Vulnerabilidade de 14 anos afeta hard wallets de criptomoedas

Descoberta de vulnerabilidade em carteiras de criptomoedas revela risco teórico, mas difícil de ser explorado, afetando dispositivos como Trezor e YubiKey.

Alex Bit
Por Alex Bit 4 min de leitura
4 min de leitura
Highlights
  • A NinjaLab afirmou que não verificou se o ataque EUCLEACK pode ser realizado nas carteiras afetadas.
  • No entanto, os microcontroladores Infineon, que executam a biblioteca criptográfica envolvida, são vulneráveis.

Recentemente, foi descoberta uma vulnerabilidade de segurança que permaneceu oculta por impressionantes 14 anos, afetando carteiras de criptomoedas que utilizam certos microcontroladores.

O grupo de pesquisadores de segurança NinjaLab revelou a falha, que reside em um tipo específico de elemento seguro (secure element), amplamente utilizado em carteiras de hardware, como as novas versões da Trezor e a série YubiKey 5 com firmware anterior à versão 5.7.

O ataque EUCLEACK e sua complexidade

O ataque identificado, denominado EUCLEACK, explora uma vulnerabilidade de canal lateral, exigindo acesso físico ao dispositivo comprometido.

Isso significa que um potencial atacante teria que manusear fisicamente a carteira ou dispositivo de autenticação.

Embora o ataque em si seja teórico, os pesquisadores conseguiram demonstrá-lo em uma YubiKey 5Ci, um modelo que utiliza o protocolo FIDO com um elemento seguro.

Esse tipo de vulnerabilidade foi encontrado nos microcontroladores da Infineon Technologies, uma das maiores fabricantes de chips de segurança para dispositivos como carteiras de criptomoedas e chaves de autenticação.

A falha pode ser explorada em dispositivos que utilizam a biblioteca criptográfica da Infineon, afetando, por exemplo, as carteiras da série Trezor Safe 4 e Safe 5, além dos Infineon Optiga Trust M e Optiga TPM mais recentes.

O impacto nas carteiras de hardware

Apesar da gravidade potencial, o ataque EUCLEACK é extremamente complexo.

Requer não apenas acesso físico ao dispositivo, mas também equipamento sofisticado e caro, além de software personalizado e habilidades técnicas avançadas.

Em razão dessa complexidade, os especialistas da NinjaLab afirmam que, embora o risco exista, ele é limitado na prática.

As carteiras afetadas ainda são vistas como seguras, considerando a dificuldade em executar o ataque.

A Trezor, uma das empresas cujas carteiras estão sob escrutínio, rapidamente emitiu um comunicado tranquilizando seus usuários.

Segundo a empresa, as frases de recuperação (seeds) dos usuários não estão em risco, e a vulnerabilidade não está relacionada ao processo de backup ou proteção de dados.

A Trezor reforçou ainda que os usuários não precisam se preocupar, desde que adquiram seus dispositivos em revendedores oficiais, mitigando o risco de possíveis falsificações de produtos.

A importância da segurança contínua em carteiras de criptomoedas

Embora a descoberta da vulnerabilidade em carteiras de hardware cause preocupação, é também um lembrete importante sobre a fragilidade potencial de dispositivos considerados altamente seguros.

No caso de chips secure element, que são frequentemente comercializados como invioláveis, essa descoberta revela que até mesmo esses componentes podem conter falhas de design perigosas.

Esse incidente serve como alerta para que os usuários adotem uma postura mais cautelosa em relação à segurança de seus dispositivos.

Carteiras de hardware, apesar de ainda serem uma das soluções mais seguras para o armazenamento de criptomoedas, não são imunes a vulnerabilidades.

Isso reforça a necessidade de continuar investindo em medidas de segurança robustas e estar atento a possíveis atualizações de firmware e patches de segurança emitidos pelos fabricantes.

Conclusão

O ataque EUCLEACK trouxe à tona uma vulnerabilidade importante que, embora teoricamente explorável, requer um conjunto de condições muito específicas para ser efetivamente aplicado.

Ainda assim, esse tipo de descoberta sublinha a importância da revisão constante de sistemas de segurança, especialmente em tecnologias de armazenamento de criptomoedas, que carregam ativos valiosos.

Enquanto o risco prático é limitado, o caso destaca a importância de adquirir carteiras de hardware de fontes confiáveis e estar sempre atento a atualizações de segurança que possam mitigar possíveis ameaças.

Pergunta para o leitor: Você já utiliza uma carteira de hardware para armazenar suas criptomoedas? Como você avalia a segurança desses dispositivos diante dessas novas descobertas?

SOBRE:
Compartilhar este Artigo
Deixar um comentário