Pesquisadores de segurança identificaram duas falhas de segurança, já em uso por hackers, que permitem criar uma quantidade infinita de “moedas virtuais” baseadas na tecnologia ERC-20 da blockchain Ethereum, uma tecnologia semelhante e concorrente ao Bitcoin. Batizadas de “proxyOverflow” e “batchOverflow”, as vulnerabilidades levaram a corretora OKEx a interromper a compra e venda de moedas virtuais baseadas em ERC-20.
A Ethereum é uma blockchain semelhante ao Bitcoin. O foco da Ethereum, porém, está nos chamados “smart contracts” ou “contratos inteligentes”. Um dos principais usos dessa função é a criação de outras moedas virtuais (ou “fichas virtuais”) na mesma blockchain. Essa tecnologia é chamada de ERC-20.
Diferente das criptomoedas comuns, essas “fichas” virtuais costumam ter um endereço administrativo, que tem liberdade para emitir moedas. Porém, as regras para a circulação dessas moedas são definidas inteiramente no contrato inteligente e programadores têm uma grande liberdade para definir as regras de cada ficha digital.
São falhas na programação desses contratos — e não na Ethereum em si — que fazem com que hackers possam emitir quantas fichas quiserem. As falhas são do tipo “overflow”, em que o programa tenta armazenar na memória um número maior do que o permitido, o que “sobrecarrega” o valor. Em muitos casos, essa sobrecarga transforma o número em zero.
Segundo a PeckShield, mais de uma dúzia de fichas ERC-20 estão vulneráveis.
Como os contratos são a “lei suprema” dessas fichas, não há meio fácil de alterá-los para corrigir o problema. Os responsáveis pelas fichas digitais terão de criar contratos novos e reembolsar quem hoje possui essas fichas.
Uma das moedas afetadas é a Beauty Chain (BEC), uma ficha baseada em beleza. “A busca da beleza é parte da natureza humana e uma aspiração comum da humanidade. A Beauty Chain foi fundada com a missão de identificar, criar e compartilhar a beleza, conectar a corrente de valores da indústria da beleza e para fazer um mundo melhor. Incentivamos você a descobrir mais aplicações relacionadas à beleza conosco”, diz o site da moeda.
Muitas das fichas de ERC-20 são notórias por aparentemente não terem finalidade clara. O valor de mercado total das fichas ERC-20 está na casa dos bilhões de dólares e há mais de 5 mil dessas fichas em existência. Muitas, por terem comercialização específica ou por serem insignificantes, não aparecem em nenhuma corretora de compra e venda de criptomoedas.
SAIBA MAIS
Hacker desvia US$ 30 milhões com brecha em programa de criptomoeda
Falha congela moedas virtuais do Ethereum; valor paralisado pode chegar a US$ 280 milhões
Novas fraudes e proibições afetam mercado de criptomoedas
Ataque ao MyEtherWallet
A falha nas moedas ERC-20 não foi o único problema de segurança envolvendo a rede Ethereum nos últimos dias. Usuários de Ethereum que gerenciam sua carteira virtual com o serviço MyEtherWallet tiveram suas carteiras esvaziadas depois que o site foi redirecionado para uma página falsa. Como o serviço exige que o internauta informe sua chave privada para obter acesso ao painel de controle, os golpistas facilmente conseguiram obter acesso às carteiras e desviar ao menos US$ 13 mil (cerca de R$ 40 mil) das vítimas.
Para fazer o redirecionamento, os hackers criaram uma rota falsa com o BGP (Border Gateway Protocol). O BGP é usado pelos provedores de internet para comunicar rotas disponíveis para que a comunicação na internet possa ir de um ponto A até um ponto B. É como um controle de tráfego da internet.
Hackers conseguiram sequestrar uma rota BGP e redirecionar dados que deviam ser encaminhados para a Amazon a um outro provedor. Quando isso ocorreu, eles conseguiram falsificar o endereço IP de destino do site MyEtherWallet, que utiliza a Amazon.
A tecnologia do BGP foi criada para permitir que a internet reage rapidamente a qualquer problema técnico ou interrupções, portanto não há muitos mecanismos previstos para que um provedor possa determinar se uma rota informada é autêntica antes de aceitá-la. Como o problema ocorreu por conta de um sequestro de rota, a Amazon não teve culpa no ocorrido.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com