Talvez os desenvolvedores de carteiras de criptomoedas não tenham o hábito de chamar seus produtos de "inatacáveis". O pioneiro em cibersegurança e evangelista em criptomoeda John McAfee, presidente executivo da desenvolvedora de carteiras Bitfi, anteriormente chamava o produto de sua empresa de "o primeiro dispositivo inabitável do mundo", de acordo com um relatório da Coin Telegraph. A McAfee até desafiou especialistas em segurança a invadir o dispositivo, oferecendo uma recompensa de US $ 100.000 em 24 de julho deste ano. No entanto, a McAfee pode ter falado cedo demais: parece que um grupo de pesquisadores conseguiu invadir com sucesso a carteira "inatacável".
Carteira de hardware
O dispositivo do Bitfi é uma carteira de hardware, o que significa que é um produto físico que os investidores em criptomoedas podem segurar na mão em oposição a um dispositivo de armazenamento digital. A carteira suporta "uma quantidade ilimitada de criptomoedas" e utiliza uma frase secreta gerada pelo usuário em vez de uma semente mnemônica padrão de 24 palavras. Além disso, o Bitfi afirmou que sua carteira é "completamente de código aberto", o que significa que o usuário permanece no controle de seus fundos retidos na carteira "mesmo que o fabricante da carteira não exista mais". Por todas essas razões, a carteira Bitfi parece oferecer uma experiência altamente atraente para os investidores em criptomoeda preocupados com a segurança.
Violação de carteira
Muitas equipes tentaram invadir a carteira, mas nenhuma delas conseguiu ignorar os recursos de segurança estipulados pelos termos da recompensa. Então, em 12 de agosto, uma equipe de pesquisadores afirmou que poderia enviar com êxito transações assinadas com a carteira, o que atenderia às condições do programa de recompensas. Para fazer isso, eles tiveram que modificar o dispositivo, conectar-se ao servidor da carteira e usá-lo para transmitir dados confidenciais.
Parece que mesmo uma carteira "inatacável" pode ser invadida com sucesso em apenas três semanas.
O pesquisador de segurança Andrew Tierney, parte da equipe de violação, sugeriu que "enviamos a semente e a frase do dispositivo para outro servidor; ele é enviado usando o netcat, nada sofisticado". Tierney acrescentou que "interceptamos as comunicações entre a carteira e. Isso nos permitiu exibir mensagens tolas na tela. A interceptação realmente não é a grande parte dela, é apenas para demonstrar que ela está conectada ao painel e ainda funciona apesar de modificações significativas ".
