This post is also available in: Français Deutsch Русский English

No fim da semana passada, descobriu-se que a carteira independente MyDashWallet foi comprometida por um hacker, que era capaz de enviar as chaves privadas dos usuários para um servidor externo, mas os membros do Dash Core Group ajudaram o desenvolvedor a corrigirem o assunto uma vez que a vulnerabilidade foi revelada.


O hack foi possibilitado devido à sua dependência na última versão de outra base de códigos que foi comprometida. Apenas por precaução, qualquer pessoa que tenha usado o MyDashWallet entre 13 de Maio e 12 de Junho de 2019 deve assumir que as suas chaves privadas são conhecidas e movimentar seus fundos imediatamente.

“Em Abril de 2018, o MyDashWallet foi modificado para carregar um script externo de um site de hosting de scripts chamado GreasyFork. Apesar de não ser anormal, esta não é considerada uma prática segura, particularmente porque a referência carregava a última versão do script em vez de uma versão específica. Em 13 de Maio de 2019, um hacker comprometeu a conta no GreasyFork do autor original do script, Jixun Moe, e adicionou um código para enviar as chaves privadas dos usuários para um server externo. Esta mudança foi detectada em 12 de Julho de 2019, quando o hacker usou as chaves privadas para movimentar os fundos dos usuários.
A MyDashWallet não é mantida pelo Dash Core Group, e em momento algum a rede Dash em si foi comprometida.”

Como postado no Dash Forum por Philipp Engelhorn, ajudado por Leon White, “a prática insegura de desenvolvimento implementada pela MyDashWallet passou despercebida por mais de um ano, devido a revisões insuficientes do código por terceiros”. No futuro, ele enfatizou que “todo código que lide com chaves privadas deve ser revisado amplamente antes de ser confiado com fundos dos usuários” e que “o uso de arquivos de armazenamento local de chaves deve ser desencorajado em favor de carteiras hardware, semelhantes às boas práticas implementadas pela MyEtherWallet”.

Como o Dash Core Group avisa os usuários e ajuda na mitigação da situação

Primeiramente, o Dash Core Group ajudou a mitigar o risco dessas vulnerabilidades para o seu próprio código garantindo que “todo software lançado pelo Dash Core Group é de código aberto e sujeito aos testes de qualidade mais estritos antes do lançamento”. Vulnerabilidades de terceiros são um risco com softwares de código aberto pois qualquer um é livre para usar o código e implementar as suas próprias variações e aplicações. No entanto, o software de código aberto tem a vantagem de que essas vulnerabilidades podem ser encontradas por indivíduos privados ao contrário de código fechado, que pode estar comprometido, mas sem nunca dar conhecimento ou ter essa informação publicada.

Em segundo lugar, o Dash Core Group “está ajudando o desenvolvedor a resolver este problema coletando as informações relevantes para oferecer para a justiça”, de acordo com Michael Seitz no Dash Forum. Este é um sinal positivo de que mesmo se as vulnerabilidades não são relacionadas a ele ou à blockchain do Dash, eles ainda estão garantindo que os apps relacionados ao Dash e aos membros da comunidade continuem seguros ajudando a resolver os problemas que surgem. Isto é uma vantagem que é citada como uma razão para casas de câmbio de terceiros e vendedores gostarem de interagir com o Dash; eles têm o Dash Core Group como pessoas reais para se apoiarem e fazer perguntas.

Sistemas descentralizados requerem um alto grau de atenção do usuário

As criptomoedas foram criadas para serem tanto de código aberto quanto descentralizadas, sem nenhuma pessoa ou grupo no comando. Apesar disso, ajudar com o aspecto de acessibilidade livre da rede, também permite que produtos de terceiros sejam desenvolvidos e usados, às vezes sem os testes rigorosos devidos. Qualquer usuário pode usar um software confiável e sólido, no entanto eles também podem ser vítimas de serviços mal construídos ou até mesmo de golpes ou outros aplicativos maliciosos. Por conta disso, usuários buscando descentralização e os benefícios associados a usar uma criptomoeda também devem tomar responsabilidade completa pelos riscos associados com o uso de sistemas potencialmente não testados, e tomar precauções adicionais para proteger sua segurança e seus fundos.