos \u00e9ticos, eles n\u00e3o publicaram uma prova de conceito do ataque, pois isso teria exposto diretamente dezenas de milhares de carteiras criptogr\u00e1ficas ao risco de roubo.<\/p>\n

Os pesquisadores j\u00e1 entraram em contato com os servi\u00e7os de criptomoeda on-line que sabidamente usam vers\u00f5es vulner\u00e1veis da biblioteca BitcoinJS. Por sua vez, esses servi\u00e7os notificaram os clientes que poderiam ser afetados pelo Randstorm.<\/p>\n

A natureza das vulnerabilidades do Randstorm<\/h2>\n

Vamos examinar mais detalhadamente como essas vulnerabilidades realmente funcionam. No cora\u00e7\u00e3o da seguran\u00e7a da carteira Bitcoin est\u00e1 a chave privada. Como qualquer sistema criptogr\u00e1fico moderno, o Bitcoin depende dessa chave ser secreta e indecifr\u00e1vel. Novamente, como em qualquer sistema criptogr\u00e1fico moderno, isso envolve o uso de n\u00fameros aleat\u00f3rios muito longos.<\/p>\n

E para a seguran\u00e7a de quaisquer dados protegidos pela chave privada, eles devem ser t\u00e3o aleat\u00f3rios quanto poss\u00edvel. Se o n\u00famero usado como chave for altamente previs\u00edvel, ser\u00e1 mais f\u00e1cil e r\u00e1pido para um invasor armado com informa\u00e7\u00f5es sobre o procedimento de gera\u00e7\u00e3o de chave for\u00e7\u00e1-lo.<\/p>\n

Tenha em mente que gerar um n\u00famero verdadeiramente<\/em> aleat\u00f3rio n\u00e3o \u00e9 t\u00e3o f\u00e1cil assim<\/a>. E os computadores, por sua natureza, s\u00e3o extremamente inadequados para a tarefa, pois s\u00e3o muito previs\u00edveis. Portanto, o que geralmente temos s\u00e3o n\u00fameros pseudoaleat\u00f3rios<\/em> e, para aumentar a entropia<\/em> da gera\u00e7\u00e3o (termo do cript\u00f3grafo para a medida da imprevisibilidade), contamos com fun\u00e7\u00f5es especiais.<\/p>\n

Agora, de volta \u00e0 biblioteca BitcoinJS. Para obter n\u00fameros pseudoaleat\u00f3rios de \u201calta qualidade\u201d, essa biblioteca usa outra biblioteca JavaScript chamada JSBN (JavaScript Big Number), especificamente sua fun\u00e7\u00e3o SecureRandom<\/em>. Como o pr\u00f3prio nome sugere, essa fun\u00e7\u00e3o foi projetada para gerar n\u00fameros pseudoaleat\u00f3rios que se qualificam para uso em criptografia. Para aumentar sua entropia, o SecureRandom<\/em> conta com a fun\u00e7\u00e3o de navegador window.crypto.random<\/em>.<\/p>\n

\u00c9 a\u00ed que reside o problema: embora a fun\u00e7\u00e3o window.crypto.random<\/em> existisse na fam\u00edlia de navegadores Netscape Navigator 4.x, esses navegadores j\u00e1 estavam obsoletos quando os servi\u00e7os da Web come\u00e7aram a usar ativamente a biblioteca BitcoinJS. E nos navegadores populares da \u00e9poca \u2014 Internet Explorer, Google Chrome, Mozilla Firefox e Apple Safari \u2014 a fun\u00e7\u00e3o window.crypto.random<\/em> simplesmente n\u00e3o foi implementada.<\/p>\n

Infelizmente, os desenvolvedores da biblioteca JSBN n\u00e3o anteciparam a inclus\u00e3o de qualquer forma de verifica\u00e7\u00e3o ou mensagem de erro correspondente. Como resultado, a fun\u00e7\u00e3o SecureRandom<\/em> passou pela etapa de incremento de entropia em sil\u00eancio, efetivamente transferindo a tarefa de criar chaves privadas para o gerador de n\u00fameros pseudoaleat\u00f3rios padr\u00e3o, Math.random<\/em>.<\/p>\n

Isso \u00e9 p\u00e9ssimo, pois o Math.random<\/em> n\u00e3o foi desenvolvido<\/a> para fins criptogr\u00e1ficos. Mas a situa\u00e7\u00e3o \u00e9 ainda mais complicada pelo fato de que a implementa\u00e7\u00e3o do Math.random<\/em> nos navegadores populares de 2011 a 2015, em particular no Google Chrome<\/a>, continha bugs que resultaram em n\u00fameros ainda menos aleat\u00f3rios do que deveria ter sido o caso.<\/p>\n

Por sua vez, a biblioteca BitcoinJS herdou todos os problemas mencionados acima do JSBN. Assim, as plataformas que a utilizaram para gerar chaves privadas para carteiras criptogr\u00e1ficas receberam uma quantidade muito menor de n\u00fameros aleat\u00f3rios da fun\u00e7\u00e3o SecureRandom do que o previsto pelos desenvolvedores da biblioteca. E, devido \u00e0 alta previsibilidade na gera\u00e7\u00e3o dessas chaves, tornam-se mais suscet\u00edveis a viola\u00e7\u00f5es, facilitando o acesso n\u00e3o autorizado a carteiras de criptomoedas vulner\u00e1veis.<\/p>\n

Como mencionado, esse n\u00e3o \u00e9 um perigo te\u00f3rico, mas bastante pr\u00e1tico. A equipe da Unciphered conseguiu explorar essas vulnerabilidades para restaurar o acesso a (em outras palavras, hackear eticamente) v\u00e1rias carteiras criptogr\u00e1ficas antigas criadas no Blockchain.info.<\/p>\n

Quem corre riscos relacionados ao Randstorm<\/h2>\n

BitcoinJS utilizou a biblioteca JSBN vulner\u00e1vel desde sua introdu\u00e7\u00e3o em 2011 at\u00e9 2014. Observe, no entanto, que alguns projetos de criptomoeda podem estar usando h\u00e1 algum tempo uma vers\u00e3o desatualizada da biblioteca. Quanto aos problemas encontrados no Math.random em navegadores populares, foram corrigidos em 2016 por meio da altera\u00e7\u00e3o dos algoritmos utilizados na gera\u00e7\u00e3o de n\u00fameros pseudoaleat\u00f3rios. No geral, temos um intervalo aproximado entre 2011 e 2015 quando as carteiras criptogr\u00e1ficas potencialmente vulner\u00e1veis foram criadas.<\/p>\n

Os pesquisadores enfatizam que a BitcoinJS era muito popular no in\u00edcio da d\u00e9cada de 2010, por isso \u00e9 dif\u00edcil compilar uma lista completa de servi\u00e7os que poderiam ter usado uma vers\u00e3o vulner\u00e1vel dela. O relat\u00f3rio fornece uma lista de plataformas em que foi poss\u00edvel identificar riscos:<\/p>\n