Vulnerabilidade 'crítica' na carteira Beam pode ter colocado fundos em risco, dizem desenvolvedores após correção

Os desenvolvedores por trás da Criptomoeda Beam, focada em privacidade, revelaram que o bug "crítico" descoberto e posteriormente corrigido em seu software de carteira na semana passada pode ter colocado os fundos dos usuários diretamente em risco.

Conforme declarado em um Mediumpublicarpublicada hoje, a vulnerabilidade teria permitido que um invasor criasse “transações modificadas” e posteriormente enviasse fundos diretamente para a carteira do invasor.

Em uma entrevista exclusiva com a CoinDesk, o CTO da Beam, Alex Romanov, explicou que, ao aproveitar o Secure Bulletin Board System (SBBS) da Beam — um sistema personalizado para permitir mensagens criptografadas offline entre carteiras Beam — os invasores "que atualmente estão escutando endereços SBBS ativos... seriam capazes de fazer com que essas carteiras enviassem dinheiro para um invasor".

Romanov salientou que a questão era específica da aplicação e não estava de forma alguma relacionada com a Tecnologia de melhoria da privacidade mimblewimble, ditado:

“A vulnerabilidade não está relacionada ao mimblewimble ou criptografia ou qualquer Tecnologia subjacente. Basicamente, é um bug no aplicativo em si… Ele apenas afetou as carteiras porque seria possível criar essa transação específica.”

E embora a existência da vulnerabilidade tenha sido divulgada ao público no mesmo dia em que foi descoberta pela equipe de desenvolvimento interno da Beam, a natureza exata da ameaça não foi tornada pública até hoje.

A razão para isso, segundo Romanov, era evitar a abertura de quaisquer “possíveis vetores de ataque” para usuários que não tinham visto o anúncio da vulnerabilidade.quarta-feira passada.

Explicando que as pessoas “não estão online o tempo todo, às vezes há diferenças de fuso horário, as pessoas podem estar dormindo”, Romanov disse ao CoinDesk que reter mais detalhes era uma forma de ganhar tempo para os usuários “especialmente pools e exchanges” implementarem a correção do código.

Falando sobre o patch lançado, Romanov explicou que a correção era relativamente simples.

“Nós apenas evitamos esse cenário específico em que essa transação personalizada teria sido aceita por uma carteira em execução e pronto”, disse Romanov ao CoinDesk.

A próxima atualização

Beam lançado oficialmentena quinta-feira, 3 de janeiro. Desde então, Romanov disse que o feedback dos usuários já está sendo trabalhado em uma nova atualização para o software Beam, atualmente em teste e com lançamento previsto para "nos próximos dias".

“Levamos em consideração todos os problemas levantados pelos usuários, todas as solicitações, todos os mal-entendidos que, em retrospecto, eram bastante óbvios porque mimblewimble é uma Tecnologia muito nova... e criamos uma atualização que melhorará a experiência do usuário”, disse Romanov.

Chamando-a de versão 1.0.1, Romanov destacou que o uso de sistemas Beam como resultado do mimblewimble fez com que “pools e também exchanges modificassem significativamente a maneira como operam e como lidam com transações”.

“Houve muitas curvas de aprendizado de todos os lados… [A atualização] reduzirá a quantidade de potenciais mal-entendidos ou problemas. Às vezes, mesmo que o sistema funcione corretamente, não fica claro para o [usuário] o que está acontecendo", Romanov disse ao CoinDesk:

Carteira imagemvia Shutterstock

Este artigo e seu título foram atualizados para maior clareza.