Em 2009, o quadrinho online xkcd divulgou uma história em quadrinhos que esclarecia um dos conceitos mais notavelmente simples da segurança cibernética: o “ataque da chave inglesa de 5 dólares”. Na trama, um personagem de palito descreve como driblar criptografia avançada — não através de código ou força bruta, mas intimidando alguém com uma chave inglesa de US$ 5 até que revelem sua senha.
Lamentavelmente, o ataque da chave inglesa de 5 dólares não é mais motivo de piada. Incidentes muito piores estão ocorrendo na vida real, com frequência alarmante. Infratores não estão se esforçando para quebrar chaves privadas ou frases-senha — eles simplesmente abordam, sequestram detentores de criptomoedas e exigem acesso às carteiras, muitas vezes com violência.
O ataque mais recente aconteceu alguns dias atrás em Uganda, onde o fundador da Mitroplus Labs, Festo Ivaibi, foi supostamente raptado perto de sua residência e coagido sob ameaça de arma a transferir criptomoedas no valor de cerca de meio milhão de dólares.
Na França, uma sequência de sequestros terríveis e tentativas de sequestro tem deixado a comunidade cripto em alerta. Especificamente, o pai de um empreendedor de criptomoedas foi sequestrado em Paris no começo deste mês, sofrendo a amputação de um dedo para pressionar o pagamento de um resgate entre € 5 e € 7 milhões em criptoativos.
Ele foi libertado após dois dias em cativeiro, e cinco suspeitos foram detidos. Em outro caso, a filha grávida de um CEO de criptomoedas e seu filho foram alvo de uma tentativa de sequestro em plena luz do dia, também em Paris, frustrada por transeuntes. Esse foi um dos seis ataques que ocorreram na cidade desde janeiro.
Nos Estados Unidos, três adolescentes sequestraram um homem de Las Vegas em novembro, após ele participar de uma conferência sobre criptomoedas, e o levaram cerca de 100 quilômetros para o deserto de Mojave, onde exigiram acesso às suas criptomoedas.
Eles o abandonaram lá depois de roubar US$ 4 milhões em ativos digitais. Dois dos suspeitos, ambos de 16 anos e nativos da Flórida, foram recentemente detidos e agora encaram múltiplas acusações criminais, incluindo sequestro e furto.
Com o Bitcoin atingindo picos históricos recentemente, a atenção sobre você nunca foi tão intensa. Então, o que fazer quando o ponto fraco de sua segurança é você mesmo?
Uma nova safra de ferramentas, configurações de carteiras e protocolos físicos está emergindo para proteger os usuários contra coerção no mundo real. Veja como iniciar a pensar como um bilionário paranóico e especialista em criptomoedas.
1. Carteiras Multifatoriais
Carteiras multifatoriais exigem várias chaves privadas para autorizar uma transação. Uma configuração típica é 2 de 3: são necessárias duas chaves para movimentar fundos, embora existam três no total. Mesmo se um invasor conseguir acesso a apenas uma — digamos, sob coerção — ainda assim não será capaz de esvaziar seus ativos.
Recursos como Nunchuk e Casa possibilitam aos usuários distribuir as chaves em diferentes lugares (uma em casa, outra em um cofre bancário e a terceira com um advogado, por exemplo), tornando o roubo imediato inviável.
Possível inconveniente: os agressores podem forçá-lo a suplicar a outro detentor da chave para autorizar a transação.
2. Compartilhamento Secreto de Shamir
Várias carteiras, como a Trezor Model T, suportam o recurso conhecido como “Compartilhamento Secreto de Shamir”, que parece nome de livro infantil, porém é um algoritmo criptográfico que divide sua frase de recuperação em múltiplos fragmentos. Esses fragmentos podem ser distribuídos entre pessoas ou lugares confiáveis. Apenas um número mínimo (por exemplo, 3 de 5) de fragmentos é necessário para reconstruir a chave.
Outra alternativa é a Vault12, que permite designar guardiões — familiares, advogados ou sócios — para auxiliar na recuperação de sua carteira somente quando necessário.
Possível inconveniente: assim como as carteiras multifatoriais, o Compartilhamento Secreto de Shamir é tão seguro quanto forem resistentes à coerção os outros co-detentores dos fragmentos da chave.
3. Carteiras de Coopção e Fictícias
Diversas carteiras, como a Blockstream Jade, incluem “PINs de coopção”. Você insere um PIN para acessar sua carteira real. Insere outro — sob coerção — e abre uma carteira fictícia com um saldo modesto. É até possível configurar um PIN secreto que apaga completamente o dispositivo.
A negação plausível pode ser uma estratégia excelente, especialmente se você for capaz de improvisar.
Possível inconveniente: se o criminoso estiver monitorando suas atividades online, pode descobrir que você possui milhões — e não os R$ 1.300 que aparecem na carteira fictícia.
4. Ocultando seus Vestígios
Uma excelente maneira de evitar um ataque é não atrair atenção como alvo. Ferramentas de privacidade podem minimizar sua pegada visível na blockchain.
A criptomoeda Monero (XMR), por exemplo, utiliza endereços furtivos e assinaturas em anel para dificultar o rastreamento de transações. Carteiras de Bitcoin como a Wasabi implementam o CoinJoin, técnica que mescla moedas com as de outros usuários para ocultar a origem.
Possível inconveniente: ainda é possível identificar quem está movimentando grandes quantias em cripto, mesmo tentando dissimular sua riqueza.
5. Destruição Iminente e Remota
Diversas boas carteiras físicas, incluindo Trezor e Ledger, oferecem esse recurso, que pode ser acionado de diversas maneiras — como inserindo um PIN especial que incapacita o dispositivo imediatamente.
A carteira Samourai, anteriormente conhecida por sua segurança até ser fechada pelas autoridades americanas por suspeita de lavagem de dinheiro, apresentava destruição remota por SMS. Se souber como proceder, ainda é viável encontrar o software da Samourai em repositórios online e ativar esse recurso.
Possível inconveniente: inutilizar a carteira com uma arma apontada para a cabeça é arriscado; mensagens SMS podem ser interceptadas.
6. Carteiras Físicas de Isolamento Absoluto
O investidor avançado de criptomoedas guarda seus ativos em uma ou mais carteiras físicas. E, se essas carteiras estiverem em casa em vez de cofres ou esconderijos secretos, elas precisam estar muito bem dissimuladas.
Dispositivos como COLDCARD e Keystone Pro usam códigos QR ou cartões SD para assinar transações offline. Mesmo que um invasor tenha seu notebook, ainda assim precisará do dispositivo físico, do PIN e (em geral) de um coassinante.
Possível inconveniente: um ladrão muito determinado e violento provavelmente tem meios de forçá-lo a acessar sua carteira física. Afinal, todos já assistimos a filmes sobre isso.
7. Dispositivos Vestíveis de Pânico com Rastreamento GPS
Dispositivos compactos e vestíveis de emergência têm existido por um bom tempo. Foram concebidos para o típico paranoico de alta renda, não especificamente para o público de criptomoedas.
Dispositivos como o Silent Beacon têm a capacidade de ligar para qualquer número e enviar alertas com sua localização GPS para contatos designados. Também possibilitam comunicação bidirecional, auxiliando a vítima a dialogar com possíveis socorristas.
Possível inconveniente: utilizar um botão de pânico pode indicar a um criminoso que você está, de fato, protegendo algo de muito valor.
* Adaptado e revisado com permissão do Decrypt.
Fonte: Portal do Bitcoin
📲 Receba nosso conteúdo Grátis!
Entre no canal e receba nossos conteúdos assim que forem publicados. Sem spam. Só conteúdo que importa para te manter informado.
