Um usuário anônimo do Pastebin afirmou ter descoberto evidências de que algum software de carteira Bitcoin pode gerar chaves privadas que podem ser facilmente identificadas e hackeadas.
A revelação vem depois que outra pessoa fez um post no Reddit descrevendo como ele perdeu 9 BTC devido a um erro de transação no serviço de carteira Blockchain.info.
O usuário do Pastebin, no entanto, não revelou o software de carteira específico que pode ser afetado e se a vulnerabilidade do software é intencional ou apenas um simples erro de codificação.
De acordo com o usuário anônimo, vários usuários da plataforma Blockchain.info já estão cientes da vulnerabilidade e "jogaram" com a cadeia, enviando pequenas quantidades de Bitcoins para os endereços correspondentes às chaves privadas geradas pelo software mal-intencionado.
"Se você olhar para o Blockchain, você achará que as pessoas 'jogaram' com a corrente, enviando pequenas quantidades de Bitcoins para endereços correspondentes a chaves privadas geradas usando o Sha256 ... É bastante óbvio que estes fizeram _querendo_ ser encontrado. Acontece que há muitos destes endereços. (Continue olhando e você encontrará facilmente alguns.) Isso não é novidade e é conhecido pela comunidade Bitcoin há algum tempo".
Como o usuário descobriu o software mal-intencionado
De acordo com o usuário do Pastebin, ele usou várias peças de dados publicamente disponíveis no Blockchain para determinar se elas poderiam ter sido usadas para criar carteiras. Ele usou hashes de blocos para cada bloco desde o Bloco Gênese, raízes Merkle de cada bloco, palavras e frases comuns que foram hashed muitas vezes e, eventualmente, começaram a testar todos os endereços de Bitcoin.
Ele também baixou um índice completo de todos os endereços de Bitcoin que foram listados publicamente no Blockchain e começaram a descobrir chaves que poderiam ter alguns bits associados a eles. Em seus experimentos, ele descobriu mais de 40 endereços de Bitcoin que foram utilizados em certos pontos nos últimos sete anos a partir de novembro de 2017 para enviar Bitcoin.
O usuário do Pastebin também suspeitou que algum serviço de custódia de carteira de terceiros, como site de jogo, pool de mineração ou uma carteira de internet direta, poderia ter um código malicioso em seu backend que pode gerar chaves privadas com base em endereços públicos.
A partir do momento do artigo, o usuário Blockchain.info confirmou que os fundos foram devolvidos:
"Os nove BTC foram devolvidos, a pessoa encontrou minha postagem no Reddit e me chamou nesta manhã. Ele quer permanecer anônimo, no entanto, ele encontrou um problema com o Blockchain.info e atualmente está trabalhando com eles para resolver o problema".