Topic: Nos lo podemos creer, o no … BTCs robados de un ledger escondido (en un armario) (Read 249 times)

El "procedimiento de resguardo" de las HW es...

Anota a mano en un papel las frases semilla (y guardalas muy bien), fin.

¿Donde habremos visto eso antes? Ah si, es el mismo procedimiento con cualquier wallet...

Y si un tercero se hace con esas frases semilla, puedes ponerle todo los rebusques de seguridad al dispositivo, estará vació e inútil posiblemente sin tu darte cuenta...

Las frases semilla son seguras, el problema está en la cabeza de las personas que no entienden de su importancia mayúscula, que puedes tirar a la basura el dispositivo de 100 dólares pero debes proteger esas palabras a como de lugar.

Se piensan que "artilugio de 100 dólares" = seguro, y papel escrito a mano = inseguro, pero es al contrario. Nadie te obliga a escribir las semillas de manera que otros puedan comprenderlas, debes inventarte algo y no divulgarlo, las posibilidades de proteger las frases semillas son infinitas, a diferencia de estos dispositivos.

Por no hablar de la persona que "recuperó" su dinero explotando un fallo de dispositivo, ah pero a esta persona nunca se le ocurrió proteger sus frases semilla, que si el aparato hubiera hecho realmente lo que prometía, jamás hubiera podido haber recuperado eso...

Lo del alcohol era un tanto de coña …

Sí que hay algo que Ledger puede hacer potencialmente (puede que ya lo haya hecho y no divulgado por privacidad):

Ledger Live se lanzó en septiembre del 2018. Dado que la TX del "robo" de los fondos fue realizada el 10/07/2019, es posible que se usase un Ledger Live para hacer el movimiento. También es posible que no, … pero Ledger conserva logs de Ledger Live ¡durante 5 años!.

Según se indica en su política de privacidad, para Ledger Live se conservan datos relativos a:

Es decir, tienen la IP, el Id Tx y las fechas, con lo cual algo se podría quizás deducir. Según el artículo, Ledger asegura que el problema no tiene nada que ver con Ledger, y si bien hay temas de privacidad y tal asociados, puede que estuviese en disposición de indicar si la TX de salida salió de la IP del propio afectado o no, entre otras cosas.

Un poco rebuscado para mi gusto, por ahora me inclinaría por la teoría de robo por parte de familiar/amigo, el cual se informo lo suficiente como para saber como robar el dinero, pero sin contar con los conocimientos sobre los mezcladores, los exchanges sin KYC o los atom-swaps.

En el peor de los casos, la teoría conspirativa de que un empleado en Ledger está acumulando para su jubilación con un puñado de wallets alteradas podría ser plausible, pero creo que pensar cosas así no me harán ningún bien. 

No localizo nada nuevo en los medios al respecto. Los BTCs siguen en la dirección a la cual se movieron a mediados del 2019, pero nada más se sabe al respecto.

Es una historia algo extraña, dado que los fondos llevan años sin moverse. Un ladrón no tiene pinta de ir a dejar los BTcs inmóviles durante años, y puestos a pensar en alternativas, me resulta más plausible alguna relacionada con grados de alcohol que otras posibilidades.

Supongo que uno podría considerar añador una passphrase a la semilla por si no se fía de cómo éstas se generan o algo por el estilo, pero teniendo en cuenta el añadido de responsabilidad que supone.

Me pregunto se ha seguido desarrollando esta noticia de alguna manera, es de interes para mí como usuarios de HW, por supuesto...

Comentar que, según cita el artículo referenciado en el OP (y otros que he mirado), la persona en cuestión trabaja en el sector informático. De hecho, en su misma ciudad de residencia, Adelaile, hay un perfil en LinkedIn con el mismo nombre y apellido, que trabaja actualmente en Avanade como Cloud Consultant. Puede que sea (o no) la persona objeto de la noticia.

Con ello quiero decir que, en su caso, la vertiente tecnológica asociada a la custodia no debería ser un reto, lo cual no significa que pueda haber hecho algo no citado en el artículo, como por ejemplo haber subido una copia digitalizada de su semilla a un entorno Cloud.

Este es un gran ejemplo de la capacidad que tiene el ser humano, de siempre, siempre, sea cual sea la causa, echarle culpas a un tercero.

BTC tiene un sistema por el cual, con lápiz y papel (o si lo prefieres, piedra y cincel), puedes salvaguardar tus fondos... pero la gente le compra un mecanismo USB que no comprende, se descargan unas extensiones que tampoco comprenden... next, next, next... y piensan que así está mejor... y es que, admitámoslo, el mayor problema que tienen las criptos para llegar al gran público, es a la vez, su gran virtud; Que en última instancia dependen de uno mismo. Y esa responsabilidad pone a la gente muy nerviosa.

Primero, porque la gente no entiende, no comprende como funciona BTC, siquiera el sistema de semilla, y si lo hacen se asustan, pues no confían en ser ellos mismos los últimos responsables de sus fondos.

Segundo, porque la gente prefiere confiar en un 3º... así se quitan "preocupaciones de encima", ya sea el fabricante/vendedor del ledger o el exchange de turno. Comodidad antes que seguridad.

Tercero, porque la gente necesita echarle la culpa a alguien... Pues las desgracias cuando son culpa de otro... son mucho más llevaderas.

Y eso es lo único que puedo extraer de este caso, que esto de las criptos está en pañales, más por la psicología de la gente, que por temas técnicos. Es por lo mismo que la gente es feliz con sus tokens de ETH, sus perritos, masternodos, el POS, tenerlo todo en un exchange o se mete con un Broker, cuando no directamente en un esquema Ponzi.

Lo más triste, es que a medida que las criptos van ganando popularidad, el desconcierto y las prácticas absurdas, van en aumento. La gente se mete para sacar $, casi obligada (fomo), sin querer entender nada, pues no lo hacen para educarse o entender lo que este ecosistema aporta a la economía clásica, sino por pura codicia.

Yo soy de la opinión que BTC se aprovecha (como mercado especulativo) de esa ignorancia. Solamente hay que mirar Coinmarketcap para verlo... la primera página está llena de mierda de un montón de promesas vacias, de proyectos que ni funcionan sobre el papel, que aparecen y desaparecen sin mayor repercusión que dan la imagen que el dominio de BTC es o incontestable y perfecto u otra estafa, mucho mayor, por estallar.

Mientras, los proyectos que sí complementan u ofrecen alternativas, languidecen amargamente, tildándose inequívocamente de shitcoins, y siendo totalmente ignorados por el mercado.

Lo que yo me pregunto es si esto será así por siempre, si al final con los años, este mercado será más racional, o si hace falta una buena hecatombe, para que esto cobre sentido.

Yo creo que las preguntas básicas que uno debe hacerse, y obrar en consecuencia, son:

Q1) ¿Realmente tengo algo cripto de valor efectivo o potencial que proteger? (y no calderilla)

Q2) Si me pasa algo a mí, ¿mis "herederos" podrán acceder a las criptomonedas? (otra cosa es si se apañarán bien, pero lo básico es que puedan acceder por sí mismos).

Q3) Si hay un siniestro en la ubicación principal, ¿hay manera de acceder a los fondos de otra manera?

Q4) ¿Podría un ladrón acceder a tus fondos a través de lo ubicado en cualquiera de tus ubicaciones?

Las preguntas anteriores las abordaría con una temporalidad inmediata; es decir, ponerse en situación de que sucediesen los acontecimientos "ya", sin tiempo para planificar.

Pero la vuelta de tuerca adicional es que no tenemos por qué subrayarlas en orden. Si nuestra semilla es de 12 palabras, podemos averiguar el orden correcto por fuerza bruta en cuestión de horas (https://btcrecover.readthedocs.io/en/latest/Usage_Examples/2020-05-02_Descrambling_a_12_word_seed/Example_Descrambling_a_12_word_seed/). Obvio, esta no es una solución que le podamos dar a nuestra pareja pero es una alternativa más que nos sirve a nosotr@s mientras no entremos en coma.

Si nuestra semilla es de 24 palabras (o 18) entonces sí que será necesario poder reconstruir el orden de 12 de ellas (o 6, respectivamente). O que sean 11 (5) y alargar los tiempos de fuerza bruta (https://bitcointalksearch.org/topic/m.58776250).

Creo que los ríos de tinta que se han escrito sobre esto se deben a que existen mil formas de hacerlo, y cada cual cree que la suya es la mejor. Claro, es la mejor para sí, pero para nadie más. Que cada cual se informe de las opciones que tiene y encuentre la suya.

Lo que le faltaría a esta técnica es poder preservar el orden de las palabras, dado que la semilla las precisa en el mismo orden en el cual fueron creados para ser válida. Poder dar con un libro que permita subrayarlas en orden debe ser harto complicado …:

Permutaciones sin repetición de 12 elementos (n!): 479001600
Permutaciones sin repetición de 24 elementos (n!): 6.204484017332394e+23

Como ya te dijeron, si podes pasa la fuente.

Yo creo que siempre se debe guardar por separado todo.
Lo de memorizar solo si es mucho dinero (plottwist: le agarra amnesia).

Tambien se podria utilizar la tecnica de marcar en un libro que uno sepa las palabras. Subrayandolas digamos, seguro en un diccionario estaran todas, si no en algun libro que justo tenga toda las palabras de nuestra semilla.

Tambien se podria tener una copia digital en un block de notas en alguna memoria muy escondida y asi mil cosas.

Pienso igual hay que tener cuidado con eso a veces esas cosas son "un llamador"

Por contra, si lo tienes todo en un mismo sitio, y hay un siniestro en el mismo (incendio por ejemplo), lo más probable es que ya no puedas acceder a las claves, de ahí que va bien ponderar alguna solución fuera del entorno actual, aunque sea encriptado o a modo de hardware wallet secundario (actualizando el firmware de vez en cuando).

El peor escenario es que uno estuviese además afectado por el siniestro de manera irremediable, y si hay algún heredero, sin plan alternativo fuera del entorno actual, no habría manera de acceder a los fondos.

Creo que mientras más copias existan de las claves privadas, ¿no existe más posibilidad de una filtración o robo?

Creo que por ahora, para mis humildes cantidades, una copia y la memorización es suficiente. 

En el tema de las fotos, una posibilidad estaría en montar un fotolibro con la semilla incluida en el mismo, buscando con este formato que no hubiese posibilidad de que las fotos se cambiasen de orden ni se regalasen aisladamente (lo cual no quiere decir que el libro no desaparezca un buen día).

Un aspecto a ponderar es que cada palabra de la semilla se corresponde con una entrada fija numérica de una tabla de equivalencias BIP39, luego se podrían utilizar los números equivalentes de múltiples maneras (ej/ 2047184215230043 sería zone, tower, salad, aim; tambien pasarlo a HEX->745E737F0465B --> Esto sería algo básico, a complicar a voluntad y riesgo).

La posibilidad que apuntas diría que no se puede dar en el uso habitual del Ledger: la semilla te la da el dispositivo en sí, y mientras no la apuntes en el ordenador, no hay manera de que la vean a través de una extensión, ni con un RAT (entendiendo que no hizo toda la operación de inicialización apuntando el dispositivo a una cámara).

Por replicado, me refería realmente a clonado, y no tanto a dividido en dos.


Si tienes o localizas las fuentes fiables en las cuales basas tu comentario, estaría encantado de leerlos.

los ledger estan todos adulterados para capturar la frase semilla

en este mismo foro en la parte de ingles se habla del tema o hay comentarios sobre ellos

guardar btc en ledger es suicida

lo mejor es electrum o la oficial hasta ahora

Yo no me siento convencido acerca de la técnica de dividir la semilla y separarles remotamente, nose, personalmente prefiero tener la sensación de control en todo momento sobre ellas.

Creo que la única forma en la que haría algo semejante es si estoy 100% seguro de haberlas memorzado y tengo intrucciones de su ubicación ocultas en un lugar. Pero bueno, es mi caso personal.


El caso que expones es cierto, sin embargo, no olvidemos que las HW son dispositivos que pueden ser bastante discretos.
De hecho los Ledger fueron diseñados para parecer memorias USB.

claro, nada de esto importa si se esta revelado a diestra y siniestra la tenencia de Bitcoin o HWs.

Una de las cosas que jamás me han gustado de las hardware wallets es que tan solo con poseer una se manda el mensaje de que uno tiene criptomonedas y esto puede ser peligroso, recuerdo haber leído un libro que narraba una pequeña anécdota de como una persona estaba remodelando su casa y cuando el dueño preguntó si se podía poner una caja fuerte en la pared inmediatamente toda la construcción se puso en silencio, incluso si el dueño tan solo quería esa caja fuerte para guardar documentos importantes, el primer pensamiento que se la pasa por la mente a la mayoría de las personas es el dinero que puede estar guardado en una caja fuerte, y algo similar ocurre con las hardware wallets.

Así que lo más probable como ya se ha comentado es que alguna persona, ya sea que haya sabido de antemano que la cartera estaba ahí o la encontró por pura casualidad, encontró el dispositivo y una lista de palabras que inmediatamente identificó como las palabras semilla y simplemente se tomó su tiempo para perpetrar el atraco y no levantar sospechas hacia su persona.

La única otra posibilidad que se me ocurre es que en el artículo se menciona que la victima tuvo que bajar unas extensiones en el navegador, y que quizá lo hiciera desde un sitio comprometido y que ya desde entonces el hacker tuviese sus datos, y que la razón por la que no robo el dinero de inmediato fue porque talvez estaba esperando que se hiciesen aún más depósitos y así poder robar aun más dinero, y cuando vio que esto no iba a ocurrir finalmente procedió a robar lo que pudo.

Creo que la media alta de usuarios escribe sus claves una vez y listo, la primera vez y luego ni se acuerdan en que libreta agenda, papel, etc. Creo que nos pasa a todos, la mayoría no le damos la importancia debida por el monto, unos cuantos dolares o incluso una wallet ahí para...

Ahora bien, en el punto que nos compete "todos" en serio, el 100% de cualquier usuario(s) de HW deberían tener varias técnicas, por cierto han nombrado varias en este hilo, bien, cuestionables o no, pero existen màs allá del paso básico de seguridad.

A mi me gusta las fotos clásicas con sus fechas, de hecho en un mundo digital, una de papel fotográfico no es comùn, en casa de mi abuela existen fotos familiares, decidí escribirles atrás una palabra que se supone corresponde en orden a la fecha de la foto, esto lo estoy escribiendo por cierto  para una historia que estoy desarrollando, quizás pronto en Netflix, pronto sea parte de un betseller, en fin, que sirva este post como la referencia creativa del mismo, si existe, que alguien me lo demuestre, comprobable.

Por otro lado es complejo, porque son 12(13) 0 24 fotos que no están en tu resguardo y además recién en estas fiestas navideñas me regalaron una, y en ese sentido es complicado, las abuelas son muy quisquillosas con sus fotos pero que si regalan algunas, en fin que sin importar eso, no le puedes decir a tu abuela; "abuela nunca regales esta foto".

De hecho ninguna abuela aceptaría que les escribirían palabras "tontas" en sus fotos, el punto es que me regalo una y no tenia una palabra pero si una fecha 1989.

Eso me hizo pensar que era mejor agregar una decodificaciòn numérica por fechas+ palabra, no seria tan extraño y màs fácil decodificar.

Entonces es fácil usar nuestro propio código, se pueden usar como guías a la idea los existentes por ejemplo ASCII que incluso tiene sus variantes de acuerdo a las necesidades de las nacionalidades...digamos entonces que para usar algo original cree algo como, Seed12, Seed13 o Seed24, entonces asigne la mitad de la palabra secreta a la fecha y la otra mitad corresponde al final de la palabra agregada que siempre seria par, es decir (mitad)palabras de 4, 6, 8, etc. letras y deja las (la otra mitad)palabras impares en la fecha, una palabra de 5 letras, es 3+2, una de 7 es 3+4 y así sucesivamente, en fin por ahì van los tiros, no puedo contarles màs, pero  una codificación propia de las palabras ayudaría, esto que estoy planteado tiene sus debilidades, es la idea, es el asunto de la historia, la mìa, la que escribo, espero no se me adelanten, si esta idea se contempla en el desarrollo de alguna serie, película, foro, blogs o cualquier medio publico, no es original.
 

Ahora que hemos reflotado este tema en mi memoria, a ver si realmente pongo en práctica ya su memorización, a través de alguno de las técnicas que hemos comentado. Por cierto que, como complemento, va bien tener la semilla o el hardware wallet replicados en más de un lugar, y si tienen cierta distancia entre sí mejor. Eso sí, con las medidas de seguridad pertinentes, para que no sean un punto de vulnerabilidad en lugar de seguridad ...

Mi técnica consistió en dividir las 24 palabras en dos grupos de 12 y crear dos historias cortas con cada grupo.
Mientras me relato la historia a mi mismo cuento las palabras que importan, cabe destacar que estas siempre se ubican al principio o al final de cada frase de la historia, para facilitar el proceso.


Ahora bien, con respecto al robo, es algo misterioso el hecho de que los satoshis no se moviesen, después de tanto tiempo.
El ladrón, de saber que se trataban de ahorros a largo plazo ocultos en un closet, pudo haber tomado esto como ventaja (sabiendo que nadie notaría el robo) para pasar los fondos por diversos servicios de mezclado o directamente convertirlos a Monero, etc.

Muy irregular la situación, ya hasta me estoy empezando a plantear hay alguna otra explicación mucho más rebuscada y con consecuencias más graves para los usuarios de este tipo de dispositivos...