Author

Topic: Foi descoberta uma nova falha em carteiras de BTC mais antigas (Read 196 times)

legendary
Activity: 3304
Merit: 1617


Francamente, ter 336BTC numa carteira online, não faz qualquer sentido.
As carteiras online, devem servir apenas para usar o BTC em qualquer lugar. Ou seja, ter lá apenas dinheiro para um uso diário ou mensal, e nada mais.


Eu usei um tempinho a carteira da Bitpay, mas usava apenas para fazer pagamentos em sites e empresas que tinham o gateway de pagamentos da própria Bitpay. Não deixava saldo lá. Apenas carregava a carteira e utilizava. Nunca gostei de carteiras online. Ultimamente não utilizo mais nenhuma carteira online.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Mais uma história sobre falhas em carteiras.. um brasileiro perdeu 336 bitcoins usando a carteira Copay da BitPay em 2019 e agora, quatro anos depois, resolveu processar a BitPay.. infelizmente acho difícil ele ganhar o processo.

....

Mais um lembrete para usar várias carteiras diferentes, especialmente se você tiver 336 bitcoins.

Eu lembro bem de ter testado essa carteira (Copay) em 2017 ou 2018 assim que conheci o bitcoin.

Usei a carteira uns 30 minutos, e vi que era uma porcaria e desinstalei. Não deixaria 1 real lá.

Imagina 336 bitcoins.

Impressionante como as pessoas perdem dinheiro por irresponsabilidade, descuidos básicos ou simples preguiça...

O cara tem 336 bitcoin e nao quis gastar 0,0045 numa ledger ou trezor....
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Mais um lembrete para usar várias carteiras diferentes, especialmente se você tiver 336 bitcoins.

Francamente, ter 336BTC numa carteira online, não faz qualquer sentido.
As carteiras online, devem servir apenas para usar o BTC em qualquer lugar. Ou seja, ter lá apenas dinheiro para um uso diário ou mensal, e nada mais.
legendary
Activity: 2688
Merit: 2297
Mais uma história sobre falhas em carteiras.. um brasileiro perdeu 336 bitcoins usando a carteira Copay da BitPay em 2019 e agora, quatro anos depois, resolveu processar a BitPay.. infelizmente acho difícil ele ganhar o processo.

Fonte: https://livecoins.com.br/brasileiro-perde-r-62-milhoes-em-bitcoin/

Postagem dele aqui no bitcointalk na época do roubo (1 ano após a falha ser divulgada):

I've experience what it seems a huge exploit in my copay wallet, with 336.2008 btcs beeing moved out. This is a new phone use only for btc, never in public wifi, never downloaded anything other than essencial apple apps, etc.

All of the sudden after 3 withdraws from otc dealers were confirmed my wallet sent 293.998 btcs to the address(below), i thought was a normal wallet re-sync(as it happens almost weekly in copay where u dont see your funds) and sent the previous balance to myself at: bd8b85b5fbec189c491b950e10d31c20678aeeac7e3b14fd9bbbb8e82afd0f0b
After receiving my balance, my wallet again sent it to the address.

Tried already restoring in other wallets and in others deviaton path, no success, looks like a hacking/exploit situation.

Help!!

Device: Recently(3 weeks ago) bought iphone 11 pro. IOS 13.1.2
App version: 7.1.6
Wallet funds went to: 1CYYS3R6CKD43nCxFbqvEvjr3VUScKswBw
Xpub: xpub6D9TkHyd2Zn5PgTSprttDdtn3oMEtTmasxLoy45SEEVzouWfzzDWwgGdThnhV9TGEBGGcdkMG7n z9t3JswoyKwn3Me9qVYCJTFP7LEuG2uP

Mais um lembrete para usar várias carteiras diferentes, especialmente se você tiver 336 bitcoins.
legendary
Activity: 3304
Merit: 1617
Por acaso já tenho conta no Blockchain.com (.info) desde 2013. Nunca tive problema até hoje, apesar de isso não significar nada.

Mas, felizmente já não tenho lá saldo quase nenhum. Tenho tudo em Electrum e no Ledger, e talvez esteja a pensar em ir buscar mais uma hardware wallet, "air gapped", para guardar as minhas moedas.

Com essa descoberta, tenho de passar pelo blockchain.com e ver o que ainda posso tirar de lá.

Essa carteira é bem antiga, mas um tanto fraca. Já teve no passado vários relatos de moedas que sumiram dela do nada. Não sei se é verdade ou não. Já tive ela no meu começo e deixei de usar há uns oito anos no mínimo. Assim como a da Dogecoin.info, que também deixei de usar faz um tempão.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science

NAÕ É FACIL SER INVESTIDOR CRIPTO. Puta merda!

Cara, acho que de TUDO TUDO que podem ser barreiras e problemas pro BTC, nem escalabilidade é algo tão urgente como a questão da segurança. É muito dificil e muita gente perde dinheiro todos os dias. Claro que deve ser um pouco assim com os golpes de bancos e etc, mas sinto que é pior pro bitcoin e olha que nem estou considerando as altcoins e outros projetos.

Pois é....

Mas essas carteiras são tão antigas. Nessa época as pessoas investiam em cripto sabendo q era uma tecnologia experimental e de fato era algo arriscado tanto tecnicamente quanto em termos financeiros. O ativo podia ter uma falha técnica, quanto também torna-se sem valor no futuro.

Essas pessoas foram altamente recompensadas pelos riscos que passaram.

Hj em dia esse tipo de falha não acontece mais  ou tem a chance bem menor...
legendary
Activity: 2450
Merit: 1472
NAÕ É FACIL SER INVESTIDOR CRIPTO. Puta merda!

Pois é, até um tempo atrás eu ainda achava possível comprar BTC, ter criado as wallets de forma off-line, e deixar guardado por tempo indeterminado sem preocupações, porém não acho que é possível ficar tão tranquilo assim
Claro que é difícil acontecer algo se você fizer tudo certinho, mas hoje em dia parece extremamente essencial você ficar por dentro das notícias pra ver se nenhum app, carteira, defi, exchange etc deu problema e você precisa tomar alguma medida rápida

Também acho importantíssimo a questão da segurança, muita gente deve desistir de cripto depois de ter uma má experiência ou por medo mesmo
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Cara, acho que de TUDO TUDO que podem ser barreiras e problemas pro BTC, nem escalabilidade é algo tão urgente como a questão da segurança. É muito dificil e muita gente perde dinheiro todos os dias. Claro que deve ser um pouco assim com os golpes de bancos e etc, mas sinto que é pior pro bitcoin e olha que nem estou considerando as altcoins e outros projetos.

Junta-se ainda o dilema, que o Bitcoin não é - por norma - algo apenas para guardar, mas também para usar. Acredito que até os holds mais ferrenhos, tenho sempre algum BTC de lado para ir gastando.
Isto acaba por ser o mesmo, de você ter o colar de diamantes mais caro do mundo, mas não quer apenas o ter guardado do cofre e quer usar em alguns momentos especiais. Qual a segurança que você iria procurar? Será que seria eficiente ou suficiente?

O mesmo acontece com o BTC, temos de garantir a melhor segurança possível, mas ao mesmo tempo ser uma segurança que permita dar algum uso.
legendary
Activity: 1428
Merit: 1568
Eu mesmo tinha umas duas carteiras aqui que tinha gerado no Bitadress, mas em 2017, mas já movi tudo aqui

Eu fico pensando naquelas pessoas que compraram BTC lá atrás (eu mesmo conheci o Bitcoin em 2017), fizeram um depósito e juraram que só iriam mexer na wallet quando fosse se aposentar... aí chega uma notícia dessas e a pessoa nem fica sabendo ou então se vê obrigada a pegar o "mapa do tesouro" antecipadamente e ter que cavar o buraco para pegar a papper-wallet lá e resgatar os bitcoins antes que alguém consiga fazer o mesmo com bem menos esforço Cheesy

Eu usei bastante a Blockchain.info no passado, ainda tenho acesso à elas e guardo de recordação, mas não tenho nenhum saldo mais nelas, até os forks que teve no passado e que rendeu algum "troco" eu consegui zerar também.

Tomara que nunca descubram falha parecida nas carteiras gerada por Satoshi Roll Eyes



HAHAHAHA
fiquei imaginando uma pessoa de boa em casa, sentada no sofá pensando em como os saldos dela está em segurança com a seed enterrada em baixo da casa e ai do nada ele le uma noticia dessa e precisa sair cavando tudo loucamente no dia que jurou que não ia fazer nada e ia ficar trnaquilo.

NAÕ É FACIL SER INVESTIDOR CRIPTO. Puta merda!

Cara, acho que de TUDO TUDO que podem ser barreiras e problemas pro BTC, nem escalabilidade é algo tão urgente como a questão da segurança. É muito dificil e muita gente perde dinheiro todos os dias. Claro que deve ser um pouco assim com os golpes de bancos e etc, mas sinto que é pior pro bitcoin e olha que nem estou considerando as altcoins e outros projetos.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Por acaso já tenho conta no Blockchain.com (.info) desde 2013. Nunca tive problema até hoje, apesar de isso não significar nada.

Mas, felizmente já não tenho lá saldo quase nenhum. Tenho tudo em Electrum e no Ledger, e talvez esteja a pensar em ir buscar mais uma hardware wallet, "air gapped", para guardar as minhas moedas.

Com essa descoberta, tenho de passar pelo blockchain.com e ver o que ainda posso tirar de lá.
legendary
Activity: 3304
Merit: 1617
O problema de usar várias carteiras, na minha opinião, é precisamente serem muitas. Eu tenho alguma dificuldade em ter muitas aplicações a fazer a mesma coisa. Sei que pode ser contraproducente mas prefiro ter apenas 3 ou 4 addresses e não muito mais porque a páginas tantas vou ter dificuldade em gerir bem onde, como e de que forma assegurar que as PKs das wallets todas estão seguras!

O ideal seria ter poucos endereços, mas infelizmente na prática não se torna muito seguro fazer isso. Dependendo do número de transações, tem programas que começam a rastrear e tentam fazer ataques para tentar descobrir quem é o dono de determinado endereço. Já vi casos disso. Agora, não se sabe quem faz esses ataques. Se são hackers, entidades governamentais ou empresas de análise de blockchain.
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Eu mesmo tinha umas duas carteiras aqui que tinha gerado no Bitadress, mas em 2017, mas já movi tudo aqui

Eu fico pensando naquelas pessoas que compraram BTC lá atrás (eu mesmo conheci o Bitcoin em 2017), fizeram um depósito e juraram que só iriam mexer na wallet quando fosse se aposentar... aí chega uma notícia dessas e a pessoa nem fica sabendo ou então se vê obrigada a pegar o "mapa do tesouro" antecipadamente e ter que cavar o buraco para pegar a papper-wallet lá e resgatar os bitcoins antes que alguém consiga fazer o mesmo com bem menos esforço Cheesy

Eu usei bastante a Blockchain.info no passado, ainda tenho acesso à elas e guardo de recordação, mas não tenho nenhum saldo mais nelas, até os forks que teve no passado e que rendeu algum "troco" eu consegui zerar também.

Tomara que nunca descubram falha parecida nas carteiras gerada por Satoshi Roll Eyes

hero member
Activity: 1274
Merit: 681
I rather die on my feet than to live on my knees
O problema de usar várias carteiras, na minha opinião, é precisamente serem muitas. Eu tenho alguma dificuldade em ter muitas aplicações a fazer a mesma coisa. Sei que pode ser contraproducente mas prefiro ter apenas 3 ou 4 addresses e não muito mais porque a páginas tantas vou ter dificuldade em gerir bem onde, como e de que forma assegurar que as PKs das wallets todas estão seguras!
legendary
Activity: 2688
Merit: 2297
outras aplicações usavam apenas a implementação da biblioteca, tendo uma entropia menor do que a que seria recomendada? É isso?

Acho que os problemas relacionados a entropia e geração de chaves são dos mais graves que possam existir e mesmo ''não sendo graves'' não sei como pode não ser. É bem importante entender a fundo o que ocorreu e entender COMO DEVE ser daqui pra frente. A questão da geração das chaves é bem pouco debatido ''comumente'' e acho que é algo que fica muito nichado. Mas precisamos ter atenção.

É isso, aleatoriedade baixa/quase nula.

O problema é que esses projetos usam soluções prontas, feitas 10 anos atrás em um porão:

E claro, as maravilhas do open-source:




Se alguem tiver alguns link adicionais sobre o assunto das entropias das chaves, melhores formas de geração, inclusive geração ''caseira'' e quiser compartilhar, eu gostaria.

Para mim a melhor saída é a descentralização.. ou seja, usar o máximo de carteiras possíveis.. guardar um pouco na Ledger, um pouco na Electrum, um pouco na carteira X, Y, Z e assim por diante.. assim você não fica refém de um único código.

O CZ tem um pensamento parecido em relação às stablecoins, diz que devemos usar várias e não uma única para ter mais proteção.
legendary
Activity: 1428
Merit: 1568

Nesse caso são os movimentos do mouse que geram a chave privada.. quase impossível gerar duas carteiras iguais.

"Bitaddress.org, um site que usa BitcoinJS para a geração de carteiras Bitcoin, coletou entropia de pressionamentos de teclas, cliques e movimentos do mouse desde novembro de 2011."

A carteira mais afetada deve ser a Blockchain.info devido a seu tamanho, mas eles contam com um sistema de login por e-mail, o que deve facilitar o contato com essas pessoas.. eu criei a minha lá em 2016, estou seguro (até descobrirem outra falha Cheesy)

Mas o problema foi na implementação da biblioteca do BitcoinJS, só que algumas aplicações criavam a chave adicionando outros elementos para aumentar a entropia enquanto outras aplicações usavam apenas a implementação da biblioteca, tendo uma entropia menor do que a que seria recomendada? É isso?

Acho que os problemas relacionados a entropia e geração de chaves são dos mais graves que possam existir e mesmo ''não sendo graves'' não sei como pode não ser. É bem importante entender a fundo o que ocorreu e entender COMO DEVE ser daqui pra frente. A questão da geração das chaves é bem pouco debatido ''comumente'' e acho que é algo que fica muito nichado. Mas precisamos ter atenção.

Se alguem tiver alguns link adicionais sobre o assunto das entropias das chaves, melhores formas de geração, inclusive geração ''caseira'' e quiser compartilhar, eu gostaria.
hero member
Activity: 1274
Merit: 681
I rather die on my feet than to live on my knees
A questão não é só "poucas carteiras devem ter sido afectadas"... Acabamos sempre a discutir o mesmo... Eu prefiro sempre incluir as piores hipóteses, e tudo o resto vem por acréscimo. A questão aqui também é se um dia, uma dessas poucas carteiras (eu prefiro o termo wallet) é uma das nossas. Nesse dia vamo-nos arrepender de termos ignorado essa pequena probabilidade de poucas carteiras terem sido afectadas....

No telegram tem andado uma discussão de já alguns anos sobre esse site bitaddress.org. Um de nós aconselha a gerar wallets aí (ainda que para valores baixos). Outro discorda por completo e eu concordo que jamais devemos gerar wallets, seja para que valores for, em sites online!
Se até se discute em dispositivos "air gapped" e agora vamos aconselhar gerar wallets em sites online? É um bocado contraditório!
legendary
Activity: 2688
Merit: 2297
Eu mesmo tinha umas duas carteiras aqui que tinha gerado no Bitadress, mas em 2017, mas já movi tudo aqui

Essas carteiras estão bem, o próprio site da Unciphered usa eles como exemplo de como chaves devem ser geradas:

"Se você está procurando uma maior compreensão deste assunto, existe um gerador de carteira online que ilustra (literalmente) como a entropia deve ser tratada, confira bitaddress.org. Bitaddress fornece a maneira mais fácil de ver a entropia em ação."

Nesse caso são os movimentos do mouse que geram a chave privada.. quase impossível gerar duas carteiras iguais.

Em outra página cita que a Bitaddress usa o BitcoinJS mas também usa os movimentos do mouse desde 2011, então poucas carteiras deles devem ter sido afetadas:

"Bitaddress.org, um site que usa BitcoinJS para a geração de carteiras Bitcoin, coletou entropia de pressionamentos de teclas, cliques e movimentos do mouse desde novembro de 2011."


A carteira mais afetada deve ser a Blockchain.info devido a seu tamanho, mas eles contam com um sistema de login por e-mail, o que deve facilitar o contato com essas pessoas.. eu criei a minha lá em 2016, estou seguro (até descobrirem outra falha Cheesy)
legendary
Activity: 2450
Merit: 1472
Depois da falha Milk Sad, agora o nome é Randstorm
O resumo é:

Em suma, a vulnerabilidade está ligada ao BitcoinJS, uma biblioteca usada por diversos softwares para a geração de carteiras. Dentre os nomes mais famosos entre os possíveis afetados estão a Blockchain.info (atualmente Blockchain.com), BitAddress, Bitgo, GreenAddress e CoinKite.

“Isso afeta potencialmente milhões de carteiras de criptomoedas que foram geradas entre 2011 e 2015. O valor dos ativos ainda nessas carteiras é considerável. A Unciphered envolveu as partes afetadas e vem trabalhando há mais de um ano para remediar o problema. Não fomos, no entanto, os primeiros a perceber isso.”

Matéria completa e fonte da informação aqui: https://livecoins.com.br/randstorm-falha-em-carteiras-de-bitcoin-coloca-r-124-bilhoes-em-risco/



Se algum de vocês tem alguma carteira criada no Blockchain.info ou Bitadress, as mais famosas que lembrei, é bom mover os fundos e ficar mais tranquilo
Não é uma falha gravíssima pelo que li, nem precisam se preocupar muito
Até agora não tem relato de alguém que perdeu os fundos por causa dessa falha, mas é sempre bom se precaver, é uma ação simples que pode dar mais segurança pros seus BTC

Eu mesmo tinha umas duas carteiras aqui que tinha gerado no Bitadress, mas em 2017, mas já movi tudo aqui
Jump to: