Como um especialista brasileiro em segurança evitou um prejuízo de R$ 300 mil em bitcoins
Na metade de março, o especialista brasileiro em cibersegurança Marco Carnut, se deparou com um problema que poderia colocar em risco até mesmo o projeto que sua empresa trabalha.
Tratava-se de um polêmica que começou em um grupo do Facebook e se espalhou com velocidade via WhatsApp. Em um post, a P2P Jéssica Lima afirmava que um bug na hardwallet de criptomoedas Trezor a fizera perder 20 Bitcons, na época cotados a R$ 300 mil. Como Jess tem experiência e é conhecida no mercado nacional, era algo que deveria ser levado a sério.
Acontece que Carnut é o CEO da Coinwise, uma startup que desenvolve uma carteira física chamada Safewise, baseada no sistema da Trezor. Ou seja: o possível defeito ameaçava o seu próprio negócio. Ele decidiu entrar no caso.
Conversando com Jéssica
Primeiramente, o empresário tentou acalmar Jéssica, que estava muito nervosa. Não custa repetir: 20 BTCs haviam ido para o limbo há mais de uma semana. O trabalho inicial de Carnut era entender exatamente o que havia acontecido.
“Eles ficaram extremamente confusos. Na hora em que eles foram descrever para mim, eles confundiram um bocado de coisas básicas. Para começo de conversa, quem havia operado a Trezor era o Renato, o sócio da Jess”, disse Carnut ao Portal do Bitcoin.
Jessica e Renato já haviam tentado de tudo para reaver os bitcoins, inclusive com o suporte da Trezor, que também não havia encontrado a solução.
“O pessoal do suporte ouve muita porcaria de muita gente. Eu também não critico eles”
Carteira sem os bitcoins
“Eles me passaram a seed e quando eu recuperei a carteira em um outro dispositivo que eu tenho aqui, tinha um saldo, tinha um histórico, mas não tinha os bitcoins. Pensei que teria sido um tipo raro de bug. Varri os primeiros 10.000 endereços para ver se minha suspeita se provava, mas o problema não estava lá”.
Ele perguntou aos dois se havia alguma coisa que eles não haviam contado.
“Foi quando eles falaram que tinha um PIN. Eu disse que o PIN não era o problema e questionei sobre um possível passphrase. Eles estavam confundindo PIN com passphrase!”.
O PIN é a senha normal. O passphrase é como se fosse uma 13ª ou 25ª palavra (de uma seed de 12 ou 24 palavras), ou seja, uma palavra extra que não fica armazenada no dispositivo. Fica apenas na memória.
“Se você restaura uma Trezor com a seed sem o passphrase, aparece um histórico com valores bem baixos, pois as pessoas normalmente usam a Trezor primeiro sem o passphrase e só depois que ativam o dispositivo de segurança”.
Carnut recuperou a carteira com o passphrase. Tinha transação, tinha saldo, mas ainda não tinha os bitcoins que eles queriam. Havia chegado perto do solucionar o mistério, mas ainda não encontrara o tesouro.
Foi quando Jess disse que havia um problema no touchscreen.
O modelo da carteira deles, a Trezor T, dá a opção da pessoa entrar com a passphrase. A carteira não tem só a seed, que estava correta. Ela permite que você insira a passphrase pelo touchscreen.
“Logo, se o touchscreen da unidade estava com defeito, então era possível que ao digitar a 25ª palavra, ele poderia ter cometido um erro.
Carnut disse que o incidente foi que a Trezor desconectou do USB e quando foi reconectada, devido ao defeito no touchscreen, um dos caracteres da passphrase saiu errado e por causa disso o sócio de Jess teria entrado em um outro endereço da carteira.
“Então, eu testei um monte de combinações de passphrase, e numa delas eu achei o correto e finalmente encontrei os bitcoins perdidos”, afirmou Carnut.
Um caractere de distância
“A passphrase certa estava a um caractere de distância no teclado de onde ele achava que estava”, relatou.
Apesar do CEO da Coiwise não ter testado no dispositivo com problema, ele supôs que foi o problema foi realmente no touchscreen: “Aparece um tecladinho lá e um dos caracteres que ele digitou foi do (caractere) vizinho”, disse.
Ao refletir sobre a jornada dos R$ 300 mil, ele afirmou que o problema não era em si tão difícil. Era preciso apenas de cabeça fria para reconstruir os passos de como o dinheiro havia sido perdido.
“Se alguém que tivesse com a cabeça fria e fizesse a mesma coisa que eu fiz, ia acabar chegando à mesma conclusão”. Foi uma conclusão humilde, mas por trás do telefone, pelo tom de voz, era possível perceber que ele celebrava internamente a resolução do caso.
*Colaborou Cláudio Goldberg Rabin
3xBit
Inovação e segurança. Troque suas criptomoedas na corretora que mais inova do Brasil. Cadastre-se e veja como é simples, acesse: https://3xbit.com.br
O post Como um especialista brasileiro em segurança evitou um prejuízo de R$ 300 mil em bitcoins apareceu primeiro em Portal do Bitcoin.
