Hack da Binance: falha foi na exchange; bitcoin permanece intacto

Hack da Binance comprometeu 7 mil bitcoins de uma única carteira na exchange ou 2% do total de bitcoins na firma; como foi possível hackear a empresa?

Por Márlyson Silva  /  28 de maio de 2019
Bitcoin symbol with barbell isolated on orange background. 3d illustration Bitcoin symbol with barbell isolated on orange background. 3d illustration

Hackers roubaram 7.000 bitcoins de uma carteira na Binance, o equivalente a US$ 61 milhões na cotação atual. Ou seja, um valor que equivale a 2% do total de participações em BTC da Binance no momento da fraude. O hack da Binance paralisou os serviços de depósito e saque por uma semana. As atividades voltaram ao normal no último dia 15 de maio. Mas como uma falha dessas pode ocorrer em uma das mais populares exchanges do mundo?

Os invasores teriam conseguido obter chaves de API de usuário e códigos de verificação de dois fatores. Para isso, lançaram mão de técnicas como phishing e uso de vírus, segundo matéria do Guia do Bitcoin, ganhando acesso aos dados.

Segundo o CIO da Transfero Swiss AG, Márlyson Silva, uma das possíveis causas para o hack da Binance foi a oferta de um prêmio de bug bounty muito baixo ao grupo de hackers contratado pela empresa para encontrar falhas no sistema. Em razão disso, muitas falhas foram encontradas em ambiente de pré-produção e não relatadas. Já que o “prêmio” por uma invasão real seria maior.  “Essa engenharia social com os ‘white hackers’ foi falha. Assim, em ambiente de pré-produção qualquer ator mal intencionado consegue colher informações para uma invasão”, comenta Silva.

Hack orquestrado

De acordo com a exchange, os hackers supostamente executaram o ataque de maneira orquestrada. Dessa forma, conseguiram burlar as verificações de segurança antes que a exchange pudesse bloquear o saque. O hack da Binance, de acordo com Silva, teria sido tanto da instituição quanto do dono da wallet. “O serviço prestado pela Binance é muito apreciado, por isso há um sentimento de confiança em deixar as crypto sob a custódia da instituição. Ainda assim, o maior culpado é a instituição, pela forma que conduziu o bug bounty”, afirma.

Outra fragilidade do sistema da Binance foi a autenticação em dois fatores. No mundo da tecnologia, já é sabido que sistemas de autenticação em dois fatores que usam SMS podem ser facilmente fraudados através do roteamento do SIMCard do celular para um outro aparelho.

Márlyson Silva

CIO Transfero Swiss AG

Márlyson Silva

CIO Transfero Swiss AG

Sistemas são falhos, até hoje o único sistema realmente seguro para transferência de valores que conhecemos é o Bitcoin, que tem 10 anos ininterruptos em produção

Marlyson Silva lembra ainda que uma das abordagens dos grandes bancos para mitigar os riscos foi o uso do conceito de transação não repudiável. Ou seja, o banco pede para que especialistas e doutores defendam os sistemas de autenticação usados. Dessa forma, em uma disputa de sequestro de conta ou cartão de crédito, o banco alega que a única maneira de ter sido violado seria uma brecha aberta por um usuário. Por isso, é importante manter serviços de autenticação com senhas diferentes. E manter um historico pessoal de utilização dos sistemas.

O lugar mais seguro para o bitcoin é na wallet

Especialistas de segurança em crypto dizem que o lugar mais seguro para guardar os ativos são as carteiras ou wallets dos usuários, tomadas as devidas precauções. Portanto, quem detém bitcoins nunca deve deixá-los na conta na exchange. Ou seja, devem se responsabilizar pela segurança de seus ativos. “Sistemas são falhos, até hoje o único sistema realmente seguro para transferência de valores que conhecemos é o Bitcoin, que tem 10 anos ininterruptos em produção”, reforça Silva.

As wallets armazenam as chaves privadas – códigos criptografados usados para gerar as chaves públicas e o endereço onde estão armazenados seus bitcoins. Uma carteira padrão cria um arquivo de texto que contém sua chave privada. Se alguém descobrir essa chave, poderá ter controle sobre os seus bitcoins. Por isso é importante, armazená-la de forma segura em um disco criptografado ou computador. Vale até mesmo copiar num papel e escondê-la.