COOPERAÇÃO
E M R E D ES
8
Aspectos de segurança na rede Bitcoin
Douglas Emanuel da Silva
1Introdução
A Internet, hoje, é um instituto intrínseco na vida de qualquer pessoa. Nesse
sentido, sua extensa gama de serviços tem aproximado não só as pessoas, através
das redes sociais, mas, também, pessoas e empresas ou, até mesmo, entre empresas,
por meio do comércio eletrônico. No que tange ao comércio eletrônico, sua franca
expansão representa um mercado bilionário que, a cada dia, cresce seja em representatividade ou em demanda por serviços de segurança da informação. Deste modo, o
modelo de negócio econômico por trás da Internet muda constantemente. Precipuamente, a mudança ocorre sob dois aspectos: a forma de transferência de dinheiro
entre as partes e a garantia da segurança neste processo. E, exatamente neste contexto,
é que se insere o Bitcoin (PAUL, 2013; ULRICH, 2014).
O Bitcoin, notadamente, desde fins de 2012, tem ganhado destaque quase que
cotidiano na mídia, principalmente quanto a sua aceitação como moeda digital, regulação financeira e valor monetário. Porém, contrastando com a crescente populari221
dade, a segurança da rede Bitcoin (BRITO, CASTILLO, 2013; REID, 2012), incluindo
aspectos internos (protocolo Bitcoin) e externos (serviços de wallet e exchange),
detém destaque superficial, o que abre espaço para a especulação e a desinformação.
Portanto, é de grande relevância analisar sua segurança, cabendo abordar:
• O contexto tecnológico ao qual o Bitcoin se insere; identificando os
conceitos básicos da criptomoeda; o valor monetário e a aceitação como
bem de troca; aspectos gerais de segurança financeira; e, aspectos gerais de
segurança tecnológica;
• A tecnologia Bitcoin; criação da moeda; duplo gasto e blockchain;
anonimato na rede Bitcoin; e, transferência de Bitcoins;
• Serviços associados; endereço Bitcoin; wallets; exchanges;
• Segurança do protocolo Bitcoin; ataques de DoS; ataque de isolamento
de nós; spam de transações; atacantes com elevado poder computacional;
segmentação da blockchain; e, transaction malleability;
• Segurança dos serviços da rede Bitcoin; segurança nas carteiras; roubo
de Bitcoins;
• Considerações finais; perspectivas para o futuro; o Bitcoin na mídia;
avaliando a Segurança da Informação ao sistema Bitcoin; e, propostas para
trabalhos futuros;
2
Contextualizando o Bitcoin
O Bitcoin, por se tratar de uma tecnologia recente (DAI, 2014; NAKAMOTO,
2008), guarda inúmeros conceitos ainda não completamente analisados. Desta forma,
vários estudos (BRITO, CASTILLO, 2013; REID, 2014; KARAME, 2012; MOORE,
2013) estão sendo feitos no intuito de apontar deficiências ou, até mesmo, ratificar a
segurança do protocolo. Por tal, muitos querem entendê-lo, para poder usá-lo. Nesse
sentido, faz-se pertinente sua devida apresentação.
2.1 Origem
Cronologicamente, sua origem remonta ao artigo publicado em outubro de
2008 por Satoshi Nakamoto (NAKAMOTO, 2008) explicando o funcionamento de
um “sistema de dinheiro eletrônico peer-to-peer”. Posteriormente, no dia 9 de janeiro
de 2009 foi anunciado o lançamento do software oficial na lista de discussões online
222
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
de criptografia. Este software detém código-fonte aberto, permitindo o download,
modificação e a inspeção gratuita de suas funcões por qualquer indivíduo. Por conseguinte, tanto a origem quanto o funcionamento e as regras do sistema são completamente conhecidos, transparentes e publicamente disponíveis a quem se dispuser a
pesquisar (BITCOIN, 2014).
2.2 Conceituação
A priori, o termo Bitcoin se trata de um conjunto de tecnologias de criptografia e matemática complexa, mas, também, assume conceitos multidisciplinares
(BITCOIN, 2014; B. TIMOTHY, 2013; NAKAMOTO, 2008). Assim, assume diversos
pontos de vista, podendo, inclusive, ser explicado por dois pontos principais; ora
como modelo econômico financeiro, ora como um conjunto integrado de tecnologias e serviços da informação.
Sob o ponto de vista econômico financeiro (ANDREESEN, 2014; B. TIMOTHY, 2013; PAUL, 2013; ULRICH, 2014) temos: o Bitcoin trata-se de uma forma
de dinheiro, tal como o real, o dólar, o euro, porém puramente digital. Dessa forma,
em linhas gerais, dispõe das mesmas premissas pertinentes ao tema. Entretanto,
apresenta algumas particularidades, das quais se destacam: o seu valor monetário
é livremente definido pelo mercado; baixa liquidez; bastante suscetível a ataques
especulativos; não é emitida por nenhum governo; proporciona transações online
de forma rápida, barata (com quase nenhum custo) e segura; permite transferências
para qualquer lugar do mundo sem precisar confiar em um terceiro (por exemplo,
banco central) para realizar a tarefa; o usuário custodia o seu próprio saldo, isto é, o
usuário é depositante e depositário ao mesmo tempo; possui oferta limitada rígida
em 21 milhões de unidades, a ser atingida gradualmente no futuro.
Sob o ponto de vista de tecnologia e serviços da informação (BRITO,
CASTILLO, 2013, REID, 2012; BAKAMOTO, 2008), temos; o Bitcoin é um software
de código-fonte aberto que se ampara em uma rede de computadores distribuída
(peer-to-peer), inexistindo, neste contexto, servidor central nem entidade controlando
a rede, cada nó é simultaneamente cliente e servidor; sua criação dá-se pelo esforço
computacional de várias máquinas que ao resolver problemas complexos produzem
a moeda, em um processo conhecido como mineração; o core do sistema, isto é,
seu protocolo, baseia-se nas premissas de irreversibilidade de transações, garantia
de idoneidade das transferências através de segurança por meio de um complexo
Aspectos de segurança na rede Bitcoin
223
algoritmo criptográfico e uma relação de confiança entre os nós, assegurando um
consenso generalizado acerca da veracidade das transações realizadas.
Enfim, cumpre observar que o conceito de Bitcoin depende do ângulo em que
é analisado. Assim sendo, de acordo com o escopo desejado, podem ser dadas duas
conceituações, ampla e restrita. Em sentido amplo, temos por definição:
Rede distribuída e descentralizada de transferência de dados criptográficos
entre nós adjacentes cuja informação individualizada possa ser valorada
financeiramente como moeda.
E, em sentido restrito, como:
Moeda criptográfica puramente digital com valor agregado seja econômico
ou tecnológico.
2.3 Valor monetário
Em relação ao valor monetário, a análise (BARBER, 2012; B. TIMOTHY, 2013;
PAUL, 2013) deve ser feita sob o seguinte prisma: à medida que mais empresas utilizarem-no como forma de pagamento e mais consumidores e vendedores o acreditar
como meio de troca, consequentemente maior será sua liquidez e menor tende a ser
sua volatilidade. Desta forma, a cotação da moeda no mercado é mero reflexo do
seu crescimento e aceitação. Em um mercado que se autorregula, o Bitcoin terá uma
cotação mais estável permitindo investimentos saudáveis, de forma a atrair maior
adesão das instituições financeiras, vide bancos privados.
Adicionalmente, o mercado Bitcoin, necessita de casas de câmbio, exchange,
para trocá-lo por outras moedas nacionais, por exemplo dólar ou euro. Atualmente,
temos como principais casas de câmbio a Bitstamp (BISTAMP, 2014) (sediada na
Eslovênia), a MtGox (mt. gox, 2013) (baseada no Japão) – finalizou as atividades
por problemas de segurança – e a BTC-E (BTC-E, 2014) (com sede na Bulgária). No
Brasil, temos o MercadoBitcoin (Mercado Bitcoin, 2014), que, inclusive, na Campus
Party 2014 em São Paulo, apresentou o primeiro ATM (caixa eletrônico) de Bitcoin
da América do Sul.
224
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
2.4 Aspectos gerais de segurança financeira
Apesar dos benefícios do uso da moeda digital (PAUL, 2013), vários são os
questionamentos acerca da segurança do sistema. Ironicamente, o maior problema de
segurança sob a perspectiva econômica também é apontado como uma grande qualidade do sistema, qual seja; a falta de regulamentação por autoridade central. A confusão tem sido tanta neste aspecto que os governos e reguladores de mercado, ora estão
vacilantes quanto à aceitação do Bitcoin, ora receptivos. A análise da vantajosidade
como forma de pagamento, diante do inegável crescimento do seu uso, tem provocado uma onda de ações governamentais contrastantes e, por vezes, exacerbadas.
A título de exemplo (ULRICH, 2014), em relação ao mercado regulador,
temos: na Alemanha, o reconhecimento pelo ministério da fazenda do Bitcoin como
“unidade conta” e “dinheiro privado” para fins fiscais, contudo, demonstra preocupação sobre o uso da moeda, principalmente quanto ao seu caráter especulativo; na
China, especificamente em Hong Kong, a autoridade reguladora deixa claro que está
monitorando a atividade da moeda para fins de verificar instabilidades no mercado
financeiro local; na Bélgica, o banco nacional não tem intenções de regular a moeda
além das próprias leis vigentes, permitindo, assim, o seu uso; e, em Cingapura, local
onde a moeda mostra-se mais aceitável, inclusive com parecer favorável do banco
central, dando um tratamento legal às transações possíveis envolvendo o Bitcoin, a
IRAS (Inland Revenue Authority of Singapure), definiu detalhadamente a metodologia de tributação do Bitcoin.
De fato, a preocupação econômica com a falta de regulamentação mostra-se
procedente, ainda mais ao avaliarmos a sonegação de impostos, evasão de divisas
nacionais e aparente “facilidade” de uso da moeda para fins ilícitos.
2.5 Aspectos gerais de segurança tecnológica
Em relação à segurança sob a ótica tecnológica temos dois aspectos a tratar; a
segurança interna, isto é, do protocolo por trás do Bitcoin e a segurança externa, isto
é, dos serviços associados que prestam a manipulação (transações), guarda e troca
da moeda.
O protocolo da moeda, em si, encontra-se em processo contínuo de amadurecimento (BRITO, CASTILLO, 2013). Apesar de estável e suficientemente compreendido
pela comunidade, por vezes, alguns erros estão sendo reportados e corrigidos pelos
desenvolvedores do software, por exemplo, o bug, chamado de “transaction malleability” que ocasionou a quebra de uma importante exchange, MtGox (ULRICH, 2014).
Aspectos de segurança na rede Bitcoin
225
Portanto, além de cautela, faz-se necessário o acompanhamento de perto
acerca do desenvolvimento do software. Por outro lado, na prática, o elo mais fraco
da corrente tem sido a segurança externa. Esses serviços externos são executados,
basicamente, por exchanges e wallets, ambos os serviços disponíveis no modo online.
Por tal, temos todos os riscos associados à utilização deste tipo de serviço, sendo o
usuário sujeito a toda sorte de inconveniências, tais como: ataques de negação de
serviço (DoS), roubo de informações, propagação de malwares, vírus etc.
3
A tecnologia Bitcoin
O principal trunfo do protocolo Bitcoin é a eliminação do intermediário centralizador, criando um sistema onde a confiança “cega” não é necessária, de modo que
a consciência coletiva aquiesce quanto à veracidade das informações, registrando-a
e propagando-a por toda a rede. Essa é a essência do protocolo Bitcoin (REID, 2012;
NAKAMOTO, 2008).
Diante ao exposto, percebe-se que as tecnologias do Bitcoin, em suma, convergem para dois pontos, quais sejam; transparência e descentralização. Quanto ao primeiro,
como principal tecnologia, temos: o “blockchain”, quanto ao segundo, temos: a “transferência de moeda”, e quanto a ambos, temos: o “duplo gasto”, a “criação da moeda” e o
“anonimato da rede”. E, justamente, sobre estes pontos serão discorridos a seguir.
3.1 Criação da moeda
O Bitcoin, apesar de ser puramente digital, não surge do nada, isto é, não é
arbitrariamente criado por mera vontade do usuário. O processo de criação consiste
do resultado do processamento matemático, dito esforço computacional, de colaboradores da rede denominados de mineradores (LIU, 2013; ULRICH, 2014).
Os mineradores, ao realizar o processamento do software Bitcoin, buscam
encontrar uma sequência de dados (é a resposta do desafio, denominado “nonce”, na
verdade, trata-se de um número que tem o seu valor influenciado pelo grau de dificuldade do bloco, definido pelo software básico do Bitcoin). Esta sequência de dados
deve solucionar a seguinte situação:
(nonce) + (hash do bloco anterior da cadeia do blockchain) + (hash do bloco
a ser processado) = (hash final específico, que inicie com 12 zeros) [20].
226
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Quando tal combinação ocorre, o minerador ganha um prêmio em Bitcoins
proporcional ao trabalho executado (atualmente 25 Bitcoins). Justamente este
prêmio, representa as novas moedas que surgem na rede.
Vale ressaltar que esta “proporcionalidade” diz respeito ao esforço individual
de processamento em encontrar a sequencia de dados válido, ou seja, o trabalho pode
ser totalmente individual, caso em que o minerador leva 100% do prêmio, ou parcelado, pois existem grupos (pools) de mineradores que unem esforços para encontrar
a resposta, nesse caso, a recompensa é partilhada de acordo com critérios definidos
pelo pool.
Assim sendo, é importante frisar um ponto. O software da rede gradativamente irá reduzir a quantidade de Bitcoins como prêmio por bloco encontrado. Esse
efeito, ao longo do tempo, irá reduzir a taxa com que a moeda será inserida na rede
até chegar ao seu limite rígido.
Portanto, esse processo de mineração não continuará indefinidamente. O
Bitcoin foi projetado de modo que somente um número limitado e previamente
conhecido poderá ser minerado, cuja quantidade arbitrária escolhida foi de 21
milhões de moedas. Uma vez que a última unidade tenha sido encontrada, os mineradores que direcionarem sua potência de processamento para a verificação das
transações serão recompensados com taxas de serviço em vez de Bitcoins recém-criados. Isso garante que os mineradores ainda tenham um incentivo de manter a
rede operando após à extração do último Bitcoin.
3.2 Duplo gasto e a blockchain
Antes do Bitcoin, as transações online requeriam a participação de um terceiro
que além de deter a confiança dos interessados na transação, atuava intermediando o
procedimento. Exemplificando, se Pedro quisesse enviar dinheiro a Flávia por meio
da internet, ele teria que depender de serviços de terceiros como, por exemplo, uma
operadora de cartão de crédito, que, por sua vez, mantêm um registro dos saldos
em conta dos clientes. Assim, caso Pedro envie dinheiro para Flávia, a intermediária
debita a quantia de sua conta, creditando-a na de Flávia. Sem tais intermediários,
abriria espaço para que Pedro gastasse a moeda digital diversas vezes.
Neste contexto, imagine que não haja intermediários com registros históricos, e que o dinheiro digital seja simplesmente um arquivo de computador, da
mesma forma que documentos digitais. Pedro, então, poderia enviar para Flávia a
moeda simplesmente anexando o “arquivo de dinheiro” em uma mensagem. Mas,
Aspectos de segurança na rede Bitcoin
227
assim como ocorre com um e-mail, enviar um arquivo como anexo não o remove
do computador originário da mensagem eletrônica. Pedro reteria a cópia do arquivo
após tê-lo enviado em anexo à mensagem. Dessa forma, ele poderia facilmente enviar
a mesma quantia à outra pessoa qualquer. Esta situação, em ciência da computação, é
conhecida como o problema do “duplo gasto”, e, até a chegada do Bitcoin, essa questão só poderia ser solucionada por meio de um terceiro que empregasse um registro
histórico de transações (KARAME, 2012; MORRE, 2013).
A invenção do Bitcoin é revolucionária neste sentido, pois, pela primeira vez,
o problema do duplo gasto pode ser resolvido sem a necessidade de um terceiro.
Simplificadamente, o Bitcoin o faz distribuindo o registro histórico a todos os usuários do sistema via rede peer-to-peer. Todas as transações que ocorrem na economia
Bitcoin são registradas em uma espécie de livro-razão público e distribuído chamado
de blockchain (corrente de blocos ou simplesmente um registro público de transações), o que nada mais é do que um grande banco de dados público, contendo o
histórico de todas as transações realizadas.
Novas transações são verificadas contrapondo-as com a blockchain de modo a
assegurar que os mesmos Bitcoins não tenham sido previamente gastos, eliminando
o problema do duplo gasto. A rede global peer-to-peer, composta de milhares de
usuários, torna-se o próprio intermediário. Assim, Pedro e Flávia podem transacionar sem a presença de um intermediário.
Portanto, as transações são verificadas, e o duplo gasto é prevenido, por meio
do uso de criptografia de chave pública. Tal mecanismo exige que a cada usuário sejam
atribuídas duas “chaves”, uma privada, que é mantida em segredo, e outra pública,
que pode ser compartilhada com todos. Quando Pedro decide transferir Bitcoins a
Flávia, ele cria uma mensagem, chamada de “transação”, que contém a chave pública
de Flávia, assinando com sua chave privada. Dessa forma, utilizando a chave pública
de Pedro, qualquer um pode verificar que a transação foi de fato assinada com sua
chave privada, sendo, assim, uma troca autêntica, e que Flávia é a nova proprietária
dos fundos. A transação é registrada, carimbada com data e hora e exposta em um
“bloco” da blockchain. A criptografia de chave pública garante que todos os computadores na rede tenham um registro constantemente atualizado e verificado de todas as
transações dentro da rede, o que impede o duplo gasto dentre outros tipos de fraude
(RARAME, 2012).
228
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
3.3 Anonimato na rede Bitcoin
O suposto anonimato que a moeda digital permite aos seus usuários provém
de um erro de entendimento não só do Bitcoin, mas da ideia de moeda digital em
si (REID, 2008). Observe que; se uma pessoa entrega para outra em dinheiro “vivo”,
não há intermediário nem registro da transação. E, se neste processo, ambos não se
conhecerem, pode-se dizer que a transação é completamente anônima. Deduz-se,
que o anonimato é fato comum no nosso dia-a-dia, o que não ocorre em se tratando
da moeda digital.
Apesar das transações online até hoje necessitarem de um terceiro intermediário, elas não são anônimas. A Mastercard, por exemplo, mantém o registro de toda
a vez que seus usuários enviam dinheiro. E devido às contas na Mastercard serem
amarradas nas respectivas contas bancárias, as identidades dos envolvidos na transação é provavelmente conhecido.
O Bitcoin encaixa-se em algum ponto entre esses dois extremos. Por um lado,
Bitcoins são como dinheiro vivo, pois, quando um usuário envia moedas a outro, o
primeiro não mais as possui, e o outro passa a possuí-los, não há nenhum terceiro
intermediário entre eles que conhece suas respectivas identidades. Por outro lado, o
fato de que a transação ocorreu entre duas chaves públicas, em determinado dia e
hora, com certa quantidade, além de outras informações, é registrado na blockchain.
Na realidade, qualquer e toda transação já efetuada na história da economia Bitcoin
pode ser vista na blockchain.
Enquanto as chaves públicas de todas as transações, também conhecidas como
“endereços Bitcoin”, são registradas na blockchain, tais chaves não são vinculadas à
identidade de ninguém. Porém, se a identidade de uma pessoa estivesse associada a
uma chave pública, poderíamos vasculhar as transações na blockchain e facilmente
ver todas as transações associadas a essa chave. Dessa forma, ainda que o Bitcoin
seja bastante semelhante ao dinheiro vivo, em que as partes podem transacionar sem
revelar suas identidades a um terceiro ou entre si, é também distinto do dinheiro
vivo, pois todas as transações de e para um endereço Bitcoin qualquer podem ser
rastreadas. Nesse sentido, Bitcoin não garante o anonimato, mas permite o uso de
pseudônimo.
Vincular uma identidade do mundo real a um endereço Bitcoin não é tão difícil quanto se possa imaginar. Para começar, a identidade de uma pessoa (ou pelo
menos informação de identificação, como um endereço IP) é frequentemente registrada quando alguém realiza uma transação de Bitcoin em uma página web ou troca
Aspectos de segurança na rede Bitcoin
229
dólares por Bitcoins em uma casa de câmbio, exchanges. Para aumentar as chances de
manter o pseudônimo, seria necessário empregar softwares de anonimato como Tor,
e ter o cui­dado de nunca transacionar com um endereço Bitcoin na qual poderia ser
rastreada a identidade do usuário.
Diante ao exposto, os usuários de Bitcoin desfrutam de um nível muito maior
de privacidade do que usuários de serviços tradicionais de transferência digital, os
quais precisam fornecer informação pessoal detalhada a terceiros que facilitam a
troca financeira.
Ainda que o Bitcoin seja frequentemente referido como uma moeda “anônima”,
na realidade, é bastante difícil permanecer anônimo na rede Bitcoin. Pseudônimos
ligados a transações armazenadas no registro público podem ser identificados anos
após a realização de uma troca. Por fim, uma vez que as exchanges estejam em dia com
as regulações financeiras requeridas, tal qual ocorre com os intermediários financeiros tradicionais, o anonimato será ainda menos garantido, porque, certamente, será
exigida a coleta de dados pessoais de seus clientes.
3.4 Transferência de Bitcoins
Uma transferência nada mais é do que a passagem da titularidade da moeda
entre um endereço e outro. Primeiramente, é importante frisar que a própria rede,
por meio da leitura da blockchain, aquiesce quanto ao saldo disponível em cada endereço. Este consenso visa evitar fraudes na rede (OBER, KATZENBEISSER, HAMACHER, 2013; ULRICH, 2014; BITCOIN, 2014).
Antes mesmo de efetuar qualquer transferência, o usuário terá que se preparar,
pois, obrigatoriamente, deve-se utilizar uma carteira. Assim, no primeiro momento,
o usuário deverá escolher o tipo de carteira desejado, inclusive, caso a carteira seja
instalado em sua máquina local (software wallet), o usuário deverá sincronizar-se com a blockchain, isto é, deve-se efetuar o download de toda a blockchain, de
modo que possua o status completo da rede. Após a sincronia, a carteira está apta
a transferir.
O processo de transferência em si é bem simples. Vide esquema na figura 1.
230
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Figura 1 – Transferência de Bitcoins
Percebe-se que o processo de transação tem como entrada o hash da transação
anterior e a chave pública do próximo dono. Ambos passam por um processo de
soma e, por fim, assinados com a chave privada do dono atual. O portador da moeda
envia esta mensagem assinada por broadcast através da rede.
À medida que os nós da rede recebem a mensagem criptografada, verificam
sua validade abrindo a mensagem com a chave pública do antigo dono e, também por
broadcast, mandam mensagens confirmando a transferência. Forma-se, assim, um
consenso de validade da transação, porém, trata-se de uma confirmação “regional”.
O próximo passo é a ratificação “global” da transação por toda a rede. O
conjunto de todas as transações dos últimos 10 minutos, segundo o timestamp da
blockchain, é usado pelos mineradores no processo de criação de blocos, denominado “proof of work”, “prova de trabalho”, que irá compor a blockchain. Desse modo,
os mineradores processam essa coletânea de transações e executando o algoritmo do
Bitcoin, mineram encontrando como resultado um bloco válido que irá compor a
blockchain. Só então, toda a rede confirma a transação, tornando-a irrevogável.
Uma verdadeira linha do tempo de transações é incluída de forma contínua
na cadeia de blocos da blockchain. Estes blocos não podem ser alterados sem refazer
todo o trabalho requerido para criar os blocos posteriores ao modificado. A “cadeia
longa”, isto é, a maior sequencia de blocos da blockchain, serve não somente como
prova de uma sequencia de eventos, mas também registra a sequencia de eventos que
foi verificada pela maioria do poder computacional da rede Bitcoin.
Aspectos de segurança na rede Bitcoin
231
3.5 Serviços Associados
3.5.1 Endereço Bitcoins
O endereço Bitcoin corresponde a um identificador único composto por letras
e números case sensitive, começando com o dígito 1 ou 3, por exemplo, 3FfmbHfpoiZjKFvyi1okTjJJusN455paPI, que caracteriza uma conta válida e capaz de receber e
enviar moedas. Cada endereço é criado através de um algoritmo que associa a um par
de chaves criptográficas, pública e privada, utilizando o algoritmo ECDSA (Elliptc
curve DAS).
Algumas particularidades adicionais quanto ao endereço Bitcoin devem ser
observadas. Primeiro, se o usuário perder a chave privada associada ao endereço,
fatalmente não conseguirá mais ter acesso ao mesmo, e por tal, perderá o saldo disponível neste endereço. Dessa forma, é de fundamental importância que o usuário tenha
backup das chaves. Segundo é computacionalmente possível, porém improvável, que
duas pessoas tenham o mesmo endereço Bitcoin podendo, assim, receber e gastar seu
saldo. Isto não corresponde necessariamente a uma falha de segurança, apesar de ser
uma deficiência do protocolo.
Existe um número gigantesco de possibilidades de endereços, assim, até por
questões de segurança e anonimato, muitas pessoas associam a cada transferência um
endereço Bitcoin diferente. Por tal, é comum uma carteira administrar vários endereços, apresentando como saldo a soma de todos os endereços por ela gerenciados.
3.5.2 Wallets
Wallets Bitcoin ou genericamente carteiras, corresponde a um serviço de
gerenciamento de endereços Bitcoin. Suas principais funcionalidades consistem em:
envio e recebimento de Bitcoins; geração de endereços; gerenciar saldos, e, proteger
as chaves do usuário por meio de senhas e criptografia dos dados.
Existem, atualmente, diversos tipos de carteira, das quais podem ser classificadas em: web wallets, software wallets e paper wallets.
Os softwares wallets são programas que podem ser instalados nos dispositivos do usuário capazes de se conectar diretamente à rede Bitcoin, sincronizando a
blockchain localmente, e permitem a manipulação da moeda. Ainda, podem conter
recursos adicionais como a leitura de códigos QR. Como exemplos, temos o Multibit,
vide figura 2, e o Bitcoin-Qt.
232
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Figura 2 –Exemplo de software wallet
Os web wallets são sites web que disponibilizam o mesmo serviço que o software
wallet, porém com alguns recursos limitados, a depender de cada site, e, normalmente, cobram taxas de manutenção de conta e transações. Sua principal vantagem é
o fornecimento de segurança e gerenciamento para as chaves privadas dos usuários e
desnecessidade de ter que sincronizar como a blockchain. Como desvantajem, existe
a dependência do serviço por parte do usuário e o risco associado à idoneidade do
site. Como exemplo temos a Coinbase, vide figura 3.
Figura 3 – Exemplo de web wallet
Aspectos de segurança na rede Bitcoin
233
Os paper wallets são impressões em papel dos endereços Bitcoin mais o par de
chaves privada e pública. É considerado um meio offline de gerenciamento de chaves
que se aproxima da noção de moeda tradicional.
Figura 3 – Exemplo de paper wallet
3.5.3 Exchanges
As exchanges fazem o papel de porta na rede Bitcoin, seja de entrada seja de
saída. O seu funcionamento é idêntico a uma casa de câmbio, ou seja, uma parte
troca o Bitcoin por moeda nacional com a intermediação da exchange, que sobre a
operação cobra uma taxa. Entretanto, até pela natureza do Bitcoin, existem algumas
particularidades.
A maioria das exchanges exigem que seus usuários abram contas na qual depositam o dinheiro a ser transacionado, ou seja, funcionam como depositário, e no caso
do Bitcoin, funcionam como uma espécie de wallet. Assim, deve haver uma relação
de confiança entre usuário e a exchange. Relação esta, ficou muito abalada após o
caso MtGox (ULRICH, 2014; ULRICH, 2014b). Hoje, muito se têm discutido acerca
da segurança dessas empresas e de sua metodologia de serviço, inclusive, com forte
pressão pela regulamentação de suas atividades.
4
Segurança da rede Bitcoin
É necessário cautela antes de rotular o Bitcoin como sendo seguro ou inseguro.
Embora seu código aberto demonstre transparência, o caráter descentralizado e a
falta de autoridade central mostram incerteza e certa obscuridade. Contudo, não se
deve, precipitadamente, julgá-lo. É possível, porém improvável, que um bug recém-descoberto ou vulnerabilidade de segurança no cliente padrão possa levar a uma
divisão da blockchain, ou a necessidade de cada nó ter de se atualizar em um curto
234
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
período de tempo. Por exemplo, uma única mensagem adaptada para explorar uma
vulnerabilidade específica, quando se espalhar de nó a nó, poderia causar o desligamento de toda a rede em poucas horas.
Erros que quebram o anonimato do usuário, ao contrário, foram identificados, uma vez que o cárater de “pseudo-anonimato” do Bitcoin foi, até então, menos
analisado. Notadamente, o ritmo de atualizações do software básico, em suas seções
críticas do código fonte está sendo atualizado com uma frequência cada vez menor,
o que demonstra estabilidade do código. Ainda, o cliente Bitcoin desenvolvido por
Satoshi está on-line por mais de 3 anos, sem nenhuma vulnerabilidade explorada de
forma a comprometer todo o sistema.
4.1 Segurança do Protocolo Bitcoin.
4.1.1 Ataques de Denial of Service (DoS)
O cliente padrão Bitcoin possui, embutido, prevenção moderada contra
ataques de DoS, mas é provável que ainda possa ser vulnerável a ataques mais sofisticados (DAVID SCHNARTZ, 2011). O cliente está programado para derrubar conexões com qualquer nó que esteja enviando dados Bitcoin não válidos (informação
que não é nem uma transação válida, bloco ou outra mensagem propriamente dita).
Se o cliente estabelecer apenas conexões de saída (outbound), seria muito difícil de
sobrecarregá-lo com um ataque DoS. Entretanto, se ele aceitar conexões de entrada
(inbound), constantes solicitações de reconexão por parte de um nó malicioso com
endereços diferentes, caracterizariam um ataque DoS.
Um nó malicioso pode tentar usar mensagens válidas Bitcoin de transação
para executar um ataque de negação de serviço, mas isso exigiria uma grande quantidade de moedas.
A execução correta de um ataque DoS contra uma cliente Bitcoin poderia
desconectá-lo ou dificultar transações não maliciosas de serem transmitidas através
da rede. No primeiro cenário, é um caso de um ataque bem conhecido de DoS, não
sendo exclusivo para o Bitcoin. O segundo caso é mais explorado no tópico 4. 1. 3.
4.1.2 Ataque de isolamento de nós
Este método de ataque caracteriza-se por um atacante tentar encher a rede
com clientes comprometidos, espécie de ataque man-in-the-middle (MOORE, 2013).
Dessa forma, muito provavelmente, um cliente ao se conectar nesta rede estaria
Aspectos de segurança na rede Bitcoin
235
ligado a nós sob o controle do atacante, isolando-o da rede “honesta”. Assim, um nó
estaria suscetível a uma grande gama de outros ataques.
Este estado poderia ser explorado (no mínimo) das seguintes formas: o
atacante pode se recusar a retransmitir blocos e transações do “mundo externo”,
desconectando o nó atacado da rede (negação de serviço); o atacante pode transmitir
apenas os blocos por ele criados, colocando o nó atacado em uma rede separada,
criando condições para ataques de duplo gasto; caso o cliente atacado confie em transações sem confirmações, o atacante pode simplesmente filtrar certas transações para
executar um ataque de duplo gasto.
4.1.3 Spam de Transações.
O cliente Bitcoin pode, facilmente, transacionar consigo mesmo, isto é, entre
endereços gerenciados pelo mesmo indivíduo, repetidamente (BITCOIN WIKI,
2014). Entretanto, esta facilidade pode ser utilizada para atacar a rede. Caso todas as
transações dentro do timestamp (10 minutos) preencherem um bloco com o tamanho máximo de 1MB, as outras transações dentro do período serão adiadas para
processamento e inclusão no próximo bloco da blockchain. Representa, assim, um
tipo de ataque de negação de serviço.
Contudo, a formação do bloco de transações possui algumas particularidades.
Primeiro, o protocolo estabelece o máximo de 50KB de transações grátis por bloco
(o Bitcoin segue um conjunto de regras específicas para cálculo da taxa de transação)
(BITCOIN WIKI, 2014), as demais transações possuem taxas. Assim, neste cenário,
caso o atacante queira comprometer todas as transações, findos os 50KB gratuitos,
as taxas podem ficar até 0,01 Bitcoin por KB. Um atacante teria um grande gasto
na operação. Mesmo que um atacante queira desperdiçar dinheiro, na montagem
do bloco que irá compor a blockchain, existe um mecanismo de prioridade pelo
tempo desde que as moedas foram gastas pela última vez. Desse modo, conclui-se
que ataques de spam de transações são pouco eficazes.
4.1.4 Atacantes com elevado poder computacional.
Um atacante que controlar mais que 50% do poder computacional da rede
pode, pelo período em que estiver no controle, excluir e modificar a ordem das transações (BITCOIN, 2014).
Isto permitirá, durante o tempo em que estiver no controle: reverter às transações por ele enviadas; abrir espaço para o duplo gasto; evitar que algumas ou todas
236
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
as transações recebam qualquer confirmação; impedir que alguns ou todos os outros
mineradores de minerar qualquer bloco válido.
Os atacantes não poderão: reverter transações de outras pessoas; prevenir
transações serem enviadas (exibirão como status “zero”, “não confirmada”); alterar o
número de moedas geradas por bloco; criar moedas de forma off-line; enviar moedas
que nunca pertenceram a ele.
Com menos de 50%, o mesmo tipo de ataque é possível, porém com menos de
100% de taxa de sucesso. Por exemplo, alguém com 40% do poder de computação da
rede pode produzir 6 confirmações de transações com uma taxa de sucesso de 50%.
É muito difícil mudar blocos consolidados, e, é exponencialmente mais difícil
retroceder na linha do tempo da blockchain. Em suma, este ataque exige muito poder
sobre a rede, sendo difícil alguém tentar fazê-lo. Uma pessoa visando lucro ganha mais,
apenas seguindo as regras, e até mesmo alguém que tentar destruir o sistema provavelmente vai encontrar outros ataques mais atraentes. No entanto, se este ataque for
executado com sucesso, será difícil ou impossível “desembaraçar” a confusão criada,
quaisquer alterações executadas pelo atacante podem se tornar permanentes.
4.1.5 Segmentação da blockchain
Como o Bitcoin é um sistema peer-to-peer e não existe uma autoridade central
para resolver disputas sobre a integridade dos dados, cada cliente tem que executar
essa tarefa. Em condições normais, um cliente recebe, de outros nós, dados acerca
dos novos blocos e usa a blockchain como parâmetro para a confirmação das transações e as que ainda estão para ser incluídas em um bloco (BITCOIN WIKI, 2014).
Caso exista uma “segmentação” da blockchain, devido a uma tentativa de
ataque, diferença em relação a versões ou modificações dos clientes, isolamento
da internet em certas regiões, a cadeia mais longa é considerada segura para todos
os fins, todas as transações que fazem parte da cadeia mais curta e não forem
encontradas na cadeia mais longa são tratadas como se não fizessem parte de
nenhum bloco.
Contudo, quando as cadeias dos blocos segmentados forem recombinadas,
todas as transações geradas na cadeia mais curta serão readicionadas ao conjunto de
transações da cadeia longa, porém, o status destas transações será reiniciado com o
status de “não confirmada”, mas ainda sim permanecerão válidas. Nenhuma transação será perdida a menos que a segmentação persista por mais de 120 blocos. Após
este limiar, os blocos da cadeia curta começarão a “amadurecer” fazendo com que
Aspectos de segurança na rede Bitcoin
237
todas as transações com base nessa cadeia se tornarem inválidas quando recombinado com a cadeia mais longa.
4.1.6 Transaction Malleability
Um bug no software Bitcoin permite que um hacker possa se utilizar da rede
Bitcoin para alterar os detalhes da transação no intuito de simular que uma dada
transferência foi malsucedida, quando, de fato, ocorreu. Este defeito, conhecido como
transaction malleability (maleabilidade de transação) torna possível para um terceiro
alterar o hash de qualquer transação recém-emitida sem invalidar a assinatura, desta
forma, resultando em uma operação válida, porém com um hash diferente.
Tomemos um exemplo para melhor compreensão do processo do bug. Alice
deseja transferir alguns Bitcoins para Bob. Alice, então, acessa a sua carteira, navega
até a guia de transferência, define a quantia a ser enviada e insere o endereço Bitcoin
do destinatário, que nada mais é do que a chave pública de Bob. Internamente, a
carteira de Alice verifica dentre os endereços gerenciados a combinação com a menor
quantidade de inputs gerando a menor transação possível em tamanho (bytes). Neste
ponto, cabe um adendo, Alice, na verdade, está utilizando uma transferência de
Bitcoins recebida de alguém, em algum momento no passado, definindo um valor,
assinando e transferindo para Bob. Ao executar este processo, um registro de transação é criado, contendo o seguinte: uma referência para a transação anterior (aquele
em que Alice recebeu o dinheiro que ela agora está transmitindo para Bob), uma assinatura digital privada que Alice usa para provar que os Bitcoins da transação anterior
foram, de fato, dados a ela, o valor que ela está transferindo para Bob, e um endereço
digital Bitcoin, onde Bob receberá o dinheiro, vide figura 4.
Figura 4 – Registro de Gravação de Transação
238
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Então, esse registro da transação é enviado para os nós mineradores, que, em
seguida, irão verificá-lo. Se a transação for legal, ela será adicionadoa ao bloco que irá
compor a blockchain. Alice, assim, terá obtido êxito em sua transferência para Bob.
Agora, para que Bob possa usar esses Bitcoins, ele tem que ter uma maneira de
fazer referência a essa transação, de apontá-lo na blockchain. O protocolo Bitcoin facilita
isso através da criação de uma identificação única para cada transação. Essa identificação
única é gerada rodando o conteúdo do registro da transação através de função hash.
Figura 5 – Geração da identificação única de transferência
O registro da transação é, então, submetido a uma função hash que produz
uma sequência de 64 caracteres, vide figura 5.
Essa sequência de saída varia muito com pequenas alterações para o registro
de transações de entrada, que é uma das razões pelas quais ele pode servir de forma
tão eficaz como um identificador exclusivo. Se olharmos para um transação em qualquer site que lhe permite explorar a blockchain, como o site blockchain. info, vide
figura 6, certamente, podemos obter o identificador único de cada transferência.
Figura 6 – Verificação do código único de uma transação
Aspectos de segurança na rede Bitcoin
239
Por fim, quando um registro de transação é enviado para os nós mineradores,
é possível para um hacker ajustá-lo o suficiente para mudar o hash, mas não o suficiente para tornar a transferência inválida. Uma das maneiras pelas quais o hacker
pode fazer isto é modificar ligeiramente a assinatura digital de tal modo que ainda é
reconhecida como a assinatura válida, porém, o resultado do hash da transação é um
hash completamente diferente, vide figura 7.
Figura 7 – Comparação de Hash’s
Percebe-se diante ao exposto que a única coisa que está mudando é o ID exclusivo usado para referenciar essa transação, pois as partes da transferência permanecem as mesmas. Até aí, apesar de ser um bug, não parece ser um grande problema.
Contudo, as coisas podem se complicar, como de fato ocorreu com a exchange
MtGox. Quando alguém deseja negociar pelo sistema da empresa, primeiramente, o
cliente deve transferir seus Bitcoins para a carteira da empresa que passa a custodiá-los. Desse modo, o cliente pode efetuar as mais diversas operações (compra e venda)
pelo sistema da exchange sem maiores problemas. Porém, assim que o cliente decide
solicitar o cashout, isto é, a retirada do dinheiro em conta, a empresa deve transferir
os Bitcoins de sua própria carteira para o endereço fornecido pelo cliente. Quando
isso acontece, a empresa arquiva em seu banco de dados um registro da operação
com a gravação do hash da transferência. Dessa forma, se algo der errado, a MTGox
tem uma lista de referências que podem ser usados ​​para rastrear suas transações.
240
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Como bem vimos, o hash da transação pode ser mudado sem invalidar a transferência, sendo, posteriormente, integrado na blockchain sem maiores dificuldades.
Portanto, ambos os hash’s não combinam, vide figura 8.
Figura 8 – Diferença dos Hash’s no registro da MTGox
O cliente da MTGox pode, então afirmar que não recebeu a transferência solicitada. Diante disso, a empresa ao comparar seus registros com a blockchain não irá
encontrar a equivalência com o hash do registro armazenado. O resultado é que o
empresa acaba pagando o cliente mais de uma vez.
4.2 Segurança dos serviços na rede Bitcoin
4.2.1 Segurança nas carteiras
Como visto no tópico 3. 5. 2, existem várias espécies de carteiras disponíveis
para armazenar Bitcoins, cada qual com características e funcionalidades distintas.
Assim, certas particularidades de segurança são importantes de serem mencionadas.
Caso o usuário detenha uma boa quantidade de moedas a guardar, é interessante adotar uma carteira de software, pois permitem além da gerencia local dos
endereços, a criptografia do arquivo da carteira com senha forte. Contudo, faz-se
necessário guardar este arquivo em um local seguro, pois se o perder, o seu dinheiro
ficará inacessível [50].
Em certos casos, o usuário precisa ter seus Bitcoins disponíveis longe do seu
computador. Nesta situação, deve-se olhar para qualquer carteira online ou móvel.
Aspectos de segurança na rede Bitcoin
241
Para este tipo de carteira, uma boa dica, é não guardar mais dinheiro do que se possa
dar ao luxo de perder, principalmente porque a finalidade de carteiras web é prover
uma maneira fácil e conveniente de acessar algum dinheiro, não uma forma de guardar suas economias. Carteiras online são especialmente vulneráveis ​​a que seus servidores sejam hackeados e o dinheiro das pessoas seja roubado.
Em outros casos, o usuário deseja armazenar seus Bitcoins por muito tempo
em um lugar seguro. Isso é chamado de “armazenamento a frio”. Existem algumas maneiras de se fazer isso. Em primeiro lugar, as paper wallets. Elas são bons
meios para dar às pessoas pequenos presentes Bitcoin, mas também para o armazenamento a longo prazo, se usado corretamente. Por fim, em último caso, o usuário pode comprar uma Bitcoin física (MOEDA BITCOIN FÍSICA, 2014), contanto
que o usuário confie no criador dessa moeda pode vir a ser um armazenamento a
frio eficaz.
4.2.2 Roubo de Bitcoins
Hoje, a principal ameaça em torno dos Bitcoins é o roubo. Cyber crimino​​
sos podem roubá-los usando malwares para atingir carteiras armazenadas em um
computador que esteja conectado à Internet. Eles também podem “hackear” transações e plataformas de terceiros, que são, alvos de alto valor lucrativo e histórico de
segurança em sua maioria não comprovados.
Todos os maiores roubos de moedas têm ocorrido nestes “bancos” de armazenamento de moedas, onde as pessoas mantêm seus Bitcoins até que estejam prontos
para gastá-los. Infelizmente, devido a falta de regulamentação dessas intituições, não
há meio de certificar os procedimentos de segurança para o armazenamento e gerenciamento de moedas e contas.
As táticas usadas em roubos de Bitcoins são bastante ousadas. A empresa anti-malware Malwarebytes lançou um aviso sobre o software que usa computadores para
minerar Bitcoins. Como o The Guardian relatou (ROUBO DE BITCOINS, 2014):
O programa “instala um aplicativo de mineração de Bitcoin no sistema do usuário,
inclusive, escrito na EULA (Acordo de Licença de Usuário Final) do software. Esse
tipo de sequestro de sistema é apenas outra maneira para um software de publicidade explorar um usuário arrecadando ainda mais dinheiro.” A maioria dos usuários
não têm idéia de que seu computador foi transformado em um zumbi de mineração
Bitcoin, afinal, poucos lêem o EULA do software. No entanto, um programa anti-malware bom deve ser capaz de encontrá-lo e eleminá-lo. 242
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
5
Considerações Finais
5.1 Perspectivas para o futuro
Seguramente, es­tamos presenciando os passos iniciais de uma mo­eda globalizada, livre, transparente e open-source. De fato, um feito inédito. Sua natureza
totalmente descen­tralizada; o compartilhamento de um registro público, único e
universal por todos os usuários; a capacidade de transferência de fundos instantânea a qualquer parte; e o fato de prescindir de um terceiro para transacionar torna
o Bitcoin uma façanha. Além do mais, tais atributos fazem com que o Bitcoin,
como siste­ma monetário, incorpore as principais qualidades das formas de moedas
existentes (ULRICH, 2014).
Contudo, apesar de ser uma tecnologia inovadora com grande potencial de
crescimento, existem importantes barreiras a serem ultrapassadas. Haverá volatilidade, possíveis bolhas e quedas, casas de câmbio serão fechadas, outras quebrarão,
e novas formas de usar a mo­eda surgirão (BARBER, 2012; SALMON, 2013). Mas,
neste momento, deve-se dar atenção, especialmente, a questão legal e regulatória.
Embora a necessidade de legitimidade legal possa ser questionada, não há dúvidas de
que a legitimidade de mercado, isto é, como efetivo objeto de troca, é fundamental ao
avanço e desenvolvimento do Bitcoin. É bem verdade que logo as autoridades terão
de se pronunciar, pois a ampliação do uso da moeda obrigará os governos a esclarecerem de que forma as transações serão tributadas.
Ainda assim, é notável o fato de grandes empresas passarem a aceitar o Bitcoin
por questões mercadológicas, e não apenas como uma mera tática de marketing. A
tendência atual demonstra que possivelmente os próximos anos serão repletos de
notícias de novas empresas, comerciantes e afins ado­tando a moeda como uma nova
forma de pagamento.
Embora possa parecer que haja uma contraposição entre o Bitcoin e as moedas
convencionais, na realidade, é preciso enxergar a criptomoeda não como mutuamente excludente, mas sim, como complementar as formas de di­nheiro existentes
(ULRICH, 2014c). Bem verdade que não se sabe se o Bitcoin irá perdurar, mas os
novos conceitos, certamente, serão incorporados na estrutura econômica vigente.
Dessa forma, poderíamos até considerá-lo um inspirador de uma nova classe de
ativos: a das “moedas digitais”. Ainda que o Bitcoin não se estabeleça como moeda a
médio, longo prazo é inegável que as bases da economia foram mexidas desde a sua
chegada. E, se estamos na “Era Digital”, nada mais pertinente que a adoção de uma
Aspectos de segurança na rede Bitcoin
243
moeda puramente digital, embasada nos mais modernos meios de segurança digital,
para colocar o homem num novo patamar de globalização.
5.2 O Bitcoin na mídia
A exploração da mídia consiste, prioritariamente, em expor algu­mas aplicações do Bitcoin na qual os usuários extrapolam e desvirtuam o uso racional.
Percebe-se que um dos focos da mídia diz respeito à propriedade da moeda permi­tir
o uso de pseudônimos. Têm-se questionado se criminosos podem usá-lo para lavagem de dinheiro ou para aceitar pagamentos da venda de produtos e serviços ilícitos. Um exemplo é o caso do site de mercado negro na deep web (MENGER, 1981)
conhecido como Silk Road (MIERS, 2013). Esse site utilizava a rede Tor para reforçar o anonimato do usuário e o uso do Bitcoin como meio de pagamento. Assim,
o usuário do site teria condições de acesso a um vasto mercado digital em que se
podiam encomendar drogas por correio, além de outros produtos lícitos e ilícitos.
O fato de se usar pseudônimo no Bitcoin permitia que compradores adquirissem
produtos ilegais online, da mesma forma que o dinheiro tem sido tradicionalmente
usado para facilitar compras ilícitas pessoalmente. Um estudo estimou que o total
de transações mensais no Silk Road alcance aproximadamente 1,2 milhão de dólares (MISES, 1924). Mas o mercado de Bitcoin acumulou 770 milhões de dólares em
transações durante junho de 2013; vendas no Silk Road, portanto, cons­tituíam uma
quase insignificante parcela do total da economia Bitcoin (MISES, 1953).
Outra preocupação é que o Bitcoin seja usado para lavar di­nheiro, financiar o
terrorismo e tráfico de produtos ilegais. Apesar de, neste momento, ser mais hipótese do que concreto, o Bitcoin poderia sim ser uma opção àqueles que desejam
mover dinheiro ilegal discretamente. Preocupações com o potencial de a moeda ser
usada para lavagem de dinheiro foram reforçadas após o Liberty Reserve, um serviço
privado e centralizado de moeda digital, ter suas atividades encerradas pelas autoridades com alegações de lavagem de dinheiro (MISES, 2010).
Embora o Liberty Reserve e o Bitcoin tenham suas similaridades, há diferenças
importantes entre os dois. O Liber­ty Reserve era um serviço centralizado, criado e
pertencente a uma empresa privada, supostamente com o propósito de facilitar a
lavagem de dinheiro; o Bitcoin, não. As transações dentro da economia do Liberty
Reserve não eram transparentes. O Bitcoin, por outro lado, é uma moeda descentralizada e aberta que fornece um registro público, blockchain, de todas as transações.
Lavadores de dinheiro podem tentar proteger seus endereços de Bitcoin e suas identi244
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
dades, mas seus registros de transações serão sempre públicos e acessíveis a qualquer
momento pelas autoridades. Ademais, diversas exchanges têm tomado as medidas
necessárias para estar em dia com as regulações e exigências das autoridades no que
tange ao combate à lavagem de dinheiro (MISES, 2010).
5.3 Avaliando a segurança da informação do sistema Bitcoin
Analisando pela sua essência, como uma moeda digital, o Bitcoin apresenta
algumas particularidades de segu­rança específicas (ULRICH, 2013).
O primeiro aspecto, diz respeito ao cuidado individual do usuário, ou seja,
caso não seja cuidadoso, pode inadver­tidamente apagar ou perder seus Bitcoins.
Uma vez que o arquivo digital esteja perdido, o dinheiro está perdido, da mesma
forma com dinheiro vivo de papel. Se as pessoas não protegem seus endereços
Bitcoin, elas po­dem estar mais sujeitas ao roubo. As carteiras de Bitcoin agora podem
ser protegidas por criptografia, mas os usuários devem selecionar sua ativação. Se
um usuário não cifra a sua carteira, os Bitcoins podem ser roubados por malwares
(ULRICH, 2014). As casas de câmbio de Bitcoin também en­frentaram complicações
de segurança; hackers furtaram 24 mil BTC (então valorados em 250 mil dólares)
de uma casa de câmbio chamada Bitfloor em 2012 (MEIRA PENNA, 1999), e houve
em uma série de ataques DDoS (distributed denial-of-service) contra a mais popular
casa de câmbio, Mt. Gox, em 2013 (MENGER, 1892). Obviamente, muitos dos riscos
de segurança enfren­tados pelo Bitcoin são similares àqueles com os quais moedas
tradicionais também se defrontam. Notas de reais podem ser destruídas ou perdidas,
informação financeira pessoal pode ser roubada e usada por criminosos e bancos
podem ser assaltados ou alvos de ataques DDoS.
O segundo aspecto, diz respeito a constante atualização do sistema, isto é,
como o protocolo Bitcoin está em amadurecimento o usuário deve constantemente
estar a par das atualizações do software Bitcoin, assim como de todos os serviços
adicionais utilizados, como as carteiras e sites de exchanges. Adicionalmente, faz-se
necessário atualizar constantemente sobre eventuais falhas de segurança do protocolo e aplicar patches de segurança.
Por fim, os usuários da moeda precisam ter cuidado redobrado com a segurança, pois devem se informar sobre e como se preparar contra riscos de se­gurança,
da mesma forma que o fazem quando utilizam outras atividades financeiras e, ainda,
ter ciência que o próprio protocolo da rede está sendo estudado e aperfeiçoado, assim,
é demandado constante observação, atualização e principalmente cuidado.
Aspectos de segurança na rede Bitcoin
245
5.4 Propostas para futuros trabalhos
Considerando a amplitude de elementos que envolvem o Bitcoin, os pontos
que cabem uma abordagem mais aprofundada são:
1) análise de vulnerabalidades da máquina do usuário quando conectada na
rede Bitcoin, isto é, com o cliente wallet padrão em execução;
2) utilização de IPS/IDS na máquina de um usuário minerador, em processo
3)
4)
5)
6)
de mineração, a fim de monitorar a troca de mensagens desta máquina com
a rede. O objetivo é identificar tentativas de ataque durante este processo
determinando portas abertas, métodos de conexão e, se possível, níveis de
permissão de acesso do software de mineração;
análise dos métodos de ataque DoS ou DDoS a máquina do usuário e ao
blockchain, passíveis de causar indisponibilidade do serviço local ou da
rede como um todo;
analisar a possibilidade e os meios de execução de um ataque main-in-themiddle durante o processo de transferência da moeda;
elaborar um comparativo entre as modalidades de wallets existentes,
apresentando afundo as tecnologias, métodos de segurança e confiabilidade
do serviço;
elaborar um estudo de caso sobre os métodos de mineração disponíveis
apontando a tecnologia utilizada, utilização da máquina do usuário, falhas
de segurança e implicações legais;
Referências
ANDREESSEN, Marc. Why Bitcoin Matters, 22 jan. 2014. Disponível em: <http://blog. pmarca.
com/2014/01/22/why-bitcoin-matters/>. Acessado: 17 mar. 2014.
BRITO e CASTILLO. Bitcoin: A Primer for Policymakers. Arlington: Mercatus Center at George Mason
University, 2013.
______. National Review Gets Bitcoin Very Wrong. Technology Lib­eration Front, 20 jun. 2013. Disponível
em: <http://techliberation. com/2013/06/20/national-review-gets-bitcoin-very-wrong/>. Acessado: 17
mar. 2014.
Blockchain. Disponível em: <https://blockchain. info/>. Acessado: 17 mar. 2014.
Bitcoin. Disponível em: <https://bitcoin. org/en/>. Acessado: 17 mar. 2014.
Bitcoin wiki. Disponível em: <https://bitcointalk. org/>. Acessado: 17 mar. 2014.
Bitcoin forums. Disponível em: <https://en. bitcoin. it/>. Acessado: 17 mar. 2014.
246
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Reid, F. , Harrigan, M. An analysis of anonymity in the Bitcoin system, maio 2012. Disponível em: <http://
arxiv. org/abs/1107. 4524>. Acessado: 17 mar. 2014.
Karame, G. , Androulaki, E. , Capkun, S.: Two Bitcoins at the price of one? double-spending attacks on fast
payments in Bitcoin, out. 2012. In: Proc. ACM CCS, Raleigh, NC.
Barber, S. , Boyen, X. , Shi, E. , Uzun, E.: Bitter to better – how to make Bitcoin a better Currency, fev. 2012.
In: Proc. Financial Crypto, Bonaire, N. A.
Moore, Tyler and Nicolas Christin. Beware the Middleman: Empirical Analysis of Bitcoin-Exchange Risk,
abril 2013. In Proceedings of the 17th International Conference on Financial Cryptography and Data
Security (FC’13).
______. How Ransomware turns your computer into a bitcoin miner, 10 fev. 2014. Disponível em: <http://
www. theguardian. com/technology/2014/feb/10/how-ransomware-turns-your-computer-bitcoinminer-linkup/>. Acessado: 17 mar. 2014.
Finkle, Jim. ‘Pony’ botnet steals bitcoins, digital currencies: Trustwave, 24 fev. 2014. Disponível em: <http://
www. reuters. com/article/2014/02/24/us-bitcoin-security-idUSBREA1N1JO20140224/>. Acessado: 17
mar. 2014.
Hajdarbegovic, Nermin. Yahoo infects 2 million European PCs with Bitcoin malware, 8 jan. 2014.
Disponível em: <http://www. coindesk. com/yahoo-infects-2-million-european-pcs-bitcoin-malware/>.
Acessado: 17 mar. 2014.
Southurst, Jon. ‘CoinThief ’ Mac malware steals bitcoins from your wallet, 10 fev. 2014. Disponível em: <
http://www. coindesk. com/cointhief-mac-malware-steals-bitcoins/>. Acessado: 17 mar. 2014.
B. TIMOTHY, Lee. 12 questions about Bitcoin you were too embarrassed to ask, 19 nov. 2013. Disponível
em: < http://www. washingtonpost. com/blogs/the-switch/wp/2013/11/19/12-questions-you-were-tooembarrassed-to-ask-about-bitcoin/>. Acessado: 17 mar. 2014.
DAI, Wei. Bmoney. Disponível em: <http://www. weidai. com/bmoney. txt>. Acessado: 17 mar. 2014.
GERTCHEV, Nikolay. The Money-ness of Bitcoins, 4 abr. 2013. Disponível em: <http://mises. org/
daily/6399/The-Moneyness-of-Bitcoins/>. Acessado: 17 mar. 2014.
______. The sound of one bitcoin: Tangibility, scarcity, and a “hard-mon­ey” checklist, 19 mar. 2013.
Disponível em: <http://konradsgraf. com/blog1/2013/3/19/in-depth-the-sound-of-one-bitcointangibility-scarcity­-and-a. html>. Acessado: 17 mar. 2014.
LIU, Alec. A Guide to Bitcoin Mining, 2013. Disponível em: <http://motherboard. vice. com/blog/aguide-to-bitcoin-mining-why­-someone-bought-a-1500-bitcoin-miner-on-ebay-for-20600>. Acessado:
17 mar. 2014.
NAKAMOTO, Satoshi. Bitcoin: a Peer-to-Peer Electronic Cash System, 2008. Disponível em: <http://
article. gmane. org/gmane. comp. encryption. general/12588/>. Acessado: 17 mar. 2014.
OBER, KATZENBEISSER e HAMACHER. Structure and Anonymity of the Bitcoin Transaction Graph,
2013. Dis­ponível em: <http://www. mdpi. com/1999-5903/5/2/237>. Acessado: 17 mar. 2014.
PAUL, Andrew. Is Bitcoin the Next Generation of Online Payments?, 24 mai. 2013. Disponível em: <http://
smallbusiness. yahoo. com/advisor/bitcoin-next-generation-online-pay­
ments-213922448--finance.
html>. Acessado: 17 mar. 2014.
SALMON, Felix. The Bitcoin Bubble and the Future of Currency, 3 abr. 2013. Disponível em: <https://
medium. com/money­-banking/2b5ef79482cb>. Acessado: 17 mar. 2014.
Aspectos de segurança na rede Bitcoin
247
SHOSTAK, Frank. The Bitcoin Money Myth, 17 abr. 2013. Disponível em: <http://mises. org/
daily/6411/The-Bitcoin-Money-Myth>. Acessado: 17 mar. 2014.
ULRICH, Fernando. Uma semana histórica para o Bitcoin, 13 jan. 2014. Disponível em: <http://www.
infomoney. com. br/blogs/mo­eda-na-era-digital/post/3143266/uma-semana-historica-para-bitcoin>.
Acessado: 17 mar. 2014.
WILLETT, J. R. The Second Bitcoin Whitepaper, 2013. Disponível em: <https://sites. google. com/site/2
ndbtcwpaper/2ndBitcoinWhitepaper. pdf>. Acessado: 17 mar. 2014.
Bitstamp. Disponível em: <https://www. bitstamp. net/>. Acessado: 17 mar. 2014.
Mt. Gox. Disponível em: <https://www. mtgox. com/>. Acessado: 17 mar. 2014.
BTC-E. Disponível em: <https://btc-e. com/>. Acessado: 17 mar. 2014.
MercadoBitcoin. Disponível em: <https://www. mercadobitcoin. com. br/>. Acessado: 17 mar. 2014.
ULRICH, Fernando. O colapso da Mt. Gox, uma corrida bancária digital (Parte 1/2), 26 fev. 2014. a)
Disponível em: <http://www. infomoney. com. br/blogs/moeda-na-era-digital/post/3211107/colapsomtgox-uma-corrida-bancaria-digital-parte>. Acessado: 17 mar. 2014.
ULRICH, Fernando. O colapso da Mt. Gox, uma corrida bancária digital (Parte 2/2), 27 fev. 2014. b)
Disponível em: < http://www. infomoney. com. br/blogs/moeda-na-era-digital/post/3213232/colapsomtgox-uma-corrida-bancaria-digital-parte>. Acessado: 17 mar. 2014.
ULRICH, Fernando. Bitcoin – a moeda na era digital, 2014. Disponível em: < http://www. mises. org.
br/Ebook. aspx?id=99>. Acessado: 17 mar. 2014. c
______. Bitcoin’s Promise in Argentina, 27 abr. 2013. Disponí­vel em: <http://www. forbes. com/sites/
jonmatonis/2013/04/27/bitcoins­-promise-in-argentina/>. Acessado: 18 mar. 2014.
______. How Cryptocurrencies Could Upend Banks’ Monetary Role, 18 mar. 2014. Disponível em:
<http://themone­taryfuture. blogspot. com. br/2013/03/how-cryptocurrencies-could-upend­-banks.
html>. Acessado: 18 mar. 2014.
MEIRA PENNA, J. O. . Em berço esplêndido – ensaios de psicologia coletiva brasileira. Rio de Janeiro:
Topbooks, 1999.
MENGER, Carl. On the Origins of Money. Economic Journal, 1892. pp. 239-255.
______. Principles of Economics. Traduzido por James Dingwall e Bert Hoselitz, Free Press of Glencoe,
Illinois, 1950; e New York University Press, Nova York 1981.
MIERS, Ian et al. Zerocoin: Anonymous Distributed E-Cash from Bit­coin, working paper, the Johns
Hopkins University Department of Com­puter Science, Baltimore, MD, 2013. Disponível em: <http://
spar. isi. jhu. edu/~mgreen/ZerocoinOakland. pdf>. Acessado: 18 mar. 2014.
MISES, Ludwig von. Theorie des Geldes und Umlaufsmittel. Muni­que: Verlag von Duncker & Humblot,
1924.
______. The Theory of Money and Credit. New Haven: Yale University Press, 1953. p. 462.
______. Ação Humana: Um Tratado de Economia. São Paulo: Instituto Ludwig von Mises Brasil, 2010.
______. On Money and inflation – A Synthesis of Several Lectures. Au­burn: Ludwig von Mises
Institute, 2010.
David Schwartz, What protection does Bitcoin have against Denial of Service (DoS) attacks?. Disponível
em: < http://bitcoin. stackexchange. com/a/510/323>, 3 Set. 2011. Acessado: 13 mar. 2014.
Vulnerabilidades e falhas de segurança registradas na rede Bitcoin. Disponível em: <https://en. bitcoin.
it/wiki/Common_Vulnerabilities_and_Exposures>. Acessado: 23 mar. 2014.
248
Coletânea Luso-Brasileira v – Gestão da Informação, Cooperação em Redes e Competitividade
Bitcoin Wiki, “Protocol specification – tx”. Disponível em: <https://en. bitcoin. it/wiki/Protocol_
specification#tx>. Acessado: 23 mar. 2014.
Bitcoin Wiki, “Transaction fee”. Disponível em: https://en. bitcoin. it/wiki/Transaction_fee, accessed
2012-05-28. Acessado: 23 mar. 2014.
Bitcoin Wiki, Weaknesses – Attacker has a lot of computing power. Disponível em: <https://en. bitcoin.
it/wiki/Weaknesses#Attacker_has_a_lot_of_computing_power>. Acessado: 23 mar. 2014.
Estudo sobre a segurança do protocolo Bitcoin. Disponível em: <https://dl. dropboxusercontent.
com/u/3658181/PiotrPiasecki-BitcoinMasterThesis. pdf. > Acessado: 13 mar. 2014.
Moeda Bitcoin física. Disponível em: < https://www. casascius. com/>. Acessado: 23 mar. 2014.
Roubo de Bitcoins. Disponível em: <http://www. businessinsider. com/the-history-of-bitcointheft-2013-11>. Acessado: 23 mar. 2014.
Wikipedia. Disponível em: <http://en. wikipedia. org/wiki/Bitcoin_network/>. Acessado: 28 mar. 2014.
Multibit. Disponível em: < https://multibit. org/>. Acessado: 28 mar. 2014.
Coinbase. Disponível em: < https://coinbase. com/>. Acessado: 28 mar. 2014.
King, Richie. Why nobody can withdrawn Bitcoins from one of the currency‘s largest exchanges, 10
fevereiro 2014. Disponível em: < http://qz. com/175565/why-nobody-can-withdraw-bitcoins-fromone-of-the-currencys-largest-exchanges/>. Acessado: 28 mar. 2014.
Aspectos de segurança na rede Bitcoin
249