As criptomoedas impactaram setores inteiros da economia como a tecnologia e as finanças e a adoção de carteiras digitais para guardá-las cresce à medida que novos investidores são atraídos para a economia blockchain e suas possibilidades, como NFTs, tokens e até novas moedas eventualmente lançadas no ecossistema cripto. 

Nesse panorama, a América Latina é uma região chave, pois a relevância dos ativos digitais vem aumentando. Recentemente, o Brasil aprovou a regulamentação do setor criptomoedas, e startups e projetos inovadores de blockchain continuam surgindo. Até abril deste ano, dados da Receita Federal mostraram que o país registrou um recorde de investidores em criptomoedas, com o número de investidores por CPF e por CNPJ chegando ao maior patamar até então, com 1,99 milhão e 80,2 mil, respectivamente.

No entanto, fraudes e ataques cibernéticos aos aplicativos de carteiras digitais também preocupam os investidores. Em 2022, um recorde de 3,8 bilhões de criptomoedas foi roubado globalmente, de acordo com um relatório da Chainanalysis. Levando em consideração o cenário da criptoeconomia e sua relação com a segurança cibernética, a Appdome, o one-stop shop para defesa de aplicativos móveis, junto ao seu especialista em segurança cibernética e Vice-presidente de Produtos de Segurança, Alan Bavosa, explicam os 5 principais ataques direcionados a aplicativos de carteira criptográfica e como combatê-los.

Roubar chave privada armazenada localmente

Existem muitos debates entre os usuários ao escolher hot wallets (oferecem maior conveniência e flexibilidade já que são digitais, mas apresentam maiores riscos de segurança) ou cold wallets (mais seguras porque estão em dispositivos físicos, mas menos convenientes, ao passo que não estão conectadas à rede mundial de computadores e à internet), nesse caso, entre um aplicativo de carteira criptográfica custodial e não custodial. É possível optar por maior controle sobre senhas ou a conveniência de redefini-las por meio do provedor de custódia. 

Do ponto de vista da segurança cibernética, o risco é o mesmo, não importa qual carteira é escolhida; eventualmente, a carteira deve se conectar a algo para realizar transações. Dentro ou como parte de uma transação, a frase secreta ou chaves devem ser usadas e, se houver malware no dispositivo conectado, ele poderá acessá-las.

Dados não criptografados na memória, na caixa de proteção do aplicativo,  no cartão SD ou em áreas externas, como a área de transferência, permitem que os hackers coletem esses dados para seus fins maliciosos. “Para resolver isso, recomendamos a criptografia de dados em repouso, como a forma mínima de proteger os dados armazenados localmente, independentemente de onde eles residam”, diz o especialista em segurança cibernética da Appdome.

Coleta de senha ou chave privada

Outra maneira de roubar senhas e chaves de carteiras de criptomoedas é quando o usuário insere as informações nos campos do aplicativo. Do ponto de vista do hacking, existem duas maneiras de realizar tal feito. Uma delas é o malware keylogging, que registra remotamente as teclas digitadas pelo usuário enquanto ele coloca a senha ou a chave no aplicativo da wallet. 

O segundo método consiste em ataques de sobreposição, outra forma de malware de identidade que sobrepõe uma tela (ou usa uma tela falsa) para induzir o usuário a inserir a senha ou chave em uma tela ou campo de entrada malicioso dentro do aplicativo.

Ataques dinâmicos contra aplicativos

Devido à dependência transacional entre o usuário mobile e o blockchain em aplicativos de carteira criptográfica, a integridade da plataforma usada para executar o aplicativo é extremamente importante para proteger os usuários. Os métodos padrão de jailbreak (usados para adulterar dispositivos e adicionar funcionalidades não oficiais), suas ferramentas e ocultação de root podem ser usados sozinhos ou em combinação com malware para interferir, coletar ou registrar eventos entre o aplicativo e os serviços externos.

Mesmo as ferramentas de teste de penetração podem ser usadas para instrumentar, capturar e ativar funcionalidades em um aplicativo criptográfico para todos os tipos de propósitos maliciosos, incluindo obter acesso ao endereço blockchain do aplicativo cliente (armazena e recupera dados localmente ao invés de remotamente), senhas ou até personificar tal aplicativo cliente.

“Os desenvolvedores de carteiras criptográficas podem impedir que os apps sejam executados em um dispositivo com jailbreak ou com root e se prevenir contra ferramentas dinâmicas de hackers para proteger os usuários e garantir a integridade das funções críticas do aplicativo. As melhores práticas também sugerem que o desenvolvedor do aplicativo use ofuscação de código abrangente para tornar mais difícil para o invasor pesquisar o aplicativo”, explica Bavosa.

Ataques MiTM às plataformas

A maioria dos blockchains possui trocas descentralizadas conhecidas como “dApps”, criadas pelas comunidades de desenvolvedores. E se o dApp for malicioso ou conter vulnerabilidades contra uma carteira para criar conexões não seguras com o aplicativo de destino? A comunicação entre cliente e “servidor” ou peer-to-peer pode abrir brecha para ameaças, como ataques MiTM (Man-in-the-Middle), ataques TCP Reset, ataques de trojan e outros. 

Os dados em trânsito usados pelos aplicativos de cripto são críticos para o valor da criptomoeda no aplicativo de carteira do cliente. Tudo, desde transações, valores e senhas, é incluído nesta comunicação. Para se prevenir contra esse cenário, os desenvolvedores de aplicativos das wallets devem considerar uma defesa holística do tipo Man-in-the-Middle, recomenda Bavosa. 

Usar ferramentas de desenvolvimento como ADB contra aplicativos de carteiras

Versões modificadas de aplicativos de carteira criptográfica usados com emuladores, simuladores ou malware no dispositivo podem ser usados por hackers para criar contas falsas, realizar negociações maliciosas ou transferir criptomoeda de um aplicativo de carteira para outro.

“Para combater esse tipo de ataque, recomendamos a implementação de métodos de autoproteção de aplicativo em tempo de execução (RASP), particularmente anti-adulteração, anti-depuração e prevenção de proteções do emulador”, conclui Bavosa, da Appdome.