Author

Topic: Una persona pierde 4 BTCs, al explotarse un bug sobre el plugin LNbank (Read 122 times)

legendary
Activity: 2716
Merit: 1383
Es triste ver como los hackers siguen ganando terreno a tal punto que han llevado a este plugin en particular a ser descontinuado, sin embargo, es poco probable que el desarrollador pueda ser considerado responsable por una corte legal de las pérdidas sufridas por los usuarios de este plugin.

Y esto es porque la mayoría del software es ofrecido “tal cual”, algo parecido a lo que ocurre con los autos usados en el cual una vez una persona se convierte en el nuevo dueño absorbe todos los costos que tal adquisición pueda significarles y no hace responsable al dueño original del auto, así que aunque tales pérdidas son sin lugar a dudas importantes para aquellos que las sufrieron, dudo que el desarrollador sufra alguna consecuencia legal, aunque es enteramente posible que haya tomado esta decisión con la intención de minimizar este riesgo lo más posible.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
No sé si la vulnerabilidad asociada a este caso ha sido el detonante (parece que sí), o si ya estaba planificado, pero ayer se conoció que la versión 1.9.2 del plugin LNBank será la última versión, en lo que parece una discontinuidad del mismo.

De hecho, ayer se lanzó una nueva versión para resolver una nueva vulnerabilidad de seguridad detectada en la versión 1.9.0, lanzándose la 1.9.2 en respuesta.

Tiene pinta de que el desarrollador no ve cómo resolver los problemas sin hacer un trabajo arduo, y posiblemente para intentar evitar demandas haya decidido dar al traste con este plugin LN.

Ver:
https://twitter.com/BtcpayServer/status/1739807908236267767/photo/1
https://twitter.com/BtcpayServer/status/1739669361223172448
https://www.criptonoticias.com/seguridad-bitcoin/detectan-vulnerabilidad-critica-plugin-btcpay-pagos-bitcoin/
legendary
Activity: 1960
Merit: 3107
LE ☮︎ Halving es la purga
...//::,,
Ningún antivirus te salva de un "0 day", estas son vulnerabilidades recién descubiertas que aún no tienen registro ni parche. Y esto fue lo que le paso a Ramos.

Es un caso terrible ya como comenta la víctima estos eran los ahorros de su vida, y por una vulnerabilidad de un tercero él a perdido todo. Y yo me pregunto, ¿por que alguien pondría los ahorros de su vida en un nodo LN, y no en una cold wallet, creo que esto fue una mala práctica. Incluso podría ser el mismo proveedor del plugin el que dejo una puerta trasera para hacer de las suyas. La verdad es que nunca lo sabremos, pero el proveedor del plugin debería pagar a la víctima, ya que este fue bug fue su error y el error de la víctima fue confiar en un software de terceros.

Y si, por eso los reportes voluntarios "ayudan", en cualquier tipo de bug, problema que se presente, con cualquier programa, pero es el equivalente del antivirus, en lo que menciona el colega #0day, el del fishing o estafa, no podemos creernos no vulnerables, por creer que lo somos, pues hasta que no te pasa, funciona lo que estas haciendo, por eso no solo ser un estoy seguro, sino el estar informado que cosas suceden por ahí ayudan..

A mi me queda en este caso un poco de todo, este señor divulgo su proyecto y como dice el Colega, como mete los ahorro de toda su vida ahí (NodoLN), lo mencione en mi post anterior, espero tenga al menos de 10x ese monto, cuando le leí sin conocer el final, y es el extendido siempre de la trillada frase, no uses dinero que no estés dispuesto a perder, o la versión añadida, invierte dinero que te permitas en caso de "x" recuperarte. Eso incluye el negocio más básico, pero no se hace, creemos que el riesgo no nos va tocar o la dichosa in-seguridad, no es con nosotros. (Si hay que incluirse... es algo que no deja de hacerse, la cotidianidad es un aliado de los estafadores...)

Las lacras estafadoras que usan sus habilidades sociales y luego de codificación están ahí al acecho continuo, leyendo, escuchando...mirando.

Puede sonar random esta noticia pero estos "pequeños" emprendedores son los que realmente pueden llamárseles pioneros en El Salvador, están por ahí, bregando con las premisas de bitcoin...
legendary
Activity: 1162
Merit: 2025
Leading Crypto Sports Betting & Casino Platform
Cuando tenga algo de tiempo libre veré si puedo pasar un antivirus por todo el OS de mis dispositivos, revisar las locaciones de las priv y evaluar el uso de passphrases más sólidas.
Dios nos libre de todos esos males.

Ningún antivirus te salva de un "0 day", estas son vulnerabilidades recién descubiertas que aún no tienen registro ni parche. Y esto fue lo que le paso a Ramos.

Es un caso terrible ya como comenta la víctima estos eran los ahorros de su vida, y por una vulnerabilidad de un tercero él a perdido todo. Y yo me pregunto, ¿por que alguien pondría los ahorros de su vida en un nodo LN, y no en una cold wallet, creo que esto fue una mala práctica. Incluso podría ser el mismo proveedor del plugin el que dejo una puerta trasera para hacer de las suyas. La verdad es que nunca lo sabremos, pero el proveedor del plugin debería pagar a la víctima, ya que este fue bug fue su error y el error de la víctima fue confiar en un software de terceros.

No me mal entiendas. Yo por lo general intento mantener las cantidades relativamente importantes en almacenamiento en frío, sin embargo, personalmente creo que la seguridad de un almacenamiento en frío (como las billeteras de Ledger y Trezor) que hacen uso de una interfaz en la computadora,  se ve algo vulnerada o debilitada en el caso de que existan herramientas maliciosas corriendo en el segundo plano de nuestros ordenadores personales, como pueden ser el caso de keyloggers y virus que reemplazan el portapapeles, haciendo un reemplazo de las direcciones a las cuales se les intenta enviar BTC de forma legitima.
De todas formas, no te quitó la razón, y dudo que el creador del plugin se digne a dar un compensatorio a la víctima.
sr. member
Activity: 490
Merit: 377
Primero y antes que nada como siempre, una pena por este muchacho y mas aun si eran los ahorros de toda su vida.

Cuando tenga algo de tiempo libre veré si puedo pasar un antivirus por todo el OS de mis dispositivos, revisar las locaciones de las priv y evaluar el uso de passphrases más sólidas.
Dios nos libre de todos esos males.

Ningún antivirus te salva de un "0 day", estas son vulnerabilidades recién descubiertas que aún no tienen registro ni parche. Y esto fue lo que le paso a Ramos.

Es un caso terrible ya como comenta la víctima estos eran los ahorros de su vida, y por una vulnerabilidad de un tercero él a perdido todo. Y yo me pregunto, ¿por que alguien pondría los ahorros de su vida en un nodo LN, y no en una cold wallet, creo que esto fue una mala práctica. Incluso podría ser el mismo proveedor del plugin el que dejo una puerta trasera para hacer de las suyas. La verdad es que nunca lo sabremos, pero el proveedor del plugin debería pagar a la víctima, ya que este fue bug fue su error y el error de la víctima fue confiar en un software de terceros.

Ahora bien adhiero 100% a esto, el no parece y de hecho no es  un newbie en la materia, entonces porque tendria 4 BTC en un nodo LN?. La verdad que no me lo explico.

Respecto a la seguridad de cada uno, yo creo que como todo en la vida, hay que chequearla pero tampoco volverse paranoico, no sea cosa que por mas seguridad terminemos agregando mas factores de ataques o chances de no poder acceder nosotros mismos.

Y para terminar con los 0 day, no podes hacer nada, es la famosa "si te tiene que tocar te va a tocar", pero tenes que seguir viviendo.
legendary
Activity: 3346
Merit: 3130
Cuando tenga algo de tiempo libre veré si puedo pasar un antivirus por todo el OS de mis dispositivos, revisar las locaciones de las priv y evaluar el uso de passphrases más sólidas.
Dios nos libre de todos esos males.

Ningún antivirus te salva de un "0 day", estas son vulnerabilidades recién descubiertas que aún no tienen registro ni parche. Y esto fue lo que le paso a Ramos.

Es un caso terrible ya como comenta la víctima estos eran los ahorros de su vida, y por una vulnerabilidad de un tercero él a perdido todo. Y yo me pregunto, ¿por que alguien pondría los ahorros de su vida en un nodo LN, y no en una cold wallet, creo que esto fue una mala práctica. Incluso podría ser el mismo proveedor del plugin el que dejo una puerta trasera para hacer de las suyas. La verdad es que nunca lo sabremos, pero el proveedor del plugin debería pagar a la víctima, ya que este fue bug fue su error y el error de la víctima fue confiar en un software de terceros.
legendary
Activity: 1162
Merit: 2025
Leading Crypto Sports Betting & Casino Platform
Noticias deprimentes como estás son las del tipo que me hacen querer revisar y dar una auditoría personalizada a mi seguridad propia, honestamente.
Y es que repito lo que he dicho varias veces ya en otras oportunidades, pareciera que mientras aumenta el monto en BTC que las personas acumulan, para algo dentro dentro de la mente del holder y del comerciante que acepta BTC. Empiezan a confiarse de sobre manera en sistemas centralizados, depositan más de lo que deberían en billeteras calientes, se fian de extraños para hacer ventas de Bitcoin cara a cara.

¿Acaso será porque realmente los robos grandes son lo que hacen noticia y por eso no leemos de casos más pequeños? Puede ser una explicación razonable.

Cuando tenga algo de tiempo libre veré si puedo pasar un antivirus por todo el OS de mis dispositivos, revisar las locaciones de las priv y evaluar el uso de passphrases más sólidas.
Dios nos libre de todos esos males.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
Siendo que la situación apunta al plug-in como el elemento que permitió el hackeo (aunque no he visto los detalles de cómo lo explotaron exactamente), cabe citar que dicho software es open-source.

Siempre se dice que algo open-source es mejor que lo contrario, en tanto en cuanto cualquiera puede inspeccionar el código para verificar su funcionamiento, y probablemente sea así en la mayoría de los casos. Lo que no debemos es confiarlo todo a que, por el hecho de ser open-source, será seguro y libre de errores y exploits. Al fin y al cabo, no es que uno se suela dedicar a comprender y verificar el código antes de utilizarlo. Que puede acelerar la detección de errores sí, que ciertos softwares son más auditados así también, pero que erradique el riesgo no. Es más, es posible que, en este caso, el exploit partiese precisamente de estudiar el código al ser open-source, y detectar las vulnerabilidades a explotar.
legendary
Activity: 1960
Merit: 3107
LE ☮︎ Halving es la purga
Plugin son de estatus " es complicado".

Bueno... sinceramente recomendaría leer la historia, no tiene perdida y al principio de empezar la lectura me cautiva la calidez del afectado, que en el pensamiento me dije " que este tipo debe tener al menos un 10x de ese monto, claro que sí..."

Seguí leyendo hasta que llegado este punto:

"Is there anything we can help you with right now?"

Lo juro, los #-&$_()?  Pero que clase de pregunta es está, los 4 BTC, me dije.

Seguí leyendo para encontrar primero que, por fin nuestro bitcoiner reacciona... pero luego, para resumirlo leer lo que no queríamos, sueños rotos, y no es mía la frase, así la define el protagonista...

Se me quitaron las ganas de seguir contando...
legendary
Activity: 1358
Merit: 1565
The first decentralized crypto betting platform
Da miedo que al mismo tiempo que se populariza el bitcoin los criminales se vuelven cada vez más astutos para conseguir robarlo. Yo es la primera noticia que tengo de alguien que le roban sus bitcoins así, y la víctima, que lleva tiempo ya en este mundillo, obviamente también.

Va a denunciar el caso a las autoridades y esperemos que encuentren a los criminales, pues según entiendo, en teoría han pasado un KYC, lo que no se si me plantearía yo también es pedir responsabilidad a la empresa, pues no le contestaron a él directamente y simplemente salieron con que había que actualizar la extensión para impedir el bug, o sea que creo que algo a la empresa también se le podría rascar.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
La persona en cuestión es Hugo Ramos, un portugués residente en El Salvador, y vinculado a bitcoin desde el 2016. Resulta que en su topología de negocio tenía varios nodos de LN, el principal de los cuales conectó hace unos meses a su BTCPay Server, teniendo el nodo LN recientemente más de 4 BTCs de liquidez. Utilizaba además un plugin llamado LNbank, con el cual daba la opción a comerciantes para recibir pagos LN.

Hace una semana, Hugo vio como el balance de su nodo principal había sido drenado por completo, con 998 pagos realizados a una misma LN wallet (Bitlifi), y de ahí convergieron todos sobre el mismo nodo final.

Dos días después del hackeo, LNBank avisó de una vulnerabilidad crítica en su producto, y pidió a sus usuarios actualizar la versión …

Ver:
https://stacker.news/items/347361 (detalles del caso explicado por el propio interesado)
https://finbold.com/family-savings-investor-lost-4-btc-using-bitcoins-lightning-network/
Jump to: