1. Home
  2. Noticias
  3. Article

Pesquisador expõe “criptografia ruim” da carteira TronLink

43

A carteira TronLink se apresenta como a porta de acesso ao ecossistema do blockchain Tron, mas não é tão segura como deveria ser (Imagem: TronLink)

Carteiras de 💥️criptoativos são softwares que armazenam suas chaves públicas (usada para que você receba ou envie ativos) e privadas (só o dono deve ter controle) e monitore seu saldo.

Existem diversos serviços de carteira, on-line e off-line, digital ou impresso (💥️clique aqui para conferir mais). 

Porém, 💥️Jean-Phillippe Aumasson, diretor de segurança e cofundador da fintech suíça 💥️Taurus, descobriu uma possível vulnerabilidade na popular carteira 💥️TronLink, noticia o Decrypt.

looks like the official TRON wallet @TronLinkWallet uses AES-ECB to encrypt the 12-word mnemonic (4 to 6 AES blocks): https://t.co/b35xxkeZKO

with a key that is just SHA256(password):https://t.co/6WyrIq2p2P

that's all I found after 20min of auditing

— JP Aumasson (@veorq) September 28, 2023

Há tempos, Tron é acusada de não levar segurança a sério, além de alegações de ter 💥️plagiado seu whitepaper. Segundo Aumasson, a vulnerabilidade passou despercebida no código subjacente.

“[Existem] lacunas básicas em cripto que qualquer auditor competente teria reparado”, disse Aumasson ao Decrypt.

Para obter acesso a uma carteira, o usuário possui uma lista de 12 palavras aleatórias que devem ser guardadas em um lugar seguro pois, sem a lista, é impossível acessar criptoativos. Assim, ele afirma que essa lista fornecida pela carteira TronLink não foram bem criptografadas.

O código utilizado é AES-ECB, considerado fraco e não muito seguro. “O módulo ECB trata cada bloco de dados de forma independente, enquanto deveria haver certa correlação entre os blocos para garantir um alto nível de segurança”, 💥️explica Aumasson.

Assim, a vulnerabilidade da carteira tornaria possível uma invasão ao dispositivo móvel de uma vítima e o hacker teria acesso aos criptoativos da carteira e transferi-los para si. Ele pede que usuários dessa carteira específica tomem ações cautelares.

“Eu encorajaria detentores de Tron a 1) assegurarem que a questão seja mitigada pelos desenvolvedores da carteira na próxima atualização, b) assegurarem que têm fortes senhas e c) considerem aplicativos de carteira alternativos”, alertou Aumasson.

O que você está lendo é [Pesquisador expõe “criptografia ruim” da carteira TronLink].Se você quiser saber mais detalhes, leia outros artigos deste site.

Related articles

Wonderful comments

    Login You can publish only after logging in...