Adolescente que hackeou o registro caixa de carteira disse que aparelhos continuam vulneráveis, desenvolvedores negam

Fabricante de hardware de carteira de criptomoeda Ledger continua a refutar alegações de que seus dispositivos podem ser hackeados após um adolescente tê-los comprometido, Ars Technica relata hoje, 21 de março.

Depois que o britânico Saleem Rashid, de 15 anos, criou o código para invadir as carteiras da Ledger em novembro de 2017, a empresa divulgou postagens descrevendo eventos como "SEM riscos" e disse que possíveis ataques "não podem extrair as chaves privadas ou a semente".

Rashid então refutou as alegações nas mídias sociais e uma postagem em seu blog pessoal intitulado “Quebrando o modelo de segurança da Ledger” em 20 de março, afirmando que ele ainda podia “extrair autonomamente a chave privada da raiz uma vez o usuário desbloqueia o dispositivo ”e usa-o para instigar a manipulação de endereços de destino para transações.

O argumento pressiona tanto a Ledger quanto seus milhões de usuários, que até agora aceitaram amplamente as alegações da empresa de que suas carteiras eram 100% seguras.

Carteiras de hardware são frequentemente recomendadas pelos nomes mais conhecidos do setor de Bitcoin, incluindo o educador Andreas Antonopoulos, que, como muitos outros, tenta dissuadir os investidores de criptomoedas do armazenamento online de fundos.

Ledger tentou corrigir um total de três vulnerabilidades de segurança em seu hardware este mês, incluindo o identificado por Rashid. Em um poste de 20 de março descrevendo o progresso nas atualizações de segurança, a Ledger disse aos usuários que eles estariam totalmente protegidos após atualizar suas carteiras:

“O processo de atualização verifica a integridade do seu dispositivo e uma atualização 1.4.1 bem-sucedida é a garantia de que seu dispositivo não foi alvo de nenhum dos ataques corrigidos. Não há necessidade de tomar qualquer outra ação, sua semente/chaves privadas estão seguras”.