Dogecoin, um projeto de criptomoeda com uma capitalização de mercado de mais de US$ 58 bilhões, foi recentemente atacado com um exploit que afetou fortemente sua estrutura de nós. O exploit, apelidado de “Dogereaper,” permitiu que o desenvolvedor do Sequentia Andreas Kohl travasse 69% de todos os nós do Dogecoin usando apenas um laptop antigo de El Salvador.
O exploit permite que qualquer invasor use o nome de qualquer nó para quebrá-lo remotamente. O
A conta do “Departamento de Eficiência do DOGE” no X comparou esse comportamento a um death note, um caderno fictício que permite ao usuário escrever o nome de uma pessoa para matá-la.
Embora o ataque tenha afetado fortemente os nós dogecoin, poderia ter sido pior: a vulnerabilidade já havia sido divulgada por Tobias Ruck, um desenvolvedor ecash, e Roqqit, outro desenvolvedor. Em conversa com news.bitcoin.com, Ruck declarou que descobriu essa vulnerabilidade pela primeira vez ao desenvolver o doged, uma alternativa ao Dogecoin Core. Ruck explicou que, ao testar o código portado para seu software alternativo, ele encontrou uma falha de segmentação que não havia sido corrigida no código original.
Ele então confirmou que a vulnerabilidade poderia atingir nós específicos e derrubá-los remotamente e começou a planejar a divulgação dessa falha para corrigir o problema.
Ruck explicou:
Não toleramos nós quebrados, nos esforçamos muito para manter a rede segura. O ataque poderia ter sido muito mais severo. Todos os stakeholders importantes, como mineradores, exchanges etc., foram corrigidos muito antes do ataque, e isso mostra o quão importante foi termos pisado com cuidado.
Nas palavras de Ruck, se a situação tivesse sido gerenciada de forma diferente, isso poderia ter sido muito pior para a rede e poderia ter sido interrompido completamente, afetando a operatividade do Dogecoin. As correções que mitigam esse problema foram aplicadas na última atualização do software do nó, e apenas nós desatualizados foram afetados.
Ruck concluiu:
Dado o baixo esforço do agressor em relação ao resultado, isso mostra novamente a gravidade.
Situações como essa ressaltam a relevância de uma equipe de desenvolvedores mantendo a base de código de cada projeto de cripto. Em última análise, um blockchain é um software, e sua segurança depende se o código é constantemente auditado ou abandonado.
