Author

Topic: Siguiendo todos los pasos... pero lo más notorio era un experto: Hack igualmente (Read 151 times)

legendary
Activity: 3906
Merit: 6249
Decentralization Maximalist
Creo que no está directamente relacionado, pero es un caso similar más reciente aún (del 9 de agosto):

Se ha descubierto hace pocos días que la herramienta "bx seed" de Libbitcoin Explorer (bx) 3.x (Sitio en Github) genera claves muy, muy débiles. Una PC gamer puede hackear a una de estas claves en un día aproximadamente. El problema es similar al de walletgenerator.net: el generador de números aleatorios solo usa 32 bits de entropía, es decir que en total puede generar menos de 5 mil millones de claves diferentes! (esto es muy, muy poco ...)

Lo trágico es que esta herramienta fue bastante popular, y ha sido incluso recomendada en el libro "Mastering Bitcoin".

Si alguien de este subforo utilizó esta herramienta para algún tipo de cartera: ¡mueve los BTC ya! También ha ocurrido con otras blockchains ...


Sitio informativo:

https://milksad.info/

Hilo de Gregory Maxwell en el foro inglés:

https://bitcointalksearch.org/topic/if-you-used-bx-seed-you-probably-already-lost-your-bitcoins-but-if-5462674

Hilo en ycombinator:

https://news.ycombinator.com/item?id=37054862

Algunas de las aplicaciones que pueden haber sido vulneradas (si generaste una cartera con alguna de ellas, mueve tus coins ¡ya! y no la uses nunca más)

- Airbitz
- Bitprim
- Cancoin
- Chip-Chap
- Darkleaks
- Darkwallet
- Darkmarket
- Metaverse
- OpenBazaar
- Teechan

Fuente con más información
legendary
Activity: 2002
Merit: 2534
The Alliance Of Bitcointalk Translators - ENG>SPA
En realidad la utilidad radica en que al igual que esconden la droga alguien puede estar escondiendo un USB con evidencia, el caso en particular donde los perrunos lo hicieron fue para encontrarlos en un allanamiento de rutina, ciertamente en una casa por ejemplo de un sospechoso.

Ahora bien, extrapolen a HW.

Bueno, aquí no sé en qué consistirá el adiestramiento perruno, pero más o menos todos los USB tienen partes comunes que será las que detecten los chuchos. En el caso de las hw no sé si sería tan sencillo porque las semejanzas igual son menores entre modelos, pero hay tan poca variedad (ledger, trezor y poco más) que bastaría con adiestrar en la búsqueda de los modelos más comunes para dar con los dispositivos.

Imaginen su utilidad en aduanas por ejemplo.

<...>
Esto es bastante interesante aun que los USB son el 99% inofensivos, mas bien deberían de entrenarlos para buscar rubber ducky o flipper zero, esos juguetes son bastante peligrosos.

Entre los dos, me queréis quitar el sueño, entre perros roba-wallets y pendrives bomba Cry
legendary
Activity: 1960
Merit: 3107
LE ☮︎ Halving es la purga
En realidad la utilidad radica en que al igual que esconden la droga alguien puede estar escondiendo un USB con evidencia, el caso en particular donde los perrunos lo hicieron fue para encontrarlos en un allanamiento de rutina, ciertamente en una casa por ejemplo de un sospechoso.

Ahora bien, extrapolen a HW.
legendary
Activity: 3346
Merit: 3130
La realidad es que el problema no es la tecnología ni el tipo de wallet que elijas es el individuo quien falla y ahí no hay algoritmos, IA, etc. Y ni que chatgpt sea tu mejor amigo, consejero...
Es bien sabido colega que por mas seguro que sea el sistema, una vulnerabilidad que siempre estará presente es el factor humano, y es impresionante lo que se puede lograr con ingeniería social.

Creo que la divulgación o estos "errores" si es que esto se puede llamar así, es más bien descuidó, confianza.
No se si considerarlo un error, ya que la persona fue victima de un ataque, el usuario desconocía el riesgo implicado en generar las direcciones en linea, así que mas que descuido aquí el factor fue la ignorancia.

Y les dejo este dato, hay perros entrenados para encontrar memorias USB*, en lo que leí sobre eso, pensé y que tal si pueden diferenciar entre una HW, ese dato final si es medio en serio y medio broma, pero a ese punto "tecnologoperruno" estamos.
Esto es bastante interesante aun que los USB son el 99% inofensivos, mas bien deberían de entrenarlos para buscar rubber ducky o flipper zero, esos juguetes son bastante peligrosos.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
En este artículo en Medium detallan la vulnerabilidad del de walletgenerator.net (el artículo es de mayo 2019).

Según cita el artículo, la vulnerabilidad afecta a claves privadas generadas con la herramienta desde mediados de agosto 2018, y aunque parece que se subsanó posteriormente, el autor del artículo deja en entredicho la posibilidad de que suceda de manera recurrente.

La vulnerabilidad, sea o no mal intencionada, efectivamente permitió la generación de claves privadas duplicadas, por lo que los fondos guardados por unos pueden haber sido recuperados por otros que, de manera sorpresiva, se los encontraron al trabajar sobre su clave privada. Para liarlo más, existe la duda de si las claves de por sí se estaban almacenando en un servidor central, lo cual denotaría intencionalidad (o torpeza extrema). Cita a su vez la posibilidad de que ciertas claves fuesen generadas de manera determinista.

El artículo entra en más detalles acerca del hallazgo, pero la lectura para mí es que por muy código abierto que sea algo (el software estaba en github para descargarse y utilizarse), esto no exime del riesgo de que algo malicioso se introduzca sin que nadie lo detecte, aunque sea durante un breve periodo de tiempo. Al fin y al cabo, en la práctica, el común de los mortales no va a revisar (ni entender) el código, y deberá confiar en que "alguien" lo haga y clame al cielo si detecta algo. Esto, como se observa en este caso, puede llegar tarde para mal de unos …
legendary
Activity: 1960
Merit: 3107
LE ☮︎ Halving es la purga
La realidad es que el problema no es la tecnología ni el tipo de wallet que elijas es el individuo quien falla y ahí no hay algoritmos, IA, etc. Y ni que chatgpt sea tu mejor amigo, consejero...

Creo que la divulgación o estos "errores" si es que esto se puede llamar así, es más bien descuidó, confianza.

De hecho, no hay que ser paranoico, pero conocer los casos que se pueden atribuir a las HW es importante más que incluso ser un experto en cualquier marca, pues confían tanto en ellas que creen que cosas como que el firmware no podría hackear, pero sucedió, muy particular caso, pero es posible.

Y les dejo este dato, hay perros entrenados para encontrar memorias USB*, en lo que leí sobre eso, pensé y que tal si pueden diferenciar entre una HW, ese dato final si es medio en serio y medio broma, pero a ese punto "tecnologoperruno" estamos.

*Freedom
legendary
Activity: 2002
Merit: 2534
The Alliance Of Bitcointalk Translators - ENG>SPA
Se comenta en un hilo en el norte sobre las pérdidas que cada usuario ha sufrido desde que ha comenzado su aventura con las cripto, y aunque llama la atención la cantidad de shitcoins cuyos desarrolladores desaparecieron con la "pasta" para ruina de los inversores (a todos quien más quien menos nos ha afectado esta historia en algún momento), y aunque Bitcoin parece ser mucho más seguro, la picaresca acecha incluso en nuestra moneda más noble Sad

Está visto que a nada que un usuario primerizo haya acumulado unos pocos satoshis por encima de 100$ ya merece la pena la inversión en una hw. Contra toda intuición, parece que resulta mejor que investigar otros procedimientos "más seguros" en los que un error puede llevar a una vulnerabilidad fatal.
legendary
Activity: 2030
Merit: 1573
CLEAN non GPL infringing code made in Rust lang
Eso lo han hecho con las de HW también, hay al menos un par de casos notorios...
El problema es que dejaron que otros se enterarán. Cuando se hace bien, nadie se entera.
Por tema de seguridad, ni el Estado debe enterarse, por mucho que legislen lo contrario...
legendary
Activity: 1162
Merit: 2025
Leading Crypto Sports Betting & Casino Platform
No sé si soy solo yo, pero el hecho de que unos ladrones estén dispuestos a esperar de forma paciente a qué sus víctimas se confíen para hacerse con el grueso se los fondos es especialmente despreciable y asqueroso.

Yo estaba al tanto de las vulnerabilidades de algunas billeteras de papel como la que se menciona, recuerdo hace muchos meses que yo incluso les expuse una historia en la cual yo fui casi víctima de una de esas wallets de papel.
legendary
Activity: 2030
Merit: 1573
CLEAN non GPL infringing code made in Rust lang
"Monedero de papel" es un término obsoleto que se refiere al manejo directo de llaves privadas, generalmente impresas en un papel, lo cual es altamente peligroso.

No es igual que anotar las frases semilla a mano en un papel. Naturalmente este proceso no debería hacerse en línea y menos desde un sitio web.

Desde hace años se advierte que es muy peligroso el manejo directo de llaves privadas. Nunca deberían manipularse directamente. Quienes piensan que "es lo mismo" cometen un grave error, el tema se las semillas añade una capa, que aunque parezca trivial no lo es. La gente no anota a mano llaves privadas, y en el momento que involucran sistemas digitales, allí abrieron la puerta. Si me dices que lo haces desde un sitio web, pues mejor ni hablo.

Unas frases semilla se generan por ejemplo en una PC aislada con Linux. Luego esto se puede llevar a otra también con Linux y tor/i2p o algo así para transmitir. Hay guías para eso, que sean flojos ya es otro tema y por eso se pagan las consecuencias.

Si, se tu banco, pero se responsable. No cometas imprudencias y luego la tomes contra Bitcoin cuando la responsabilidad es tuya. Y no caigas en la trampa de que otros lo harán siempre mejor que tu porque para eso les pagas (banco/exchanges), simplemente aprende como es y hazlo.

"HW" no sirve porque se autodestruye solo, es peor porque hay gente como el que me antecede que se confía. La HW claramente te advierte que anotes las frases semilla, ahora simplemente les das un vector adicional para atacarte.

El "HW" es solo útil proteger las transacciones de a diario, nada de largo plazo. La memoria flash pierde los datos a los pocos años. Entiéndanlo de una vez.
Lo único que vale, lo que MAS vale son las frases semillas anotadas a mano en papel, y eso NO es un monedero de papel.
legendary
Activity: 1358
Merit: 1565
The first decentralized crypto betting platform
El "experto" uso walletgenerator.net.

Este fue el grave error cometido por el "experto", <...>

Correcto, es lo primero que he pensado. Yo nunca lo he hecho porque simplemente uso HW, pero según he visto habría que no solo usar vanity, sino además usar un ordenador nuevo o acabado de formatear y con sistema operativo linux, como máximas precauciones de seguridad. También Andreas Antonoupulos sacó un vídeo advirtiendo de los riesgos de crear un paper wallet, que se reflejó en un post en el foro.

Paper wallet: A poor practice and risky
legendary
Activity: 3346
Merit: 3130
El "experto" uso walletgenerator.net.

Este fue el grave error cometido por el "experto", en que momento pensó que generar una paper wallet en linea era algo seguro, es bien sabido que dicha práctica es un error que nadie debe cometer y personalmente siempre he echo énfasis en que la forma correcta de generar una paper wallet es a través de vanity gen el cual es un software que ejecutamos desde nuestro ordenador. He incluso he leído que los conocedores recomiendan que cuando se utilice vanitygen para generar las paper wallets lo hagamos desde una computadora la cual no tenga acceso a internet, lo cual considero algo extremista, pero en el fondo entiendo que es la forma correcta.
legendary
Activity: 1960
Merit: 3107
LE ☮︎ Halving es la purga
Esta noticia nos recuerda que por muy ducho que cualquier usuario de bitcoin se crea muy experto, debe hacer la pregunta, realmente lo soy, ya que dice un adagio, o un verdadero experto en matemática, "si no consigues el error en la suma, pregúntale a otra persona y el si lo encontrara", pues vaya, muy obvio, no(!?).

No sé, si lo anterior pueda ser relativo para un símil o metáfora para este tema, pero afortunadamente no es lo importante aquí, es la cuestión de pensar que la seguridad que damos por sentada, no lo es y es violentada, y eso, por favor lo podemos extender a la cotidianidad de cualquier cosa, pero vamos al caso que no atañe, Bitcoin y el del precio, bitcoin.

El hackeo de los BTC de un usuario de Reddit es una lección sobre los peligros ocultos de los monederos de papel
Quote
Un usuario de Reddit pensaba que estaba siguiendo las mejores prácticas de seguridad hasta que hace dos días vaciaron su monedero de bitcoin.
Fuente:https://es.cointelegraph.com/news/redditor-gets-lesson-after-bitcoin-paper-wallet-hacked

En el detalle, este usuario comenta o mejor pregunta en el foro (reddit), cómo perdió unos $3000 en bitcoin si él siguió todos los procedimientos de custodia.

El "experto" uso walletgenerator.net.

Entonces, en la soledad de su eficiente consumo de información hizo la suma mal, por eso, preguntar, no esta demás, antes...

LA fuente dejó claro que las vulnerabilidades se habían presentado desde el 2019, y agregan que es muy posible que las frases se repitan con bastante frecuencia, es decir, festín.

Otro dato muy interesante que nos deja esta historia, es que el usuario en cuestión tenía más de 12 meses con sus fondos, la respuesta fácil es, que los hackers pueden esperar tranquilamente incluso años para que los "desprevenidos" usuarios sigan depositando.

Idea del contexto desarrollada con la fuente suministrada, menos lo de la suma.
Jump to: