Vulnerabilidade da Monero possibilitava roubo de unidades das corretoras

Por Carlos Dias Ferreira | 03 de Agosto de 2018 às 15h34

Uma vulnerabilidade da Monero descoberta recentemente permitia que hackers roubassem unidades da criptomoeda diretamente das corretoras de fundos. Em vez de um ataque tecnologicamente intrincado baseado em subversão do sistema, entretanto, o meliantes virtuais lançavam mão de um expediente bastante comum: a boa e velha engenharia social – termo utilizado para identificar métodos de ataque baseados em persuasão do usuário.

Basicamente, o que os atacantes faziam era editar manualmente o código das carteiras virtuais da criptomoeda para fazer parecer que possuíam quantidades em estoque muito maior do que as originalmente depositadas. O passo seguinte, então, era ligar diretamente para a corretora, demandando que uma transação fosse realizada imediatamente; o funcionário então via o valor alterado, legitimando a transferência fraudulenta.

“Os funcionários da corretora viam o montante multiplicado de XMR na carteira e isso simplificava a condução de transações duvidosas”, disse o pesquisador responsável pela descoberta. O bug também se espalhou para outras moedas virtuais baseadas no código da Monero. Conforme reportou o site The Next Web, o mesmo procedimento permitiu que hackers retirassem moedas ARQ de uma carteira da corretora Altex.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Entre outros bugs

Também vários outros bugs associados ao código da Monero foram descobertos recentemente. Uma das brechas, por exemplo, permitiu ataques do tipo DoS (negação de serviço, na sigla em inglês) que sobrecarregavam a infraestrutura blockchain da criptomoeda, levando a uma vulnerabilidade dos nós – que então podiam ser desativados por meio de um script.

Segundo o chefe de projetos da Monero, Riccardo Spagni, embora tenham se tornado públicas apenas recentemente, essas falhas já são conhecidas pela equipe há algum tempo, com exceção das alterações de valores depositados.

Vulnerabilidades publicadas recentemente já haviam sido descobertas há algum tempo pelo HackerOne. Segundo responsável pela Monero, vulnerabilidades já foram corrigidas. (Imagem:reprodução/Monero).

“A vulnerabilidade das carteiras foi introduzida por funcionalidades de subendereços, então é algo relativamente novo”, disse Spagni. “Em relação aos outros bugs, entretanto, havia relatórios antigos de triagem do HackerOne que estavam pendentes de divulgação, então foram todas publicadas simultaneamente.” Seriam, portanto, falhas não relacionadas.

Ainda que baseadas em tecnologia relativamente segura, as criptomoedas têm sido constantemente alvo de ataques virtuais. Isso levou a indústria a eleger profissionais bem pagos, cuja incumbência central é de encontrar bugs, evitando dores de cabeça e perdas vultosas de dinheiro. Uma carreira interessante, já que um único buscador de erros pode angariar dezenas de milhares de dólares por um único achado relevante – como o sujeito que coletou US$ 80 mil após encontrar uma vulnerabilidade significativa na EOS.

Fonte: The Next Web

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.