A carteira de criptomoedas Edge revelou no início desta semana que um hacker conseguiu explorar uma vulnerabilidade crítica no aplicativo que lhe permitiu descobrir as chaves privadas de alguns usuários e roubar fundos.

O caso foi descoberto quando um investidor entrou em contato com a equipe do Edge após ter todo o Bitcoin drenado da sua carteira de forma misteriosa.

Ao investigar o caso, a empresa descobriu que a chave privada da wallet havia sido comprometida, bem como as chaves de outras 2 mil carteiras do Edge, o que provou não se tratar de um incidente isolado.  

“Após uma investigação mais aprofundada, apuramos que o aplicativo Edge continha uma vulnerabilidade que vazaria chaves privadas assim que um usuário realizasse não uma, mas ambas as ações a seguir”, escreveu a empresa em nota oficial.

A primeira ação que colocava em risco as chaves privadas era usar a função de “comprar” ou “vender” cripto através de uma lista de gateways de pagamentos de terceiros, vinculados à carteira Edge. Fazer isso registrava a chave privada não criptografada da carteira do usuário no disco do dispositivo.

A segunda ação que abria a brecha para hackers era usar o recurso “Upload Logs” da carteira, que enviava logs para os servidores do Edge. Os logs incluiriam a chave privada do investidor se o upload fosse feito após a entrada em uma das opções de compra/venda. 

As chaves privadas dos usuários que executavam essas duas ações na carteira eram então expostas, sem qualquer tipo de criptografia, no servidor de logs do Edge. Ao acessar essas informações, hackers conseguiram roubar fundos dos investidores.

Apesar da falha grave, a equipe do Edge tentou amenizar a situação alegando que poucos usuários foram afetados:

“Devido à natureza restrita pela qual as chaves de um usuário podem ter sido comprometidas e à pouca menção que recebemos de usuários com fundos perdidos, atualmente no valor de 5 dígitos em USD, acreditamos que este incidente tem um escopo muito limitado e pode ser um ataque direcionado aos usuários afetados.”

Recomendações de segurança

Para garantir a proteção das criptomoedas dos usuários, a equipe do Edge fez algumas recomendações de segurança. A principal neste momento é a atualização do aplicativo para a sua versão mais recente até esta sexta-feira (24), a v3.3.1, através da Google Play Store e Apple App Store.

“Esta versão corrige todas as vulnerabilidades conhecidas envolvendo chaves privadas de carteira e exclui imediatamente todos os logs anteriores do disco”, explica a empresa.

Uma outra recomendação repassada pela equipe do Edge é que usuários criem novas carteiras para transferir para elas os fundos armazenados em carteiras antigas. “Novas carteiras em uma conta existente não terão exposição às vulnerabilidades envolvendo sua chave privada”, garante.