Topic: Украли биткоины из официального кошельк&#1072 - page 2. (Read 9288 times)

Ну этот вопрос авторам статьи на хабре надо задать.
Они рассматривали немного другую задачу стеганографии.
Теоретически ведь можно в подпись добавлять информацию не о ключе с которого посылаются битки, а о приватном ключе на который битки отправляются (если, конечно, этот ключ доступен в момент подписания)
Ключ своего адреса сдачи нам доступен, а если мы шлем битки Васе Пупкину на его адрес, то ключ Васи нам неизвестен.

Понятно, что будет уже не важно, денежки то не будет на кошельке. "при чем, кроме него никто это сделать не сможет" наверное имеется ввиду тот факт, что только злоумышленник владеет алгоритмом построения чила К


Мне не понятен момент, зачем вычислять приват по двум подписям, если можно сделать и по одной?

Я сейчас еще раз просмотрел глазами статью на хабре.

Цитата оттуда: Сегодня мы рассмотрим сильную SETUP атаку (1,2) на ECDSA, то есть атакующий может узнать секретный ключ пользователя за 2 подписи, при чем, кроме него никто это сделать не сможет. (конец цитаты)

Фактически для злоумышленника необязательно выполнение пункта "причем, кроме него никто это сделать не сможет."
Ему достаточно самому увести ваш ключ, а если это кто-то еще может сделать кроме него - это не так уж важно.

Я вам приводил пример атаки (1,1) в терминах статьи хабра.
когда приватный ключ злоумышленник узнает по одной подписи.

Число 'К' так или иначе присутствует когда человек подписывает транзакцию.
Просто они большое. там 256 битов (32 байта) как и в приватном ключе, так что найти его перебором нельзя
Некоторые имплементации ECDSA-подписей использовали рандом для генерации этого 'K'
И наёбывались, когда рандом выдавал на разных машинах одно и то же значение.

Сейчас более правильным считается использовать deterministic-ecdsa когда 'K' - есть необратимая функция приватного ключа и дайджеста
(есть RFC, но я не помню номер.)

UPDATE: https://tools.ietf.org/html/rfc6979 но там так много, что это и для меня сложно читать.
Важно что 'K' есть HMAC-функция от конкатенации приватного ключа и дайджеста и чо-то там еще

Если вы проебали свой приватный ключ - то это навсегда.
Можете хоть головой ап стену убицца.
Спасти может отправка на новый адрес с 'незараженной' машины.

Условно говоря, вообще не надо брутфорсить в определенных случаях.

Ну давайте я постараюсь "на пальцах" объяснить.
При генерации подписи выбирается некоторое число 'К' которое никому не должно быть известным
Подпись - это необратимая функция от трех переменных
(1)само сообщение, вернее его дайждест, хэш-сумма
(2)приватный ключ
(3)и это число 'K'

Причем по приватному ключу, дайджесту и подписи можно восстановить 'K'
Но более интересно для злодея что по 'K', дайджесту и подписи он может восстановить приватный ключ.
Точно не помню, может быть для этого злыдню еще публичный ключ нужен.

Итак. В блокчейне есть транзакция с адреса 1ххххх
В этой транзакции есть публичный ключ и подпись. Немного поколдовав с программированием можно получить дайджест.
Это и так всем известно. Неизвестными остаются 'К' и приватный ключ.

Допустим, злоумышленник внедрил на компьютер жертвы программу, которая генерирует число 'K' каким-то известным злоумышленнику способом - например берет публичный ключ адреса 1xxxxx, ксорит его с хэшом последнего найденного блока, прибавляет восемнадцать, после этого умножает на 153 и отнимает дайджест

Никто кроме злоумышленника не заподозрит чего-то неладного.
А ему достаточно будет все транзакции прогнать через некоторый 'чекер', который для каждой транзакции в блокчейне будет совершать это действие и получать какое-то значение 'K'. По числу 'К' он будет вычислять приватный ключ.
Для всех обычных транзакций эти вычисления будут неправильные.
А для транзакций отправленных с "зараженной машины" злоумышленник в результате вычислений получит правильный приватный ключ.
Никакого брутфорса. Программа просто будет выдавать приватный ключ, если транзакция была 'заражена'

Именно поэтому и не рекомендуют повторно использовать адрес.
Потому что если вы всегда будете переводить бабки на новый адрес - максимум что получит злыдень - это приватный ключ от только что опустошенного вами адреса.

Т.е. если проще говорить, вирусуется машина. Потом при отправке платежей меняется подписчик на "неправильный", который делает подпись такой, которая легче брутиться для разгадывания закрытого ключа?

Да, в этой статье примерно это описано.
Я проще объяснить не могу. Это математика, причем не очень даже высшая.
Но надо иметь базовые знания в теории групп и колец. Ну и представлять себе как работает ECDSA.

Это из этой статьи https://habrahabr.ru/post/248419/   ?
Принцип в общем понятен, но всю механику тяжело уяснить. Не могли бы проще объяснить?

Теоретически можно увести битки и другим способом, не имея wallet.dat
Про повторяемые R-значения в подписях вы знаете, про то что если злоумышленник каким-то образом узнал (или подставил своё) значение 'K' при генерации ECDSA-сингантуры тоже напоминать не стану - вы не новичок.
Ну капитан-очевидность утверждает, что "умерла-так-умерла", то есть выяснить истинную причину не представляется возможным.
Ну разве что саму вирусяку на компе найдете или воришка напишет и расскажет как он вас облапошил.

да, троян 100%

Пароль на wallet.dat. У меня, как и у автора, Bitcoin Core. Понятно, что сам файл увели, это реально, учитывая, что он валялся на обычном домашнем ПК. Было бы интереснее узнать, как пароль подобрали (брутфорс или кейлоггер, хотя я его не вводил очень давно). Но тут лишь гадать

Пароль на что?
Пароль может быть на wallet.dat клиента - в этом случае надо сперва увести сам файл, а потом его брутфорсить
Или пароль brain-wallet которым приватный ключ создан - тогда ничего уводить не надо - это даже не "холодный кошелек"
Есть еще варианты увода.

Интересно. Недавно обнаружил, что и один мой условно холодный кошелёк обчистили. 5 января 2016. Пока не могу определить в чём причина, поскольку пароль был уникальный и тоже не вводился больше года. Но тут память подводит, так что хз. Станция не была супер защищённой, обычный домашний ПК, так что неудивительно, хоть и печально. Да и пароль был попроще, может и сбрутили. Кому интересно, вот транзакция увода (сдачу вернули на мой адрес, лол!): https://blockchain.info/tx/085665c1d13fc92bd807d0c9fa3249f86e39af7dbf6a1572e19340de29579689

Не все адреса мои, склеили с какой-то мелочью с кранов.

Меня больше заинтересовало совпадения с 5 числом. Что бы это могло значить?

Неудивительно, КИС на 50% реклама.
Любит халяву, наш народ, вот и качает с торрентов всякую хрень, от "добрых" хакеров, а потом жалуется.
На вирустотале один недостаток - ограничение по размеру файла, не более 128 мб.
Идеально лайв сиди с линуксом под это дело завести,  ключи/кошельки на специальную флешку, и залазить туда только из под этого сиди. Муторно, зато надежней.

приведенный выше счет это ваш или того кто украл?? там всего 2 транзакции то
я локально у себя храню - использую multibit.org кошелек

Все просто оказалось, так сказать товарищ получил доступ к компу, и всем гаджетам, подпоил чела чем то, или как по другому? А он был вхож к нему домой, и работали вместе,  и перевел деньги, а тот чухнулся дня через два. 

С вебмани можно хоть узнать куда ушли деньги,да и как вообще,там смс подтверждение должно было стоять у него или не было его?

Почему три рубля то? В примере этом даже говорится про вход 10.89 битка, если 20 битков, как у ТС или даже 10 замылится, это не маленькая потеря. И любой, не разобравшись, будет кричать что кошелёк дырявый, а разработчики воры.

https://xakep.ru/2014/12/24/hack-admin-rules/
http://www.securitylab.ru/vulnerability/473280.php
http://habrahabr.ru/post/108903/
http://stfw.ru/page.php?id=16281
http://www.hackzone.ru/exploit/view/id/8506/
http://opankey.com/news/27031220-v-defoltnyh-nastroykah-windows-7-i-81-vyyavlena-uyazvimost
http://gsm-zona.ru/showthread.php?t=6204

Тысячи их. Если тщательно скриптованной связкой смогли пробить защиту браузера, что антивирус не засек, локальные привелегии поднять до админских трудностей, как видите, не составляет.

Связки, как правильно, покупаются у специализирующихся товарищей, загрузки также у отдельных. Уязвимостями (*втч и непаблик также занимаются специалисты). Разделение труда. То, что смогли увести ключ (при условии, что тот действительно не ушел на адрес для сдачи) - заслуга целой компании, а не хакера-самородка, никакое не чудо. Высокомаржинальный и поставленный на поток бизнес.