29 set 2020, 15:35
-
atualizado em 29 set 2020, 15:35
A carteira TronLink se apresenta como a porta de acesso ao ecossistema do blockchain Tron, mas não é tão segura como deveria ser (Imagem: TronLink)
Carteiras de criptoativos são softwares que armazenam suas chaves públicas (usada para que você receba ou envie ativos) e privadas (só o dono deve ter controle) e monitore seu saldo.
Existem diversos serviços de carteira, on-line e off-line, digital ou impresso (clique aqui para conferir mais).
Porém, Jean-Phillippe Aumasson, diretor de segurança e cofundador da fintech suíça Taurus, descobriu uma possível vulnerabilidade na popular carteira TronLink, noticia o Decrypt.
Há tempos, Tron é acusada de não levar segurança a sério, além de alegações de ter plagiado seu whitepaper. Segundo Aumasson, a vulnerabilidade passou despercebida no código subjacente.
“[Existem] lacunas básicas em cripto que qualquer auditor competente teria reparado”, disse Aumasson ao Decrypt.
Para obter acesso a uma carteira, o usuário possui uma lista de 12 palavras aleatórias que devem ser guardadas em um lugar seguro pois, sem a lista, é impossível acessar criptoativos. Assim, ele afirma que essa lista fornecida pela carteira TronLink não foram bem criptografadas.
O código utilizado é AES-ECB, considerado fraco e não muito seguro. “O módulo ECB trata cada bloco de dados de forma independente, enquanto deveria haver certa correlação entre os blocos para garantir um alto nível de segurança”, explica Aumasson.
Assim, a vulnerabilidade da carteira tornaria possível uma invasão ao dispositivo móvel de uma vítima e o hacker teria acesso aos criptoativos da carteira e transferi-los para si. Ele pede que usuários dessa carteira específica tomem ações cautelares.
“Eu encorajaria detentores de Tron a 1) assegurarem que a questão seja mitigada pelos desenvolvedores da carteira na próxima atualização, b) assegurarem que têm fortes senhas e c) considerem aplicativos de carteira alternativos”, alertou Aumasson.
