Hackers roubam US$ 750 mil de usuários da carteira CoinPouch |
Um servidor utilizado pelo aplicativo de iPhone CoinPouch, uma "carteira virtual" para várias criptomoedas, foi atacado e os invasores levaram US$ 750 mil (cerca de R$ 2,4 milhões) em valores da moeda Verge. O suporte à moeda Verge foi adicionado ao aplicativo em agosto e, desde o ataque, está indisponível.
Muitos usuários estão reclamando nas redes sociais e pedindo o dinheiro de volta. A CoinPouch era recomendada pelos criadores da moeda Verge e é um aplicativo autorizado pela Apple, distribuído no iTunes App Store. Os responsáveis pelo software, porém, afirmam que não houve problema no aplicativo, mas apenas em um servidor usado para fazer a intermediação dos usuários do CoinPouch com a moeda Verge.
Os programadores do aplicativo ainda não fornecerem nenhuma hipótese sobre como o roubo aconteceu e dizem não saber o que houve. Em um comunicado "publicado" no Dropbox, eles afirmaram que estão em contato com o provedor onde o servidor intermediário estava localizado para preservar a máquina e realizar uma perícia para identificar o que aconteceu.
Ainda de acordo com o mesmo comunicado, o servidor foi colocado no ar com a ajuda de Justin, um dos desenvolvedores da Verge.
Segundo o site Cryptovest, porém, Justin culpa a CoinPouch pelo ocorrido, justificando que seu envolvimento foi mínimo. Segundo ele, é possível que o servidor intermediário não autenticava as comunicações com o aplicativo, de modo que qualquer um podia emitir comandos para fazer transferências em nome dos usuários. A única "segurança" era o sigilo do endereço do servidor, que podia ser descoberto por quem analisasse o aplicativo.
Justin mostrou uma conversa com um desenvolvedores do CoinPouch, que parou de responder quando Justin questionou se o canal de comunicação do aplicativo com o servidor tinha autenticação.
Um endereço de carteira fornecido pela CoinPouch, que supostamente pertenceria ao hacker, também pode não estar associado à invasão. Em um fórum on-line, um usuário se manifestou dizendo que a carteira é dele e que as moedas foram adquiridas na Bittrex, uma casa de câmbio que opera com a moeda Verge. Se isso for verdade, isso significa que as moedas já foram vendidas e dificilmente poderão ser recuperadas.