Pesquisadores de segurança descobriram um novo método preocupante que hackers podem usar para extrair chaves privadas de uma carteira de hardware de Bitcoin com apenas duas transações assinadas, que eles nomearam de “Dark Skippy”.
Essa vulnerabilidade potencialmente afeta todos os modelos de carteiras de hardware, mas só pode funcionar se o invasor conseguir enganar a vítima para que ela baixe um firmware malicioso.
Uma versão anterior do método exigia que a vítima publicasse “dezenas” de transações na blockchain. Mas a nova versão “Dark Skippy” pode ser executada mesmo que a vítima publique apenas algumas transações na blockchain. Além disso, o ataque pode ser executado mesmo que o usuário dependa de um dispositivo separado para gerar as palavras-semente.
O relatório de divulgação foi publicado por Lloyd Fournier, Nick Farrow e Robin Linus em 5 de agosto. Fournier e Farrow são cofundadores do fabricante de carteiras de hardware Frostsnap, enquanto Linus é co-desenvolvedor dos protocolos Bitcoin ZeroSync e BitVM.
De acordo com o relatório, o firmware de uma carteira de hardware pode ser programado para embutir partes das palavras-semente do usuário em “nonces secretos de baixa entropia”, que são então usados para assinar transações. As assinaturas resultantes são postadas na blockchain quando as transações são confirmadas. O invasor pode então escanear a blockchain para encontrar e registrar essas assinaturas.
As assinaturas resultantes contêm apenas “nonces públicos”, não as partes das palavras-semente em si. No entanto, o invasor pode inserir esses nonces públicos no Algoritmo Canguru de Pollard para calcular com sucesso os nonces secretos a partir de suas versões públicas.
O Algoritmo Canguru de Pollard, descoberto pelo matemático John Pollard, é um algoritmo em álgebra computacional que pode ser usado para resolver o problema do logaritmo discreto.
Segundo os pesquisadores, o conjunto completo de palavras-semente de um usuário pode ser derivado usando esse método, mesmo que o usuário produza apenas duas assinaturas a partir de seu dispositivo comprometido e mesmo que as palavras-semente tenham sido geradas em um dispositivo separado.
Versões anteriores da vulnerabilidade já foram documentadas no passado, afirmaram os pesquisadores. No entanto, essas versões anteriores dependiam de “nonce grinding”, um processo muito mais lento que exigia muito mais transações postadas na blockchain. Mesmo assim, os pesquisadores pararam de chamar o Dark Skippy de uma nova vulnerabilidade, afirmando que é “uma nova forma de explorar uma vulnerabilidade existente”.
Para mitigar a ameaça, o relatório sugere que os fabricantes de carteiras de hardware devem tomar cuidado extra para evitar que firmwares maliciosos entrem nos dispositivos dos usuários, o que eles podem fazer por meio de recursos como “boot seguro e interfaces JTAG/SWD bloqueadas […] builds de firmware assinados pelo fornecedor e reprodutíveis […] [e] vários outros recursos de segurança.” Além disso, sugere-se que os proprietários de carteiras podem querer adotar práticas para manter seus dispositivos seguros, incluindo “locais secretos, cofres pessoais ou até mesmo bolsas com evidência de violação”, embora o relatório também sugira que essas práticas podem ser “complicadas”.
Outra sugestão é que o software da carteira utilize protocolos de assinatura “anti-exfiltração”, que impedem a carteira de hardware de produzir nonces por conta própria.
Vulnerabilidades em carteiras de Bitcoin causaram perdas significativas para os usuários no passado. Em agosto de 2023, a empresa de cibersegurança SlowMist relatou que mais de US$ 900.000 em Bitcoin foram roubados via uma falha na biblioteca do explorador Libbitcoin. Em novembro, a Unciphered relatou que US$ 2,1 bilhões em Bitcoin (BTC) mantidos em carteiras antigas podem estar em perigo de serem esvaziados por atacantes devido a uma falha no software de carteira BitcoinJS.