Desenvolvedores do Bitcoin Core divulgaram uma falha de privacidade que pode expor o detalhe que foi projetado para ocultar: o endereço IP do usuário. Uma correção será disponibilizada na versão 31.1.
A falha está no broadcast privado, um recurso opcional adicionado na versão 31.0 neste abril. Os desenvolvedores publicaram o aviso em 6 de junho.
Como o bug de privacidade volta contra os desenvolvedores
Transações por transmissão privada são enviadas através do Tor, uma rede de anonimato famosa por acessar a web escura, para que os destinatários nunca saibam de onde originaram.
No entanto, o aviso oficial advisory admite que essa promessa pode ser quebrada.
O problema começa quando o software tenta estabelecer uma conexão criptografada com outro computador na rede. Se essa tentativa falhar, ele retenta silenciosamente por meio de uma conexão normal e pula o Tor completamente. O destinatário então vê o endereço IP real do remetente e, com ele, sua localização aproximada.
Pior ainda, os atacantes não precisam de sorte. Um nó hostil pode rejeitar deliberadamente o handshake criptografado e forçar a tentativa de revelação.
O risco é crítico porque o livro-razão do bitcoin é público. Vincular uma transação a um endereço IP pode associar pagamentos a uma pessoa real.
Quem é afetado e o que fazer
O bug afeta apenas pessoas que executam a versão 31.0 e ativaram o recurso. As transações diárias da carteira permanecem inalteradas. Os desenvolvedores creditam ao pesquisador Eugene Siegel a descoberta.
Enquanto isso, os mercados mal se mexeram. O bitcoin (BTC) negocia próximo a US$ 63.700, pouco alterado no último dia. Os desenvolvedores agora enfrentam o trabalho mais tranquilo de reconstruir a confiança nos esforços de privacidade do bitcoin.
Até a versão 31.1 ser lançada, os usuários afetados devem desativar o recurso ou encaminhar todo o seu tráfego através do Tor. O episódio segue uma recente disputa de retransmissão de transação e revive perguntas sobre quem mantém o Bitcoin Core.