Categories: Notícias

Adolescente britânico encontra maneira de “enganar” carteiras de hardware Ledger

O britânico Salim Rashid, de 15 anos, disse que há um exploit nas carteiras hardware de criptomoedas Ledger Nano S e Nano Blue que permite extrair autonomamente a chave privada e usá-la para alterar endereços de destino das transações de saída.

Segundo Rashid, ele comunicou o problema à Ledger em novembro de 2017, mas desde então, a vulnerabilidade não foi eliminada. Além disso, alega-se que numa correspondência, o diretor executivo da empresa, Éric Larchevêque, chamou o exploit de “não crítico”.

Ontem, Rashid publicou uma postagem em seu blog sob o título “Quebrando o modelo de segurança da Ledger”, no qual alega que ainda pode “extrair uma chave privada” e usá-la para alterar endereços de destino de transações de saída. Para fazer isso, é preciso modificar o firmware do dispositivo antes que ele seja ativado pelo usuário final, portanto, o perigo é principalmente para os compradores do eBay e de outros sites semelhantes.

A essência da exploração reside no fato de que as carteiras atuais da Ledger usam duas placas durante a operação, que Rashid, para simplificar sua explicação, designou como SE e MCU. A primeira é protegida no nível do hardware, mas não suporta USB, botões e telas de interface – todas essas funções são por conta da MCU, que, por sua vez, não possui a proteção necessária contra interferência e serve como uma espécie de buffer de troca.

De acordo com Rashid, potenciais invasores podem fazer alterações no software da MCU e, consequentemente, obter acesso a chaves privadas de usuários – procedimento que o adolescente demonstra em seu vídeo. Além disso, ele publicou instruções relevantes no GitHub. Vale notar que, de acordo com Rashid, todos os dispositivos Ledger com versão de firmware 1.3.1 e anteriores são vulneráveis.

Por sua vez, os desenvolvedores da Ledger no mesmo dia lançaram uma nova versão do software – 1.4.1. Alega-se que a atualização corrige três exploits, entre os quais aquele descrito por Rashid.

“Durante a atualização, a integridade do seu dispositivo é verificada, portanto, uma atualização bem-sucedida para a versão 1.4.1 garante que nenhuma alteração tenha sido feita na carteira. Não há necessidade de quaisquer ações adicionais, pois suas chaves privadas e seeds estão seguros”, enfatiza o blog da Ledger.

Lembre-se de que em dezembro do ano passado, surgiram informações sobre problemas com a infraestrutura da Ledger, quando no contexto de uma nova rodada de crescimento da maioria das principais criptomoedas, várias populares plataformas ficaram off-line.

Além disso, no início de fevereiro de 2018, outra vulnerabilidade crítica foi encontrada na carteira de hardware da Ledger.

Recent Posts

  • Destaque
  • Investimentos

Bexplus garante $100 em bônus de depósito para cada novo usuário

A Exchange baseada em Hong Kong, Bexplus, anunciou seu novo programa de bônus: os primeiros 500 novos usuários a se…

5 anos ago
  • Destaque

Guia para fazer um depósito na AMFEIX

Por mais que depositar no Fundo AMFEIX seja um processo simples, alguns usuários requerem detalhes adicionais sobre como realizar depósitos…

5 anos ago
  • Destaque

Torneio Kindgom no Bitcoin Casino permite ganhos acima de 320 mBTC

O Torneio Kingdom no bitcoincasino.io permite que você ganhe mais de 320 mBTC ou 640 entradas grátis em toda aposta…

5 anos ago
  • Destaque
  • Investimentos
  • Notícias

xFutures e tokens XFT – Deposite ETH e consiga tokens de graça!

A exchange focada em tokens futuros, ou IOUs, xFutures.io está permitindo uma oportunidade única para os usuários de alguns grupos…

5 anos ago
  • Destaque
  • Investimentos

Polkadot – Análise econômica do projeto (OTC e DD)

Tópicos Pré venda conduzida em 2017 com bônus de 15% em US$ 27,49 por tokenVenda pública feita em outubro de…

5 anos ago
  • Criptos e tecnologias
  • Notícias

Polkadot – Entendendo o projeto, preço do DOT e equipe

O Polkadot tem sido um tópico constante em círculos de investimento em criptomoedas durante os últimos meses. Apesar disso estar…

5 anos ago