Cinco ataques utilizados para roubar carteiras físicas de criptomoedas

As carteiras físicas de criptomoedas são eficazes para proteger seus ativos, mas ainda podem ser roubadas. Vamos abordar os riscos dos quais os proprietários precisam se proteger.

As carteiras físicas (hardware wallet) são consideradas a solução de armazenamento de criptomoedas mais confiáveis. Um dispositivo especial que assina todas as operações de blockchain de seu proprietário offline parece muito mais confiável do que um armazenamento online ou aplicativos em um computador. Afinal, quase todos os meses, ouvimos notícias de plataformas de troca de criptomoedas online foram hackeadas ou faliram, enquanto os aplicativos são claramente vulneráveis ​​a ameaças comuns de computador, como malware.

Embora essas considerações sejam razoáveis, os investimentos não podem ser totalmente protegidos simplesmente por ter carteiras físicas de criptomoedas, já que os proprietários também são vulneráveis ​​a vários ataques. Assim, eles precisam de proteção contra…

Carteiras quentes e frias, físicas e de software

Antes de prosseguirmos com a análise dos riscos, vamos recapitular brevemente a diferença entre os vários tipos de carteiras. Para iniciantes, é importante saber que nenhuma carteira armazena os criptoativos em si. As informações sobre os ativos são registradas na blockchain, enquanto uma carteira é apenas um lugar seguro para armazenar as respectivas chaves privadas (e secretas). O proprietário precisa da chave para registrar uma nova transação no blockchain — ou seja, para fazer uma transferência de criptomoeda. Além da chave secreta, as carteiras de criptomoedas geralmente armazenam chaves públicas não confidenciais usadas para receber transferências.

Existem várias maneiras de armazenar uma chave privada:

  1. Criptografada no servidor. Estas são carteiras online ou de custódia oferecidas por plataforma de trocas populares, como Binance e Coinbase.
  2. Em um app instalado no computador ou smartphone.
  3. Em outro dispositivo não conectado.
  4. Como uma sequência alfanumérica escrita em uma folha de papel.

Nas opções um e dois, o armazenamento de chaves é sempre online; portanto, a chave pode ser usada para assinar uma transação no blockchain a qualquer momento. Estas são as carteiras “quentes”.

Para enviar dinheiro usando as opções três ou quatro, algumas ações extras são necessárias: conectar seu dispositivo a um computador ou telefone ou inserir informações do papel. Estas são as carteiras “frias”.

Um dispositivo dedicado exclusivamente ao armazenamento de chaves é chamado de carteira de física ou de hardware; aplicativos projetados para armazenar chaves em computadores comuns e smartphones são carteiras de software.

Uma combinação dos modelos dois e três cria outra opção viável – embora um tanto exótica: armazenar a chave em um smartphone separado sempre mantido offline. A mistura produzirá uma carteira de software, embora fria.

As carteiras de papel são aquelas em que as chaves ou a seed (trataremos logo mais desse assunto) são impressas e podem ser usadas apenas para receber dinheiro ou como backup. Para gastar dinheiro, é necessário enviar a chave privada com outra solução online, e nesse momento a carteira fria se torna quente.

Os tipos de carteiras físicas

As carteiras físicas (ou hardware) geralmente se parecem com cartões de memória USB ou com chaves de carro volumosas. Eles geralmente apresentam uma tela para verificação de transações. Para assinar uma transação, o usuário conecta a carteira a um computador ou smartphone, inicia uma transferência do computador ou smartphone, verifica as informações na tela da carteira e confirma a ação inserindo o código PIN ou simplesmente pressionando um botão. A principal vantagem das carteiras físicas é que elas assinam as operações sem enviar a chave privada para o computador — protegendo assim os dados contra os mecanismos mais simples de roubo.

Além disso, muitas carteiras contêm funcionalidades extras e podem ser usadas como chaves de hardware para autenticação de dois fatores.

Existem também carteiras que se assemelham a um cartão de banco e carteiras no formato de “telefone offline”, mas são menos comuns. Estes últimos possuem uma tela totalmente funcional e permitem a assinatura de transações com leitura de QR codes. Muitos desses modelos não têm portas além da entrada do carregador, portanto, nada os conectam ao mundo exterior, exceto a câmera e a tela.

Risco nº 1: perda ou destruição

O risco mais óbvio para o proprietário da carteira física é a possibilidade de perdê-la. Para proteger a carteira contra uso não autorizado – por exemplo, em caso de perda – use um código PIN ou biometria: eles precisam ser ativados em sua carteira. Ao contrário de telefones e cartões bancários, PINs longos podem ser usados ​​— até 50 dígitos para alguns modelos; apenas lembre-se: quanto maior, melhor.

A destruição física da carteira também destrói os dados armazenados, por isso é importante ter um backup de segurança de suas chaves privadas. Um backup é gerado quando a própria carteira de criptomoedas é criada: você verá a chamada “frase semente” (seed phrase) representada por uma sequência de 12 ou 24 palavras em inglês. Ao inseri-las na ordem correta, você pode gerar novamente suas chaves públicas e privadas. A geração de frases recuperação foi padronizada na maioria das soluções blockchain (algoritmo BIP39), portanto, mesmo que, digamos, uma carteira Ledger seja perdida, você pode recuperar seus dados usando uma carteira física de outro fornecedor, como Trezor ou qualquer uma das carteiras “quentes” de software.

É essencial não manter a frase semente em qualquer formato digital prontamente disponível, como uma foto em seu telefone, um arquivo de texto ou algo semelhante. Idealmente, deve ser escrito em papel e guardado em um local muito seguro, como um cofre. É ainda mais importante nunca revelar a frase de recuperação a ninguém, porque sua única função é recuperar sua carteira de criptomoedas perdida.

Risco nº 2: phishing e golpes

Uma carteira física não oferece nenhuma proteção contra engenharia social. Se a vítima optar voluntariamente por fazer uma transferência ou revelar sua frase de recuperação a um falso “especialista em suporte técnico de carteira de criptografia”, o dinheiro desaparecerá, não importa quais níveis de proteção de hardware estejam em vigor. As pessoas são ingênuas quando se trata de golpes: as iscas mudam o tempo todo. Alguns exemplos em destaque incluem e-mails sobre vazamento de dados enviados a proprietários de carteiras criptográficas de hardware e sites falsos projetados como réplicas exatas de famosas plataformas de trocas de criptomoedas ou provedores de carteiras de criptomoeda.

É preciso vigilância e desconfiança, até mesmo uma leve paranoia (no sentido positivo) em relação a tudo o que é inesperado – para evitar que o pior aconteça. Outra grande fonte de ajuda é um sistema integrado de cibersegurança para computadores e smartphones, que torna quase nulo o risco de visitar um site de phishing.

Risco nº 3: malware

Os investimentos em criptomoedas geralmente são perdidos devido a um computador ou smartphone infectado por um vírus. Se a vítima usa uma carteira online (quente), os criminosos podem roubar a chave privada e realizar, por conta própria, quaisquer transações necessárias para esvaziar a carteira. Este golpe não funcionará com uma carteira física, mas outros vetores de ataque podem ser empregados. Por exemplo, no momento em que a vítima faz uma transferência legítima, o malware pode substituir o endereço da carteira de destino para redirecionar o dinheiro para os criminosos. Para fazer isso, o malware monitora a área de transferência e, assim que um endereço de carteira criptográfica é copiado para lá, o substitui pelo endereço de carteira dos golpistas.

A ameaça pode ser mitigada até certo ponto, combinando cuidadosamente os endereços exibidos nas telas da carteira quente ou fria, mas dependendo do dispositivo, alguns outros problemas podem surgir: muitas carteiras de hardware têm uma tela pequena para possibilitar uma leitura adequada dos endereços de blockchain longos. E sabendo que a integração da carteira física com o aplicativo do computador também pode ser vulnerável a ataques, até mesmo o endereço exibido na tela do computador pode ser falsificado.

A melhor estratégia é aumentar a proteção do seu computador ou smartphone para manter os malwares longe dos seus investimentos.

Risco nº 4: carteiras falsas ou modificadas

A compra de uma carteira física é outra ação que deve ser realizada com muito cuidado. Mesmo saindo de fábrica, esses aparelhos já estão na mira dos criminosos. Há relatos de compradores de carteiras físicas de criptomoedas revelam a venda de unidades USB com Trojans, unidades falsas com firmware modificado ou uma “troca sem custo se o dispositivo defeituoso estiver na garantia“.

Para evitar essas ameaças, nunca compre carteiras físicas de criptomoedas usadas, de anúncios classificados online ou em leilões online. Sempre tente encomendá-los nas lojas online oficiais dos fornecedores. Quando a embalagem chegar, inspecione o dispositivo quanto a danos (marcas de cola, arranhões, sinais de adulteração) e compare-o com a descrição fornecida no site oficial, onde geralmente listam os principais recursos de autenticidade e fornece algumas dicas para que você possa reconhecer um falso.

Risco nº 5: invasão física com análise de memória

Esta é a ameaça mais exótica – mas não a mais improvável. Muitos ataques a modelos de carteira populares (exemplos um, dois, três, quatro e contando) envolvem separar fisicamente a unidade e conectar seus circuitos a equipamentos especiais para que seja possível manipular o firmware, ler a memória ou interferir na transferência de dados entre os componentes da unidade. Assim, os cibercriminosos levam apenas alguns minutos para extrair a chave privada ou sua versão criptografada mais simples.

A proteção contra esse risco é dupla. Primeiro, preste atenção especial à segurança física de sua carteira, proteja-a contra roubo e nunca a deixe sozinha. Em segundo lugar, você não deve desconsiderar medidas extras de proteção, como uma frase secreta (passphrase) nas carteiras Trezor.

Dicas