O método Dark Skippy pode explorar carteiras de hardware Bitcoin

Pesquisadores de segurança revelaram recentemente um novo tipo de ataque malicioso que permite aos hackers acessar carteiras de hardware e chaves privadas de usuários após duas transações assinadas. Os pesquisadores apelidaram o ataque de Dark Skippy, que funciona se um hacker enganar um usuário para que ele baixe um firmware malicioso.

Nick Farrow, Lloyd Fournier e Robin Linus divulgaram informações detalhadas sobre o Dark Skippy. Nick Farrow e Lloyd Fournier são cofundadores da Frostsnap, empresa de carteiras de hardware em desenvolvimento. Robin Linus está envolvido nos protocolos Bitcoin BitVM e ZeroSync.

O relatório explicou como cada dispositivo de assinatura insere valores aleatórios, conhecidos como nonces, em cada transação BTC assinada. Nonces fracos podem permitir que invasores decifrem as chaves privadas das assinaturas por meio de "maquiagem de nonces" 

Os ataques Dark Skippy dependem de uma técnica semelhante. Um atacante introduz um firmware malicioso no dispositivo de assinatura. O firmware malicioso gera nonces fracos sempre que o dispositivo assina uma transação. 

Um atacante pode usar técnicas como o Algoritmo do Canguru de Pollard para calcular a frase mnemônica e acessar a carteira da vítima. O Dark Skippy é mais rápido e requer menos transações assinadas em comparação com as técnicas mais antigas de mineração de nonce.

Pesquisadores sugerem medidas para mitigar o efeito do esquilo-da-noite

Nick, Robin e Lloyd propuseram medidas de mitigação para lidar com o Dark Skippy. Os pesquisadores explicaram que a maioria dos dispositivos de assinatura digital possui defesas de segurança de hardware para impedir o carregamento de firmware malicioso. Algumas dessas medidas incluem proteger o acesso físico ao dispositivo, empregar técnicas de segurança de hardware, comprar dispositivos de assinatura legítimos e muito mais.

Nick publicou um tweet sobre mitigações baseadas em protocolo sugeridas e usadas no passado, incluindo anti-exfil e nonces determinísticos. Os três pesquisadores apresentaram novas medidas de mitigação que poderiam coexistir com parcialmente assinadas Bitcoin de transações (PSBT) em seu relatório.

As duas medidas sugeridas incluem assinaturas de adaptador obrigatórias e prova de trabalho nonce obrigatória. As medidas visam interromper os ataques do Dark Skippy, como os novos campos PSBT.

O cofundador da Frostsnap ainda insistiu na necessidade de discussões e implementações de medidas de mitigação para lidar com a nova ameaça. Os pesquisadores também solicitaram aos leitores e especialistas do setor que fornecessem feedback sobre as medidas de mitigação apresentadas no relatório. 

trace alerta sobre novos golpes com códigos QR 

"Após escanear um código QR, fui assaltado."

Atracdescobriu um novo tipo de golpe em que o roubo é realizado por meio de um teste de transferência de código QR de pagamento, essencialmente enganando os usuários para que autorizem carteiras digitais.

Fio 🧵

— Bitractractractractractractractractrace_team) 8 de agosto de 2024

Atracrecentemente publicou um tweet sobre um novo golpe que engana usuários para que autorizem carteiras. Uma vítima recente de roubo de carteira de criptomoedas entrou em contato com a empresa solicitando assistência. A vítima explicou que todos os seus fundos foram roubados após testar uma transferência de 1 USDT por meio de um código QR. A vítima revelou que não conseguia entender como alguém a havia roubado apenas escaneando um código QR.

A empresa de análise de dados explicou que os golpes com código QR são um novo tipo de fraude que envolve um teste de transferência por código QR. Os golpistas primeiro sugerem uma transação presencial para vítimas desavisadas. Em seguida, oferecem taxas mais baixas do que outros serviços do mercado de criptomoedas. 

A empresa também revelou que os golpistas oferecem TRX como pagamento por cooperação a longo prazo e fazem um pagamento em USDT para ganhar a confiança da vítima. Em seguida, o golpista solicita um pequeno pagamento de teste para avaliar o interesse da vítima.

testoutraco golpe usando uma carteira vazia e o código QR fornecido pela vítima. A empresa afirmou que a leitura do código os levou a um site de terceiros que solicitava um reembolso. Assim que a vítima confirmava a transação, os golpistas roubavam a autorização da carteira. Os cibercriminosos então transferiam todos os fundos da carteira da vítima.