O mundo das criptomoedas foi subitamente abalado à meia-noite. Às 2h17 da manhã, o sistema de monitoramento na cadeia explodiu de repente, acionando 22 alarmes. Esses alarmes mostraram que os fundos de 22 Endereços de Bitcoin foram transferidos, totalizando 40142 BTC, no valor de cerca de 24,3 bilhões de dólares.

No entanto, o que realmente choca é a forma como esta transferência foi realizada. Todos os Endereços utilizados estão baseados em scripts P2WPKH conhecidos, mas as assinaturas não são provenientes dos detentores originais, mas sim geradas por novas chaves privadas controladas pelo Departamento de Justiça dos EUA. Esta descoberta imediatamente desencadeou uma investigação aprofundada por especialistas da indústria.

Os resultados da investigação são aterradores. Esses 22 endereços atacados foram criados entre 2020 e 2021 e usaram versões antigas de algumas aplicações de carteira. Essas versões utilizavam uma função aleatória fraca, cuja entropia aleatória é de apenas 112 bits, muito abaixo do padrão de segurança de 128 bits. Isso significa que, com um investimento de apenas 32 mil dólares para alugar recursos de computação em nuvem, é possível reproduzir a chave privada em apenas 4 dias através de um método de enumeração por força bruta. Essa forma de ataque, mais do que uma invasão de hackers, pode ser considerada uma "adivinhação de senhas" avançada.

Mais preocupante é que os dados na cadeia mostram que existem 1867 Endereços que usam o mesmo algoritmo de aleatoriedade fraca, dos quais o saldo não liquidado chega a 78940 BTC, cerca de 4,7 bilhões de dólares. Desses fundos, 57% já foram transferidos para bolsas, enquanto os restantes 43% ainda estão "adormecidos" nos Endereços originais, enfrentando o risco de serem "previstos" a qualquer momento.

Diante dessa situação severa, especialistas da indústria propuseram duas recomendações de segurança: a primeira é migrar os fundos para um ambiente verdadeiramente aleatório offline, com entropia superior a 256 bits, como usar dados para gerar números aleatórios e realizar assinaturas offline; a segunda é abandonar o uso de frases mnemônicas geradas automaticamente por carteiras quentes, optando por carteiras de hardware em conjunto com uma frase de senha, para alcançar isolamento físico e aumentar artificialmente a entropia.

No mundo da encriptação, a chave privada é equivalente a ativos, e a intensidade da aleatoriedade está diretamente relacionada à segurança dos fundos. Muitos investidores já começaram a agir, transferindo grandes quantias de dinheiro para carteiras frias e até destruindo dispositivos antigos que poderiam representar riscos de segurança. Este evento sem dúvida soou o alarme para toda a comunidade de ativos de criptografia, lembrando todos os participantes de reavaliar e fortalecer suas próprias medidas de segurança.