MEWConnect

O serviço MyEtherWallet incrivelmente popular anunciou que lançará um novo aplicativo móvel para aumentar a segurança de uso de seu site que já foi atacado com sucesso inúmeras vezes. O objetivo do aplicativo (com o infeliz nome de MEW Connect) não serve apenas para proteger os usuários de ataques de phishing, mas também para agir como uma espécie de carteira de hardware. Em outras palavras, não exigirá que os usuários insiram sua chave privada no site, o que é uma coisa muito arriscada de se fazer em geral.

MEWConnect

MEW CONNEEECT!

Apesar de sua má escolha de nomenclatura (e achamos que qualquer coisa relacionada à criptografia com a palavra conectar é provavelmente uma má ideia pelo menos pela próxima década ou mais), a ideia chega em um ponto crítico na história da criptografia, onde vemos um aumento número de ataques de vários tipos. Particularmente ataques direcionados a alvos de alto perfil, como serviços de câmbio e carteira.

Carlos Matos

O ex-porta-voz da BitConnect Carlos Matos apresentando seu agora infame “BitConnect!” gritar, e lembrando a todos nós porque a palavra “conectar” nunca deve ser usada por um projeto de criptografia nunca mais

MyEtherWallet foi atacado principalmente de três maneiras diferentes.

A primeira forma era sites de phishing, onde os fraudadores criam anúncios do Google ou outros anúncios para uma página semelhante. Os novatos em criptografia que são mais suscetíveis a esse tipo de ataque acessariam o site e inseririam suas chaves privadas. Isso, é claro, resultou na perda total de todos os conteúdos de suas contas, como éter e tokens ERC-20. Em resposta a esse tipo de atividade, a maioria dos principais serviços da web acabou com toda a publicidade relacionada à criptomoeda. No entanto, essa tendência pode estar se revertendo, já que os anúncios Coinbase estão aparecendo no Google, Instagram e outros serviços.

O próximo tipo de ataque importante que o MyEtherWallet viu foi baseado em um ataque a um serviço DNS onde os usuários digitaram ou de outra forma visitaram o URL correto foram redirecionados de forma fraudulenta para um site de phishing. O ataque permaneceu ativo por apenas algumas horas, mas as estimativas sugerem que os hackers roubaram uma boa quantia de dinheiro na tentativa.

O último vetor de ataque interessante que vamos mencionar aqui é aquele em que os usuários do serviço Hola VPN tinham todas as solicitações para visitar MyEtherWallet por um período de cinco horas encaminhadas para um site de phishing. Em certo sentido, este ataque teve um resultado semelhante ao hack de DNS.

É à luz desses tipos de ataques que o MEW Connect está entrando no mercado.

Lançamento do Beta

O serviço ainda não foi lançado, no entanto, e em breve entrará em uma versão beta fechada para um grupo sortudo de pessoas escolhidas para participar. A versão beta será apenas para iOS, mas o site diz que a versão para Android estará disponível em breve.

Alguns dos recursos disponíveis no serviço incluem criptografia do lado do cliente, verificações de transações, backups de contas e, claro, proteções contra hackers e phishing.

De acordo com TechCrunch, o sistema funciona de uma maneira familiar para a maioria dos usuários de criptografia móvel. Sendo assim, ele usa códigos QR digitalizados em vez de precisar inserir chaves privadas. Presumivelmente, o usuário inserirá suas chaves privadas no aplicativo móvel e, a partir de então, nunca precisaria inserir as chaves privadas em um computador ou navegador.

O artigo do TechCrunch confirma que o MEW Connect usará “os serviços de keychain da Apple para criptografar o aplicativo – que, segundo ele, retém dados no dispositivo – e emparelhá-lo com o par baseado na web”.

Um mundo sem chaves

Um passo importante para a adoção geral de criptomoedas é que interagir com a carteira deve ser fácil e infalível. Em outras palavras, as carteiras devem ser projetadas de forma que seja difícil para alguém que não tem experiência cometer um erro grave e perder todos os seus fundos como consequência.

Por exemplo, o usuário médio provavelmente nunca precisará interagir com suas chaves privadas. Isso ocorre porque a chave privada é o ponto de ataque mais vulnerável. Se um novo usuário for de alguma forma convencido ou induzido a abrir mão de sua chave privada sem saber o que é, esse tipo de hack continuará. Isso não significa que uma carteira deva necessariamente restringir um usuário de obter sua chave privada se ele entender o que é ou para que serve, mas para a maioria dos usuários não técnicos, o acesso direto ou interação com uma chave privada deve ser desnecessário por design.

Por exemplo, uma carteira móvel bem projetada deve geralmente lidar apenas com endereços públicos de usuários e códigos QR para envio e recebimento. Serviços como o MyEtherWallet permitem muita flexibilidade na interação com o blockchain Ethereum. Mas, como aprendemos da maneira mais difícil através de potencialmente milhões de dólares sendo perdidos por meio de hacks de apenas um serviço, a forma como as coisas estão configuradas agora simplesmente não está funcionando para o usuário médio e potencialmente inexperiente.

A razão pela qual as pessoas hoje usam serviços como cartões de crédito e serviços bancários online é porque se sentem seguras ao fazer isso. Isso ocorre em parte porque esses sistemas foram projetados para usuários não técnicos. Também é em parte porque, se ocorrer um roubo, existe um banco segurado que irá cobrir quaisquer perdas. A Crypto não tem bancos segurados para cobrir perdas e, portanto, para convencer um usuário médio de que a criptomoeda é segura, o software que usamos para interagir com ela precisa ser absolutamente à prova de balas.

Talvez o MEW Connect seja um passo em direção a esse objetivo elevado, mas essencial.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me