Topic: Пришли не мои монеты - уязвимость ? (Read 9007 times)

Поверь, как только ломанут первый десяток кошельков, тут же народ ринется искать более безопасные валюты, с более стойкими алгоритмами шифрования.

Хардфорк? Ни-за-что!!! 

Очень любопытная идея. Кроме того, с вероятностью близкой к 100%, в один прекрасный день криптозащита битка не будет представлять хоть скольнибудь сложную задачу.
Поэтому биткоин надо рассматривать, как временный проект, причём все прогнозы по сроку жизни битка мало чего стоят. Но это не беда, потому что на смену Биткоину придёт
какой-нибудь Квантокоин, который опять будет представлять собой задачу, решение которой будет также казаться нам фантастическим.

Бред, но как вариант: может это делается с целью собрать обратно остатки порушенной кем-то ботнет сети? Недавно, кажется, саймантек бахвалился тем, что какую-то хитроумную p2p сеть ботовую раздробил на части.

Настоящие злоумышленники не будут размениваться по мелочам, а заставят производителей железа и софта делать генераторы псевдослучайных чисел такими,
чтобы они выдавали совсем не псевдослучайные числа. Да и насчёт эллиптических кривых есть очень много вопросов. Я уже давал линки:
https://www.pgpru.com/novosti/2007/vseassimetrichnyealgoritmymogutbytjvzlomanyzaodnuoperacijuizzazakladkivprocessorah
https://www.pgpru.com/biblioteka/statji/asimmetrichnajakriptografijanaellipticheskihkrivyh

Согласен, http://www.computerworld.com/s/article/9241647/Google_patches_Android_after_Bitcoin_wallet_issue

В любом случае, если злоумышленники смогут скомпрометировать современные генераторы псевдослучайных чисел, то они смогут украсть не только биткоины...

Фундамент битка - твёрдая уверенность, что приватный ключ генерируется на основе ДЕЙСТВИТЕЛЬНО случайного числа длинной 256 бит (на самом деле не всего множества).
А вот это - большой вопрос. Так что пространство возможных ключей, очень даже может быть, что существенно намеренно уменьшено. И злодеи просто терпеливо ждут,
когда в биток, как в промокашку, будет впитано достаточное количество пустопорожних баксов. Вот тогда его можно будет спалить синим пламенем.
Это если даже не предполагать, что весь этот проект не развивается под чутким руководством соответствующих ведомств.
http://www.computerra.ru/82170/stop-nsa/
http://www.computerra.ru/82184/metafora-termorektalnoy-analitiki-v-kontekste-dialoga-anb-s-it-biznesom/

Вполне может пригодиться любителям попробовать тырить чужие битки:
https://bitcointalksearch.org/topic/successful-dictionary-attack-against-private-keys-287929

А можете на пальцах описать, каков он, "вес" числа. Что бы народу понятно было, кто не математик.

Допустим, что не только Satoshidice заложили в свои адреса автоматический возврат биткоинов отправившему. Предположим, что есть адреса, на которые любой отправленный перевод - сигнал для отправки 1BTC (к примеру) обратно.

Тогда логика спамера в части рассылки на известные адреса понятна.

Можно, если всю пыль в одной транзакции отправить(например самому себе).

Один только я такой несчастный. Никто ничего не шлёт. Кстати, могу предложить любителям острых ощущений удостовериться в справедливости слов
“Не собирайте себе сокровищ на земле...”
http://azbyka.ru/hristianstvo/bibliya/novyi_zavet/nagornaya_propoved_105-all.shtml
Для этого нужно завести новый адрес (старый тоже подойдёт) например 1CC3X2gu58d6wXUWMffpuzN9JAfTUWu4Kj и перевести на него для меня битков сколько не жалко.
Не побрезгую любыми копейками. После этого в кошельке перейти: ---> Помощь ----> Окно отладки  -----> Консоль
И в командной строке консоли выполнить команду dumpprivkey для этого адреса.    Например: dumpprivkey 1CC3X2gu58d6wXUWMffpuzN9JAfTUWu4Kj
В ответ получите Wallet import format private key из 51 символа с пятёркой в начале.
Что-то типа: 5Kb8kLf9zgWQnogidDA76MzPL6TsZZY36hWXMssSzNydYXYB9KF
Вот этот ключик и перешлите мне в виде личного сообщения. Больше ничего не надо. Только не публикуйте этот ключик на форуме. А то уведут битки прежде, чем
я успею возрадоваться. Буду премного благодарен.

спамеры достали 
https://blockchain.info/ru/tx/219764b744ea5e314d02a669bf54564251092a63ea374382a7fb8765aa9845f3
Видимо уже все пулы кроме Eligius обновились до 0.8.3 кошелька и не принимают тракзакции с выходами меньше 5430 сатоши. Все спамерские транзакции на мой адрес подтверждены Eligius

Это все так, пока не появятся квантовые вычисляторы этак на 50k кубит.

Тогда без проблем можно будет восстановить приватный ключ, зная публичный. Впрочем, даже в таких условиях биткоин со штатной политикой (отправка сдачи на новый адрес, выплаты на хэш публичного ключа вместо самого ключа) вне опасности. Единственно, что сервисам типа пулов придется нехорошо, потому как адрес с хотя бы одним исходящим переводом де факто будет считаться скомпрометированным, и его нельзя будет использовать повторно.

Можно вместо перебора ключей попробовать перебирать seed у проекта кошелька Electrum - 2^128 ~3.4*10^38
p.s. такое же бессмысленное занятие, но заметно менее бессмысленное

Хоть подбирай, хоть ищи - без разницы, так как вариантов астрономическое количество.
Количество атомов в человеке ~ 10²⁶
Количество атомов в Земле ~ 10⁵⁰
Количество атомов в Солнце ~ 10⁵⁷
Количество возможных пар ключей ~ 10⁶¹
Количество атомов в Галактике ~ 10⁶⁹
Количество атомов в наблюдаемой Вселенной ~ 10⁸⁰

Версий подписи для нахождения секретного ключа даже больше, чем возможных пар ключей, если не ошибаюсь... Впрочем, можно попробовать хоть сейчас подобрать ключ к адресу, Vanitygen в помощь, правда время для подбора к 11 символам адреса потребуется ~700 лет, а к 12 символам уже ~40000 лет

Видимо меня не совсем правильно поняли. С целью покраж денег из чужих кошельков предлагается не искать коллизии, а подбирать подходящие пары
открытый-закрытый ключ на "самом раннем этапе", то есть  на этапе использования алгоритма генерации пары с помощью эллиптических кривых
https://www.pgpru.com/biblioteka/statji/asimmetrichnajakriptografijanaellipticheskihkrivyh
Потом из такой пары с помощью стандартных алгоритмов биткоина автоматически получится синтаксически корректный набор всего необходимого. И только в конце процедуры
смотреть получился ли нужный биткоиновский адрес.
На форумах неоднократно мелькали случаи типа:
"Не пойму, как у меня украли битки. Кошелёк хранился в зашифрованном виде на флешке в сейфе и никогда на компе, подключённом к нтернету. Как могли украсть кошелёк?"
Так вот мне кажется, что никто кошелёк и не воровал. Просто угадали закрытый ключ. Возможно случайно. Просто завели новый кошелёк и в нём внезапно обнаружили
битки. А может быть кто-то планомерно ведёт такую работу.


По поводу слабости реализаций криптоалгоритмов и в особенности генераторов случайных чисел можно нагуглить тучу материала:
http://www.computerra.ru/79788/prng/
И про злой умысел разработчиков материала хватает:
http://www.computerra.ru/77802/nsa-cpu/
https://www.pgpru.com/novosti/2007/vseassimetrichnyealgoritmymogutbytjvzlomanyzaodnuoperacijuizzazakladkivprocessorah

Строго говоря, никак не защитят сами по себе и не изменят общий расклад дел. Но немного усложнят жизнь тем, кто будет писать анализатор такой цепочки. Особенно, если они делают такую цепочку похожей на обычную активность пользователей (активное использование Escrow-сервисов). Т.е. по мере роста популярности этих технологий внедрение их в миксерах просто неизбежно именно по этой причине, чтобы микс не выглядел на общем фоне транзакций "белой вороной".

Не понимаю, как выплаты на хеш защитят от прослеживания цепочек, ведь трата монет все равно прослеживается.

Эффективнее всего было бы использовать для перемешивания цепочки из p2sh адресов в дополнение к обычным:

https://bitcointalksearch.org/topic/m.2959326

Сейчас они слишком заметны на общем фоне, но в будущем они найдут применение в этой области.

Любая транзакция - это склеивание входов и новое дробление (обычно на 2 или даже 1).

По мне, такие очевидные транзакции (с равными суммами для пыли, грамотнее делать рандом и дробить крупную сумму на несколько своих кошельков, имитируя рассылку выплат пулам или сайтам с бесплатными bitcoin за рекламу) - плохой метод перемешивания 'грязных' монет с остальными, но, возможно, это попытка влияния на конкретные алгоритмы и утилиты, которые имеются на текущий момент на вооружении 'компетентных органов'.

отправь транзакцию с этими входами и всё
Вот тебе и более крупный слиток

Рассылка "цифровой пыли" по случайным существующим адресам может быть разновидностью ещё одной атаки на биток, о которой я давно думал.
Сейчас надену свою любимую шапочку из фольги и попрошу посланцев Нибиру ответить на такой вопрос:
 Как известно, битки в системе могут возникать ТОЛЬКО одним способом - в виде "слитков" в награду за "найденный блок". В начале эти "слитки" весили 50 битков,
сейчас 25 и дальше вес слитков будет понижаться в соответствии с замыслом неизвестных отцов- основателей. (Только не надо сказок про Сатоши).
Далее, в процессе движения битков в системе эти слитки могут только дробиться на осколки. Насколько я понимаю, не существует способа "сплавлять" эти осколки
в более крупные слитки. Каждая транзакция содержит в себе множество мелких осколков, движение которых увековечивается в базе. По мере роста активности энтузиастов
совокупное богатство сети будет всё больше превращаться в пыль. И все эти пылинки придётся учитывать при пересылке битков. То есть будет расти размер каждой транзакции.
В далёком светлом будущем придётся пересылать огромные мешки очень мелкой пыли. Это естественный процесс.
А теперь вопрос к знатокам:
Что можно противопоставить злокозненной попытке искусственно "перетирать в пыль" битки, раздувая до непомерной величины базу блоков и попутно засирая сеть
мелкими транзакциями? В смысле если пересылать пыль между своими новыми адресами, чтобы не нести существенных потерь.
Ограничить хождение мелочи? А что будем делать, когда, как обещано, биток будет стоить бешенных баксов и каждая пылинка будет очень дорогой?
Возможно ли в рамках существующей идеологии битка "сплавлять" или "прессовать" пыль в более крупные слитки?

А вот и неправда. В смысле - это ошибочное суждение. Весь проект "биткоин" - это база данных цепочек блоков. Больше ничего в этом проекте нет.
То есть в "мире биткоина" существуют только те субъекты и события, которые внесены в базу и имеют несколько подтверждений. Чего нет в этой базе - того нет в принципе.
И в эту базу невозможно внести никакие изменения, если в руках нет вычислительной мощности, большей хотя бы половины мощности всей сети.
Битки  на любой адрес могут попасть ТОЛЬКО двумя путями. Это или "послано Аллахом" как награда за "найденный блок", или послано с другого адреса.
В обоих случаях эти события фиксируются в базе и никогда и никак не могут быть уничтожены. Так что если у тебя на некотором адресе есть любая битковая сумма,
то этот адрес зафиксирован в базе и известен всем. Так что ты не просто "публиковал" свой адрес, а зафиксировал его навечно для всех.

1) Работа по подбору пар ключей, дающих доступ к чужому кошельку ничуть не хуже и не лучше подбора хэша с заданным количеством нулей, которой занимаются "белые майнеры".
Причём награда "чёрного майнера" в случае нахождения "ключа от квартиры", где лежит, например,  сотня тысяч битков, может вполне вознаградить усилия.
http://bitcoinreport.appspot.com/
Да, это очень трудно. А кому сегодня легко?
2) Защиты от таких "случаев" не может существовать принципиально. Только если закрыть прект "биткоин". Это не баг - это фича.

Кто и зачем это делает ?

В наблюдаемой вселенной атомов меньше, чем вариантов пар ключей.

Кроме пабкейных адресов есть еще и скриптовые. И если что отправлено на хэш скрипта, то там оно и останется, даже если бы вы были господом Богом. Потому что придется найти не просто коллизию, а синтаксически корректную коллизию.

1) При нормальной эксплуатации штатного клиента (ротация адресов, случайные инпуты) уязвимость не представляет опасности;
2) Нет ни одного подтвержденного случая ее эксплуатации.

Так что не знаю, что вы там себе вселили, но с советскими газетами надо бы завязывать...

Мы говорим о фактах, полагаю? Думаю, стоит оставить истории о Нибиру специалистам соответствующего профиля.

да это спамер какой-то.
Вот и мне прислал 0.00001BTC:
https://blockchain.info/ru/tx/726013f5fb7172f4d2c7a61dc3e065749b7dbdc196d299213fc38a0171fb7bf4
и ещё
https://blockchain.info/ru/tx/8d93cc78b9ded2ba41d93b8b3f3529b9eadb1913902ba7d701673b78463c7d6a

С учётом того что рекомендованная комиссия за 1 кб = 10000 сатоши, а спамер рассылает по 1000 сатоши, то это даже отрицательные входы по сути....
(в 1 кб входит 6 входящих входов и 1 исходящий если мне память не изменяет)
Скорее бы все пулы обновились до 0.8.3, там транзакции со входами меньше 5430 сатоши банились бы нахрен...

Я ещё пару лет назад на другом форуме предлагал примерно такую воровскую идею:
Количество пар закрытый-открытый ключ огромно, но оно конечно. Поэтому на на спецоборудовании, способном аппаратно с очень большой производительностью
выполнять воровство, делаем следующее:
Непрерывно в соответствии с официальными алгоритмами биткоина генерим пары "открытый-закрытый ключ" со всеми необходимыми производными хэшами.
Сравниваем полученные открытые ключи с таблицей открытых ключей, на которых реально лежат битки. Адресов, на которых есть денюшка не так уж и много.
Все они легко извлекаются из базы данных цепочек транзакций. Причём именно все, с точным знанием где сколько добра лежит. Эта таблица постоянно поддерживается
в актуальном состоянии (синхронизируется с сетью). При обнаружении совпадения сгененированного спецасиком адреса с "квартирой, где деньги лежат",
битки сразу переводятся на свой вновь сгенерированный свежий адрес. На каждый свой новый адрес для складирования краденного не нужно скидывать
слишком много. Пусть таких адресов будет много. Ничего страшного.
По всей видимости одинаковый адрес для переводов биткоина может быть получен из разных закрытых ключей. Коллизии хоть и крайне маловероятны, но возможны.
И, кажется мне, что все эти закрытые ключи будут обладать равными возможностями тратить битки.
Так что такого типа "майнинг" может оказаться прибыльнее "честного майнинга". А если это так, то рано или поздно это будет сделано. И тогда появятся крупные пулы,
в простонародии именуемые шайкой, которые это дело поставят на поток.
Недавно обнаруженная уязвимость андроида вселяет надежду, что генерация пар ключей на другом оборудовании тоже далека от совершенства. Много зависит от качества
генератора случайных чисел. Любая программная генерация ущербна в принципе. А вот как реализована аппаратная генерация в разных микропроцессорах -
это ещё очень большой вопрос. Тут надо подождать очередного Сноудена. Кто и о чём "настойчиво просит" разработчиков и производителей кремниевых
кристаллов - вопрос интересный. Так что, возможно, генерить пары ключей нужно вовсе не рандомно, а можно существенно сузить диаппазон поиска "богатых буратино".

Тогда уж продавать надо. Зачем такие монеты, если сплошные коллизии кругом.

Я бы не стал ждать и немедленно перевёл все битки на другой свой адрес. Вполне возможно, что кто-то тоже может это сделать.

Да, связь есть. Крупная сумма из одного кошелька была раскидана на много кошельков, но транзакций было много и они в разных блоках.

Моих монет там пока больше, посмотрим что будет 

Не понятна схема такого отмывания. Допустим, у меня есть краденые монеты - зачем мне рандомно разбрасывать мелкие их куски ?

клиент bitcoin-qt скачивал по ссылке с bitcoin.org. виртуалка virtualbox тоже с оффсайта. На виртуалке стоит стабильный debian, минимальное окружение xfce, даже браузера нету.

А почему бы и нет? Коллизии ещё никто не отменял. Вполне возможно, что тебя пора поздравлять. То есть у тебя в руках полная власть над чьим-то чужим кошельком.
Я бы не устоял перед соблазном...

Да, на эти адреса были сделаны по одному переводу, соответственно эти адреса засветились в цепочке блоков.

Ну если оба адреса были в одном блоке, то неудивительно.

Биткоин-прачечные запутывают следы

Что значит пачкает и с какой целью ?

мне тоже приходила сумма 0.001, но в другой (похожей) транзакции.
похоже, что кто-то "пачкает" чужие кошельки таким образом.
в английской ветке тоже проскакивало беспокойство по этому поводу.

Хм, мистика - https://bitcointalksearch.org/topic/mystery-btc-receipt-263044

Это действительно странно. Нет никакой разницы при генерации приватного ключа, на виртуальной машине или на реальной, исключение могут составить случаи наличия на компьютере аппаратного генератора случайных чисел, если конечно используемые библиотеки openssl у bitcoin-клиента умеют его находить, но в любом случае это не важно.

Вы ранее пользовались этими адресами для приема переводов, даже для внутренних?

p.s. если да, сдается мне что это результат работы алгоритмов 'миксеров', сервисов, перемешивающих монеты, с целью сокрытия /запутывания первоначального их источника (повышение анонимности). Адреса-жертвы они могут брать напрямую из блокчейна, совершенно случайно.

Я уверен, что нигде эти адреса не публиковал, майнингом вообще не занимаюсь. Вот id одной из транзакций 6e06ffd314ce06a371fdedbe7aa7dbb27c3bab2b05f91a88b3f19a80adbbb26d . Один из адресов, на который переведены 0.001 btc мой. Вторая транзакция с этого же адреса, но мой адрес уже другой. Есть ли отличия в работе алгоритма генерации адреса при работе на реальном железе и в виртуальном окружении ?

Нет, с 'уязвимостью' на android это почти наверняка не связано (еще бы понять почему новостные сайты трубят про эту уязвимость как уже совершившийся факты кражи монет, когда речь идет о потенциальном понижении уровня безопасности.

Если вы нигде не сообщали об этих адресах, то значит вас взломали. Если вам перевели монеты, то с позиции злоумышленника это странно, возможно стеб (мессадж - шифруйся сколько хочешь, мы все видим. Мое мнение, вы где то все таки опубликовали эти адреса, с призывом перевести.

p.s. виртуальная машина не гарантирует 100%-ную защиту, как минимум при взломе хост-системы без каких либо телодвижений доступны файлы гостевой системы (если они не зашифрованы), буфер клавиатуры (если установлены соотв. драйвера внутри гостевой системы) и собственно перехват нажатий клавиш (соответственно шифрование и парольный доступ так же будет скомпроментирован).

---

А p2pool на эти адреса не майнит? Постоянно клиентам пула переводится донат, обычно его делят пропорционально мощностям.

Есть у меня виртуальная машина с линуксом , там стоит bitcoin-qt скаченный по ссылке с bitcoin.org. Машина используется как хранилище захомяченых на долгий срок монет. Иногда я подключаю винчестер с этой машиной и докачиваю блоки. В последний раз при докачке блоков обнаружилось, что на 2 адреса пришли не мои монеты. Адреса генерировались непосредственно в виртуальной машине и нигде не публиковались. У кого какие мысли на этот счет ? В свете недавней уязвимости, которую обнаружили в генераторе псевдослучайных чисел в андроиде, возможно ли, что в виртуальных машинах есть подобные проблемы, и у кого то сгенерировался такой же приватный ключ как у меня ?