Trezor publica atualização para falha que permitia roubo de Bitcoin

A Trezor, uma das principais carteiras de hardware para Bitcoin, anunciou uma atualização depois de ter sido revelada uma falha que permitia o furto do criptoativo.

Segundo a empresa, esta é uma atualização de firmware que neutraliza a vulnerabilidade associada ao gerenciamento de senha em dispositivos.

A vulnerabilidade em questão afeta uma senha adicional conhecida como “palavra 25”. Assim, expondo as carteiras ao sequestro de fundos.

Vulnerabilidade

A falha se baseia no fato de que o sistema Trezor não exigia a confirmação dessa senha no dispositivo quando ela era inserida pelo usuário para sincronizar a carteira com o computador.

Essa senha é um fator de segurança opcional, além das 24 palavras que o Trezor usa como semente.

Então, quando a palavra 25 era habilitada, era acionado um mecanismo que criava um novo endereço cada vez que uma palavra errada era digitada. Esse novo endereço era mostrado como se fosse o principal da carteira.

Trezor

O erro foi reportado em um artigo escrito Marko Bencun, que faz parte da equipe que fabrica as carteiras BitBox.

Segundo Bencum, um invasor pode interferir nos dados compartilhados entre a carteira e o computador, impedindo o usuário de acessar sua senha adicional.

Portanto, como o Trezor não pedia confirmação, o usuário não teria como perceber que algo estava errado. Com isso, o usuário ficava impedido de acessar seu saldo em Bitcoin e sem sequer saber o motivo.

Mas agora, com a atualização, o Trezor adicionou o pedido de confirmação de senha ao usuário que será exibido na tela da carteira. E o usuário precisará confirmar a senha antes de usar a carteira.

Outras carteiras

A vulnerabilidade exposta por Bencum não afetou apenas as carteiras Trezor.

Isso porque, além dela, os dispositivos KeepKey, da Shapeshift, correm o mesmo risco de sequestro de fundos.

No entanto, a KeepKey não demonstrou interesse imediato em corrigir o erro.

Bencum disse que está “em contato regular com um representante da KeepKey”. Entretanto, a empresa informou a ele que ainda não propôs “uma solução para o desenvolvimento, o que indica que estão trabalhando primeiro em elementos de maior prioridade”, disse Bencum na sua publicação.

Fonte: https://www.criptofacil.com/trezor-publica-atualizacao-para-falha-que-permitia-roubo-de-bitcoin/?utm_source=dlvr.it&utm_medium=social&utm_campaign=facebook&fbclid=IwAR2CejESAi1I-7cCURPWnkqGQR2O3VM9k1YOM4y1b1Z9h5Z5EdNHszqVBXI

Marcações:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

sete − cinco =