Publicidade

MetaMask e Phantom resolvem falha que pode fazer usuário perder criptomoedas

Por| Editado por Claudio Yuge | 17 de Junho de 2022 às 19h20

Link copiado!

Pixabay/markusspiske
Pixabay/markusspiske

Algumas carteiras de criptomoedas publicaram um alerta nesta semana, esclarecendo sobre uma vulnerabilidade com potencial de ocasionar a perda de montantes dos usuários. A falha pode expor dados secretos que permite aos cibercriminosos acessar as moedas digitais armazenadas nas plataformas.

Uma das primeiras a se pronunciar foi a carteira Solana Phantom, que na quarta-feira (15) anunciou o lançamento de uma nova atualização, afim de aumentar o nível de segurança do produto. A carteira MetaMask já havia corrigido a falha em março. Segundo explicou a empresa, a versão10.11.3, distribuída naquele mês, modifica a maneira de inserir a frase de recuperação. A Brave, outra organização do setor, até o fechamento da matéria não se pronunciou sobre a brecha.

Frase de recuperação, também conhecida como "frase semente", funciona como uma “senha mestra” que dá acesso à carteira de criptomoedas. É uma maneira de facilitar a entrada caso o usuário perca o dispositivo onde estão armazenadas suas moedas digitais.

Continua após a publicidade

A vulnerabilidade acontece devido à maneira que os navegadores Google Chrome, Mozilla Firefox e Brave salvam os dados no sistema. Os softwares armazenam as informações como uma prevenção contra perda de conteúdo. Quando o usuário durante a configuração da carteira insere sua "frase de semente", ela é registrada no disco em formato de texto simples. Alguém com acesso ao computador — um cibercriminoso por exemplo — pode roubar as credenciais e usá-las para afanar as criptomoedas.

A falha foi descoberta em setembro de 2021, pela Halborn, uma empresa especializada em segurança na rede blockchain. O cofundador da organização, Steve Walbroehl, em uma entrevista para o site Coindesk, explicou que a vulnerabilidade já existe há tanto tempo que qualquer pessoa pode ter sido afetada. Segundo ele, a melhor coisa a fazer é criar outra carteira e transferir os ativos para o novo dispositivo.

“Apenas dado que isso é algo que existe há tanto tempo, você não sabe quem poderia ter sido [afetado]. Talvez você tenha clicado em um e-mail de phishing e alguém tenha acesso à sua máquina e você não sabe. Talvez alguém o tenha tirado antes, mesmo que você tenha atualizado agora."

Continua após a publicidade

Fonte: bleepingcomputer