Caça recompensas deu errado: carteira Bitfi nega que tenha sido hackeada

Em julho, o presidente executivo da Bitfi, John McAfee, fabricante de carteira de hardware cripto, afirmou que Bitfi era "o primeiro dispositivo não-chacoalhado do mundo", pedindo que especialistas em segurança violem sua segurança por uma recompensa de US $ 100 mil.

Desde então, uma série de relatórios emergiram que sugeriu Bitfi não é, de fato, “unhackable”, apenas para ser demitido pelo serviço de carteira, bem como o próprio McAfee, constantemente fazendo a caça de recompensas parecer um golpe de relações públicas de mau gosto.

O que é o Bitfi?

Essencialmente, o Bitfi é um dispositivo físico - ou uma carteira de "hardware" - que suporta "uma quantidade ilimitada de criptomoedas" e custa US $ 120, conforme o site. Embora não haja detalhes de contato reais (além dos endereços de e-mail), a empresa está registrada em Londres, de acordo com dados da Companies House. O CEO da Bitfi é o empresário americano de 38 anos, Daniel Khesin.

O projeto surgiu pela primeira vez em julho, quando o investidor infame John McAfee - que já prometeu “comer [seu] próprio pau na televisão nacional” se o preço do Bitcoin não chegar a US $ 500.000 até 2020 - estreou a carteira de criptografia em seu Twitter. Ele chamou Bitfi de “um Colt 45 do mundo da criptomoeda” e “o primeiro dispositivo inatingível do mundo”. Para provar seu argumento, a McAfee anunciou uma grande recompensa: US $ 100 mil seriam destinados à primeira pessoa que hackear o novo dispositivo. "Dinheiro fala, besteira anda", ele provocou os céticos e depois aumentou a aposta para US $ 250.000.

Notavelmente, diferentemente da maioria das outras carteiras de hardware, o Bitfi não enfatiza tão fortemente as chaves privadas, de acordo com seu site:

“A carteira de hardware Bitfi resolve esse problema de segurança de uma vez por todas da maneira mais elegante possível - as chaves privadas simplesmente não são armazenadas em nenhum lugar, nunca. Essa é outra camada de segurança que vai além de manter a chave privada fora do ambiente do computador ou de dispositivos com acesso à Internet. Assim, mesmo que a sua carteira de hardware Bitfi seja apreendida ou roubada, não há nada que alguém possa fazer para extrair as chaves privadas porque elas não estão no dispositivo em primeiro lugar”.

Em vez disso, seu sistema de segurança gira em torno de uma frase secreta gerada pelo usuário - que supostamente pode ser memorizada - em vez de uma semente mnemônica convencional de 24 palavras que deve ser registrada, o que supostamente contribui para a segurança dos ativos armazenados. Dessa forma, a equipe Bitfi argumenta, chaves privadas não são mantidas no dispositivo:

“Na carteira Bitfi, sua chave privada é calculada usando nosso algoritmo toda vez que você digita sua frase secreta. Depois que uma transação é aprovada, a chave privada não é armazenada em nenhum lugar na memória local. A chave privada não existe no dispositivo até você digitar sua frase secreta novamente. Portanto, se o seu dispositivo for roubado ou apreendido, não há como obter acesso à chave privada, pois ela não está no dispositivo e seus fundos permanecem sempre seguros e não há motivo para alarme ou preocupação se o dispositivo for perdido ou roubado."

Por fim, Bitfi argumenta que seu produto é “completamente de código aberto”, o que significa que o usuário supostamente permanece no controle de seus fundos em qualquer cenário, desde que se lembre da frase secreta mencionada anteriormente. A carteira também não tem espaço para "erro humano", alegam os criadores, porque ela é atualizada rigorosamente automaticamente via Wi-Fi e o usuário não consegue fazer download de nenhum software manualmente.

Caça de recompensas rapidamente deu errado

O site da Bitfi elabora o programa de recompensas, listando várias “regras”: Essencialmente, aqueles que desejam participar têm que comprar uma carteira Bitfi que é pré-carregada com moedas por um adicional de $ 10 (a carteira custa US $ 120, como mencionado acima).

O objetivo final para o participante é extrair as moedas com sucesso e esvaziar a carteira, enquanto a empresa supostamente concede a “qualquer um que participe desta permissão de recompensa usar todos os possíveis vetores de ataque, incluindo nossos servidores, nós e nossa infraestrutura”.

"O acima é o que consideramos um hack bem-sucedido", diz o site Bitfi, "Nada mais se qualifica".

A McAfee anunciou a caçada em 24 de julho. Em uma semana, começaram a surgir relatórios de hackers. Em 1 de agosto, a personalidade cripto da OverSoft na Holanda twittou (referindo-se a outros usuários, como Saleem Rashid, o suspeito de quinze anos de idade que revelou uma vulnerabilidade de segurança em Ledger em 2017 e Andrew Tierney, consultor de segurança da Pen Test Partners firm): “Temos acesso root, um firmware atualizado e podemos confirmar que a carteira BitFi ainda se conecta de forma feliz ao painel.” Mais tarde, a OverSoft publicou as listagens do diretório BitFi ROM.

O Bitfi não respondeu diretamente ao tweet original da OverSoft. No entanto, a carteira logo anunciou uma segunda recompensa - desta vez com uma recompensa muito mais modesta de US $ 10.000 - alterando as regras e afirmando que todas as violações de segurança não atendiam às condições da recompensa e, portanto, o dispositivo não foi invadido: “Enraizar [isto é, obter acesso administrativo ao] dispositivo não significa que ele tenha sido invadido”, argumentou a equipe Bitfi.

Logo, a BitFi escreveu no Twitter que a pessoa responsável por sua conta foi “demitida por causa de muitos comentários insolentes e arrogantes para os pesquisadores inteligentes”, mas continuou a reforçar a ideia de que seu serviço não foi “hackeado”. um único vetor de ataque e exclui o backdoor do dispositivo”, respondeu Tiernay.

“Telefone Android barato e despojado”

Pen Test Partners, que publicou uma série de blogs sobre o hacking de Bitfi, alegou que, em termos de hardware, “o Bitfi é um Mediatek MT6580 despojado [...] É um telefone Android, menos alguns componentes.” “Alguém provavelmente terá o Doom rodando na sexta-feira”, comentou Ryan Castellucci, autoproclamado“ engenheiro de software e hacker de hardware”, chamando o dispositivo de “um telefone Android barato e despojado”. Consequentemente, em um episódio subsequente de “hacking Bitfi” série, Pen Test Partners postou um vídeo supostamente provando que o dispositivo Bitfi tem armazenamento: Nele, a carteira exibe um vídeo enviado de John Mcafee. O site Bitfi, por sua vez, continua se referindo à sua carteira como “o instrumento mais sofisticado do mundo”.

Bitfi negou provimento a Saleem Rashid, citando sua decisão de não reivindicar a recompensa. Respondendo, Rashid retwittou o pesquisador de criptos e segurança cibernética Alan Woodward, que também havia discutido o hack com Bitfi no mesmo tópico do Twitter.

"Não é especulação baseada no que estou vendo", escreveu Woodward, continuando:
"E nós não queremos o seu dinheiro. Dê para caridade. Estamos preocupados que os outros irão confiar seu dinheiro a algo que não é seguro da maneira que [parece] sugerir.”

“Exército de trolls”: a resposta de Bitfi às críticas

No entanto, apesar de supostamente demitir seu funcionário de mídia social, Bitfi continua a negar - e até ameaçar - seus críticos através da mídia social: por exemplo, a equipe perguntou a Woodward se eles poderiam “alterar [uma] foto de [seu] rosto com algo humilhante”, em resposta à sua preocupação com a afiliada de Bitfi, alegadamente espalhando o discurso de ódio enquanto defendia a carteira.

Em 1º de agosto, um porta-voz Bitfi oficial foi ainda mais longe e disse a Hard Fork que as recentes críticas à segurança da carteira no Twitter eram, de fato, o produto de um “exército de trolls” contratado pelos concorrentes da carteira rígida Trezor e Ledger. O fundador e CEO da Trezor, desde então, negou a acusação. O porta-voz de Bitfi afirmou:

“Por favor, entenda que a carteira Bitfi é uma grande ameaça para Ledger e Trezor porque torna sua tecnologia obsoleta [...] Então eles contrataram um exército de trolls para tentar arruinar nossa reputação (o que é certo porque a verdade sempre prevalece)."

Enquanto isso, o CEO da Bitfi, Daniel Khesin, continuava a manter uma posição cética em relação a Rashid, desafiando-o a aceitar o dinheiro se ele comprometesse o dispositivo, contribuindo para a abordagem geral imatura que sua empresa tomava ao lidar com críticas:

"A pessoa que alegou ter quebrado a recompensa não se apresentou para provar isso e twittou há cinco minutos que ele não vai perseguir a recompensa porque não vale a pena o seu tempo", disse ele ao Cointelegraph.

“No entanto, ele twittou para o mundo inteiro esta manhã que ele invadiu nossa carteira. Eu acho que é uma desgraça para qualquer ser humano fazer uma coisa dessas, mas vou deixar para você julgar.”