Um pesquisador de segurança que mora no Brasil postou na rede social Reddit que identificou um esquema de venda de carteiras de autocustódia de criptomoedas falsificadas imitando a marca Ledger.

Os aparelhos vinham com softwares espiões criados para roubar as senhas dos usuários, fazendo com que hackers possam acessar e drenar os ativos.

Identificado apenas pelo nome de usuário Past_Computer2901, o pesquisador disse que comprou uma Ledger Nano S+ por meio de um marketplace chinês. Ele afirmou ter achado o preço suspeito, apesar da embalagem poder passar por uma Ledger original.

Assim que abriu o pacote, o pesquisador declarou ter percebido claramente a falsificação e decidiu desmontar o aparelho.

Diferenças para a Ledger original

O chip, em vez de ser o ST33 Secure Element, tradicionalmente utilizado pela Ledger, era um ESP32-S3 com marcações apagadas.

Já firmware (software gravado diretamente na memória do aparelho) era de uma versão que não existia em equipamentos Ledger oficial e, o mais grave, havia chaves de 24 palavras anotadas em texto na memória.

As chaves de 24 palavras são as senhas irrecuperáveis utilizadas para se acessar uma carteira de criptomoedas. As carteiras possuem um endereço público que consiste em uma série de letras e números, e uma chave privada, que só o dono da carteira pode saber.

Uma vez que alguém obtenha as 24 palavras de uma carteira, essa pessoa pode acessar todos os ativos contidos nela e transferi-los, sem que seja possível ao verdadeiro titular recuperá-los. Afinal, o princípio da autocustódia é a descentralização e nem mesmo os provedores de carteiras podem saber as chaves de seus usuários.

O pesquisador que denunciou o esquema apontou que os vendedores enviaram até mesmo uma versão modificada do aplicativo Ledger Live.

A informação é relevante, pois recentemente um app fraudulento se passando pela Ledger Live apareceu na App Store da Apple e teria desviado US$ 9,5 milhões em criptomoedas de mais de 50 vítimas entre 7 e 13 de abril.

Desafios da autocustódia

A autocustódia de criptomoedas é uma opção bastante defendida pelos entusiastas da criptoeconomia por dar total autonomia ao usuário. Ao colocar seus ativos na própria carteira, o investidor não corre o risco, por exemplo, de perdê-los em caso de quebra da empresa de custódia, como ocorreu na falência da corretora FTX.

No entanto, a autocustódia também oferece uma série de riscos, como a da perda da chave. Como a chave de 24 palavras é a única coisa que dá acesso à carteira, quem a perde nunca mais poderá recuperar seus ativos. Não adianta processar a fabricante da carteira.

Além disso, há também a possibilidade de comprar um hardware falso no caso das carteiras físicas ou baixar a extensão/aplicativo errado no caso das carteiras de software, que têm acesso à internet.

Atualmente, a autocustódia não é mais a única opção para armazenar criptomoedas. Já existem empresas e bancos que oferecem o serviço de custódia para clientes, como o BTG Pactual.

Se mesmo assim o usuário quiser fazer autocustódia, ele deve tomar cuidados que são apontados pelo pesquisador que alertou para o esquema, tais quais:

Siga o Future of Money nas redes sociais: Instagram | X | YouTube |  Tik Tok