#Trust Wallet安全事件 Olhando para toda a cadeia do evento Trust Wallet, tenho que dizer — é por isso que agora tenho uma grande desconfiança em relação ao termo "aleatoriedade".

150 mil milhões de dólares em Bitcoin foram decifrados pelos EUA, parece uma vitória das autoridades, mas a verdade por trás é ainda mais assustadora. O que é o gerador de números aleatórios fracos Mersenne Twister, o que foi o evento Milk Sad, nada disso são tecnologias black tech avançadas, são falhas na segurança básica de carteiras e pools de mineração. Entre 2019 e 2020, aqueles 220 mil carteiras com chaves fracas, os usuários nem sequer sabiam que as chaves privadas geradas pelas ferramentas que usavam eram como uma "máquina emperrada", sempre girando dentro de um limite restrito.

O mais irônico é que, em dezembro de 2020, aquela grande retirada — 136.951 Bitcoins transferidos numa só noite — ninguém tinha certeza se era um hacker ou a equipe do projeto vendendo no pico. Só em 2023, após a divulgação da vulnerabilidade do seed bx, alguém voltou a revisar e descobriu que a transferência de carteiras em 2020 coincidia exatamente com o intervalo de chaves fracas de Lubian. Cinco anos, cinco anos para entender o que realmente aconteceu.

A lição que tiro disso é bem clara: sua carteira não é seu dinheiro, mas primeiro você precisa garantir que sua carteira seja segura. Aquelas carteiras que dizem suportar múltiplas blockchains e ter funcionalidades completas parecem convenientes, mas se o algoritmo de números aleatórios subjacente tiver problemas, toda a sua "consciência de segurança" é inútil. Agora, toda carteira que olho, pergunto: como essa chave privada foi gerada? Qual algoritmo foi usado? Houve auditoria de segurança independente? Sem entender essas questões, nem mesmo um centavo eu colocaria lá dentro.

Isso não é excesso de cautela, é uma lição que o tempo nos ensinou.