Já imaginou descobrir que os valores que você tem em uma criptomoeda ficaram inacessíveis da noite para o dia? Essa é angústia que muita gente está vivenciando com o Ethereum (ETH), provavelmente, a moeda digital mais conhecida depois do Bitcoin. Não há plano de recuperação em andamento. Para piorar, agora sabe-se que a brecha que permitiu o problema era conhecida e poderia ter sido barrada.
O problema afeta usuários que usam carteiras multi-sig (assinaturas múltiplas) na Parity Wallet ativas desde 20 de julho. Carteiras desse tipo contam com consentimento de várias partes a partir de contratos inteligentes para validar as transações. Trata-se de uma camada adicional de proteção.
Em julho, esse mecanismo precisou ser atualizado para corrigir uma falha que permitiu que 150 mil ETHs fossem roubados, na época, um valor equivalente a US$ 30 milhões. O problema é que o novo código acabou trazendo outra vulnerabilidade, justamente a que deixou centenas de carteiras no limbo.
Centenas mesmo: A Parity calcula que quase 600 carteiras foram afetadas. Elas acumulam um total de ETHs que, hoje, equivale a mais de US$ 160 milhões. No mesmo comunicado, a empresa reconhece que não há nenhum plano para reaver o acesso a esse montante. O problema é tão complicado que pode exigir mudanças em todo o ecossistema do Ethereum para ser corrigido.
O bug foi reportado no dia 6. Não está totalmente claro como o problema foi desencadeado, mas a teoria mais aceita é a de que um desenvolvedor assumiu a propriedade sobre o contrato de biblioteca da Parity ao explorar a falha; na sequência, ele eliminou o código do contrato na tentativa de reverter o efeito. Só que essa ação acabou removendo o controle que a Parity tinha. Eis a consequência: pelo menos 587 carteiras ficaram inacessíveis.
A Parity não está enrolando. Esse é mesmo um problema de difícil solução. O que deixou as “vítimas” enfurecidas foi a negligência. A própria Parity reconhece em um postmortem que, em agosto, um desenvolvedor alertou no GitHub sobre a necessidade de mudança no código da carteira, mas que interpretou o aviso como algo a ser tratado com um aprimoramento, não uma questão urgente de segurança.
Em outras palavras, o risco já era conhecido, mas não foi tratado com a devida importância. Uma empresa que enfrentou recentemente um problema sério de segurança — a falha que foi corrigida em julho — não deveria ter baixado a guarda.
Agora que o estrago está feito, só resta à Parity tentar algo para ao menos amenizar o problema. Uma das ideias consideradas passa até pela criação de um hard fork, ou seja, de uma alteração tão expressiva que os nós que compõem o sistema não conseguem validar os blocos, situação que acaba fazendo outra criptomoeda surgir.
Aguardemos os próximos capítulos.
Com informações: Motherboard, CoinDesk