A empresa de segurança Coinspect revelou uma falha em carteiras de criptomoedas batizada de Ill Bloom, e invasores já estão explorando o problema.
A falha está na forma como alguns softwares de carteira geravam a frase de recuperação, o conjunto de palavras que dá controle sobre os fundos.
Quando essa frase é criada com aleatoriedade fraca, um atacante pode descobrir a combinação e assumir tudo o que ela protege.
A Coinspect confirmou uma ofensiva coordenada em 27 de maio que drenou cerca de US$ 3,1 milhões de 431 carteiras.
A empresa afirma que outros US$ 2 milhões, aproximadamente, também se moveram a partir de carteiras expostas desde então.
Ainda não está claro quanto disso foi roubo e quanto representa usuários movendo os próprios fundos por segurança.
Segundo a empresa, “se fundos se moveram recentemente sem a sua permissão, essa vulnerabilidade pode ser a razão”.
A maioria dos usuários provavelmente não foi afetada.
A Coinspect informa que carteiras criadas em dispositivos de hardware não estão vulneráveis, e a maior parte das carteiras de software mais populares também não.
O risco real está em carteiras móveis mais antigas ou pouco conhecidas, algumas datadas de 2018.
A Coinspect não divulgou os nomes dos aplicativos envolvidos, então a única forma de verificar é fazer uma checagem.
Basta inserir seu endereço público de carteira no verificador gratuito em illbloom.org.
Se houver correspondência, a frase de recuperação deve ser tratada como comprometida, e os fundos precisam ser transferidos para uma nova carteira.
O que realmente falhou
Toda carteira de autocustódia começa com uma frase de recuperação, normalmente com 12 ou 24 palavras, também chamada de seed phrase.
Essas palavras deveriam ser escolhidas aleatoriamente dentro de um conjunto tão grande que adivinhá-las seria inviável.
Nas carteiras afetadas, porém, a aleatoriedade não era suficiente.
O software usava um gerador de números aleatórios fraco ao criar a frase.
Isso reduziu o universo de combinações possíveis de algo astronomicamente grande para uma faixa que um atacante poderia explorar.
A Coinspect não informou exatamente o quanto esse universo diminuiu.
A empresa diz ter reconstruído a técnica de ponta a ponta.
Os pesquisadores percorreram todo o conjunto de frases que o gerador fraco podia produzir, derivaram os endereços de carteira correspondentes e então cruzaram esses endereços com registros públicos da blockchain para identificar quais ainda tinham fundos.
O resultado foi uma lista de monitoramento de carteiras que nasceram vulneráveis, independentemente do aplicativo que as gerou.
O roubo, em números
Em 30 de junho, a Coinspect havia rastreado 2.114 endereços expostos com atividade on-chain em Bitcoin, Ethereum, Rootstock, Tron e Polygon.
A ofensiva de 27 de maio drenou cerca de US$ 3,1 milhões de 431 deles.
O Bitcoin foi o mais afetado, com cerca de US$ 2,57 milhões, e um único endereço de Bitcoin perdeu sozinho mais de US$ 1,1 milhão.
A Coinspect conseguiu identificar que se tratava de um roubo coordenado porque centenas de carteiras sem relação entre si enviaram seus saldos para os mesmos poucos endereços de coleta em um intervalo de horas.
Somando esses movimentos, mais de US$ 5 milhões deixaram essas carteiras desde 27 de maio.
A Coinspect diz que esse número é um piso, não um teto, porque mapeou apenas esse conjunto de endereços até agora e espera encontrar mais.
No pico de 2022, o mesmo conjunto tinha um valor reconstruído de US$ 12,56 milhões, embora a maior parte já tivesse perdido valor com o mercado antes da ofensiva de 27 de maio.
O que fazer
O verificador em illbloom.org compara um endereço público de carteira com a lista da Coinspect de carteiras conhecidamente vulneráveis.
Ele aceita endereços de Bitcoin, Tron, Solana e formatos compatíveis com Ethereum, incluindo Ethereum, Polygon, BNB e outras redes EVM.
Uma única frase fraca pode expor fundos em todas as redes que ela controla, então é importante verificar todos os endereços ligados à mesma seed, e não apenas os que já foram esvaziados.
Um resultado limpo não garante segurança, porque a lista ainda é incompleta, mas uma correspondência é um alerta claro.
Se o seu endereço aparecer na lista:
Trate a frase de recuperação como comprometida.
O dinheiro não está seguro só porque ainda não foi movimentado.
Crie uma carteira totalmente nova, com uma frase nova.
Você deve ver um novo conjunto de 12 a 24 palavras.
Se um aplicativo pedir que você digite a frase antiga, você estará reabrindo a carteira fraca, e não criando uma nova.
Transfira os fundos para a nova carteira.
Reinstalar o aplicativo antigo ou importar a mesma frase em outro lugar não muda nada.
Mais um alerta.
Golpes como esse atraem criminosos que oferecem “resgatar” seu dinheiro.
Um verificador legítimo nunca precisa de um segredo.
A Coinspect afirma que “nunca pedirá frases de recuperação, chaves privadas, assinaturas ou aprovações, nem pedirá que usuários enviem fundos para ‘recuperar’ ou proteger uma carteira”.
Nunca digite sua frase de recuperação, chave privada, senha ou arquivo de backup em qualquer site ou mensagem.
Uma carteira de hardware é o local mais seguro para mover os fundos, mas gere uma frase nova no próprio dispositivo em vez de importar a antiga.
Já vimos isso antes
Este é um problema antigo com um novo nome.
A Coinspect adotou Ill Bloom a partir de “illness blossom”, a primeira frase fraca gerada pelo sistema, da mesma forma que Milk Sad recebeu esse nome em 2023.
Esse bug, identificado como
CVE-2023-39910
, no utilitário de linha de comando Libbitcoin Explorer, permitiu que ladrões esvaziassem milhões em uma única ofensiva naquele mês de julho.
Um caso próximo,
CVE-2023-31290
, atingiu a extensão de navegador da Trust Wallet no mesmo ano e podia ser explorado em menos de um dia.
A mesma armadilha também apareceu no Randstorm, a falha de aleatoriedade fraca coberta pelo THN em 2023, que deixou carteiras de Bitcoin criadas entre 2011 e 2015 suscetíveis a ataque porque o código do navegador por trás delas usava números aleatórios de baixa qualidade.
Na época, os pesquisadores observaram que a falha estava incorporada nessas carteiras para sempre, e que a única solução era mover os fundos para uma nova carteira criada com software melhor.
Essa é exatamente a correção para o Ill Bloom.
A cada poucos anos, o gerador de números aleatórios de uma carteira se mostra previsível.
Carteiras que pareciam seguras passam a poder ser drenadas.
A solução é sempre a mesma: mover o dinheiro para um lugar novo.
A carteira parece normal, e as palavras parecem aleatórias, mas a máquina que as escolheu era previsível.
Uma chave previsível mal pode ser chamada de chave.
O que vem a seguir
A questão em aberto agora é quais aplicativos geraram as frases fracas.
Um endereço público não revela qual software o criou, então a Coinspect está pedindo que usuários com correspondência informem o que usaram, e está repassando as descobertas aos fornecedores e equipes que podem agir sobre o problema.
A Coinspect foi contatada para comentar quais aplicativos de carteira produziram as frases de recuperação fracas e qual é o alcance do conjunto exposto, e atualizará a reportagem se houver resposta.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...