Topic: Algunos (pocos) si logran dar con los ladrones de sus bitcoins (Read 136 times)

Yo no soy programador, pero el articulo explica:

"Ethereum Name Service o ENS hace prácticamente lo mismo, con la ventaja adicional de que los dominios están descentralizados. De esta manera, prometen aumentar la resistencia a la censura.

También sirven como una dirección Ethereum, así en lugar de escribir direcciones Ethereum de 64 caracteres, los dominios .eth son útiles para enviar ether directamente a un nombre asociado a una página web. Con la integración, esto ahora es posible con los dominios .com y otros, como lo señalamos anteriormente."

Si no lo he entendido mal, te permiten cambiar tu mismo dominio DNS (centralizado) a ENS (descentralizado) con la misma direccion web y todo. Con lo cual realmente son dominios descentralizados. El problema si viene con que si vende su DNS, el nuevo propietario puede reclamar su ENS correspondiente, pero me parece lógico. Luego lo que comentas de la privacidad, de poder variar direcciones, no tengo ni idea, pero me parece un muy buen punto para considerar, porque si ademas puedes ir cambiando las direcciones asociadas, me parece un gran avance hacia la adopcion generalizada.

No me parece nada mala la solución propuesta. La ventaja sobre BIP70 es que no necesita del intercambio de direcciones IP entre vendedor y comprador.

Pero también puede tener una desventaja: Si el NFT del dominio está atado a una dirección particular, el vendedor no podrá utilizar fácilmente direcciones nuevas para cada transacción, algo que siempre se recomienda en el "mundo Bitcoin". No solo para preservar la privacidad de ambas partes (si se conoce la dirección del vendedor, es más fácil asociar la del comprador con cierto tipo de compra por ejemplo) sino también es una potencial vulnerabilidad para futuros ataques con computación cuántica (no está seguro que será realmente un peligro pero la posibilidad está.) Ahora bien, los NFT se pueden transferir, pero según tengo entendido, esto generará gastos en comisiones para cada vez que se transfiera.

Lo que tampoco se es si no hay un aspecto centralizado en este modelo, a mi me parece a simple vista que el contrato del ENS tiene "dueños" (una entidad que paga las comisiones en gas etc.). En este caso, todo el modelo pierde un poco el sentido, porque para asociar dos cadenas de caracteres (dirección y dominio) una con la otra a través de una entidad centralizada, uno no necesita de una blockchain

(Aclaro que no soy experto en ETH, asi que si está mal lo que escribo, por favor corrijanme ).

Usar Linux e instalar solo de los repositorios oficiales. En Windows parece que pusieron una tienda, pero los malos hábitos nunca terminan...

La verdad que desconocía todas estas formas de robo, por suerte nunca me ha pasado nada ni a nadie que conozca personalmente. Tengo un amigo programador que no utiliza antivirus en su PC, y siempre me dice lo mismo, el mejor antivirus eres tu mismo. Aquí es igual. Podrán sacar muchas soluciones antihackeos pero como te despistes te la cuelan por donde nadie esperaba.

Justo ayer he visto esta noticia:

https://www.criptonoticias.com/tecnologia/puedes-usar-dominio-puntocom-para-recibir-enviar-bitcoin-ethers-dogecoin/

No entiendo mucho de programación, pero imagino que soluciones como estas ayudaran muchísimo, ya que te permite escribir por ti mismo donde envías y de un vistazo rápido saber si hay algún carácter mal.

Los estafadores nunca dejan de sorprenderme dado que usan cada recurso que tienen a su disposición de una manera increíblemente eficiente, por precaución siempre me aseguro de checar carácter por carácter que la dirección destino sea la correcta, y cada vez que hago esto me pregunto si estoy exagerando y que tal vez sea suficiente con tan sólo checar los primeros caracteres de la dirección destino.

Pero ahora que veo esto no tengo ninguna opción más que seguir con esta práctica por más tediosa que pueda parecer, porque no estoy dispuesto a perder ni un solo satoshi ante esos estafadores tan sólo por tratar de ahorrar unos cuantos segundos.

Bueno la verdad $10k para dar con lo perdido no es nada, sin embargo es increíble que unos menores de edad( En el tiempo que lo hicieron) usen esos talentos para el robo o hacerle daños a los demás, por supuesto creo que en este caso y en muchos los padres no tienen ni la menor idea de lo que sus hijos hacen a través de una pc. Me gusta porque es un claro ejemplo de las cosas que si se deben hacer que es como actuó el Sr que lo robaron. Tal vez esto inspire a muchos a no rendirse cuando los roban, algunos ni intentan en recuperar lo que les roban, ya que mayormente cuando se muestran actos de robos en blockchain lo primero que se consigue en la web es que es imposible de recuperar, y bueno en algunos casos si, pero ahora con tantas herramientas y con tanto desarrollador y programador ofreciendo sus servicios es una opción que da esperanza para aquellos que son timados.

Ya es historia BIP70 (el controvertido "Payment Protocol", usado entre otras compañías por Bitpay), pero era un intento interesante justo para combatir este tipo de problemas como el clipboard-jacking.

Lamentablemente BIP70 tuvo huecos de seguridad y privacidad y por ende fue abandonado en Bitcoin Core. Pero sigo sosteniendo que se debería trabajar en un reemplazo, ya que BIP 21 (la famosa URI "bitcoin:") no provee ningún tipo de protección contra el "clipboard-jacking" u otros ataques tipo MITM. Si bien BIP21 puede incluir el nombre del destinatario del pago, un clipboard-jacker puede simplemente añadir el mismo nombre.

Quizá BIP21 se puede extender con un hash de los siguientes items:

- Nombre del destinatario
- Producto
- Item
- Dirección

haciéndolo más difícil para un clipboard-jacker generar una dirección y un hash que se parezcan a las variantes "legítimas" y que estén correctos. Como entiendo BIP-21, esto sería posible con un parámetro opcional, pero la wallet obviamente debe soportar eso y me parece que no lo he visto en ninguna.

Definitivamente debieron llevarse una sorpresa, lo que llama la atención es que por lo general el índice de maldad esta en estos jóvenes con "talento" que como creen que no le ponen una pistola a nadie, no pasa nada.

Quien haya sufrido algún robo espero que no sea nadie del entorno LE, sabe que las definiciones técnicas, hurto o atraco, dejan al ladrón en mejor posición o quizás como decía el profesional de la ley con menos intenciones de hacer daño.

Se debe legislar sobre esto y con todo el peso de la ley el phishing, rasonware, clipboard-jacking, etc. tiene que tener una condena mayor a 5 años a cadena perpetua.

Si, perooo siempre sucede y a veces están muy bien encaminadas al éxito.


Un poco O-T,  

Acabo de revisarlo.
Una ingeniosa manera de hacer scam por parte de esas personas, lamentablemente solo personas nuevas en el mundo de las criptomonedas se podrian fiar de una página para esta clase de cosas en la mayoría de los casos.

Mi conclusión: Gracias a Dios por las Trezor.

Ayer vi otro caso, que no es novedoso en mecánica, donde un generador de códigos QR para direcciones bitcoin reemplazaba la dirección que le dabas por otra propia con el mismo prefijo de 4-6 caracteres aproximadamente (ver (Beware Newbie)QR Code Generator Scam).

Vamos, que sí o sí, hemos de revisar muy bien las direcciones destino que pongamos antes de darle al envío definitivo, y cuanto más pacientes y meticulosos en el contraste de la dirección mejor.

Un caso extraordinario de recuperación, sin duda.
Lo bueno es que para el protagonista de esta historia la inversión del seguimiento finalmente le resulto rentable para recuperar sus bitcoins o por lo menos encontrar a los responsables, muy perseverante esta persona.

La moraleja de la historia: No confien ciegamente en el copy/paste sin importar el software o wallet que utilicen.

Si a la hora de recibir/enviar se revisa parte de los primeros digitos de la dirección y parte de los últimos, es imposible que un malware o un hacker reemplace mediante brute-force una dirección de tu propiedad con una similar tanto al final como al principio.

Just my two cents.

Me alegro por ese hombre. La moraleja, una vez más, viene de la educación y de descargar siempre los wallets de los enlaces oficiales, no de cualquier sitio.

No es habitual leer casos como éste, y aún no siendo un caso de éxito de recuperación de los bitcoins robados, está en camino a poder serlo.

El caso versa sobre como un hombre (en EEUU) perdió 16,4 BTCs en enero 2018, por el método del clipboard-jacking. Ya sabemos: usamos el copy/paste para indicar la dirección de destino, y nos cambian la dirección de destino intencionada por la del hacker, enviamos y voilá: hemos enviado los BTCs a donde no queríamos. Y ponte a buscarlos …

Pues eso es precisamente lo que hizo el protagonista de la historia: en resumidas cuentas, contrató unos expertos en el seguimiento de las criptomonedas, y tirando tirando del hilo, tras gastar más de 10K$ en los investigadores, parecen haber dado con los dos responsables. Dichos sujetos eran dos menores de UK (aunque creo que ya no son menores), a cuyos padres se reclaman su responsabilidad en gestionar la devolución. Como no, el tema está ahora en los tribunales.

Por cierto, el clipboard-jacker lo instaló el perjudicado al instalar una wallet a partir de un link en Reddit. La wallet parece que era válida, pero el software clipboard-jacker vino de regalo adicional …


Ver:
https://krebsonsecurity.com/2021/08/man-robbed-of-16-bitcoin-sues-young-thieves-parents/