Topic: Vulnerabilidad TOR permitiría robar BTCs al usar mezcladores (o sites cripto) (Read 70 times)

La seguridad operativa (opsec, como se le llama en el mundillo) es difícil, y el usuario promedio lo que hace es bajarse el tor browser bundle, enchufarlo junto con una vpn y darse palmaditas en la espalda porque ya es anónimo \o/

Pero también, entre quienes sí estudian cómo mejorar su opsec, hay muchos que caen en la trampa del "esto es más seguro, voy a hacerlo" y al final acaban con una configuración inutilizable con tal de protegerse de los cinco ojos, cuando todo lo que pretenden es mezclar 50 euros en bitcoin. Lo sé porque me ocurrió a mí, y solo más tarde aprendí el concepto de "qué es lo que protejo y de quién lo protejo".

Concuerdo en la apreciación, aunque lo dejé en consonancia con el titular de Criptonoticias. De hecho, la técnica utilizada para cambiar la dirección BTC la destacan ligada a mezcladores, y puede que sean los casos de uso donde buscan actuar con mayor énfasis, pero puede afectar a cualquier otro aplicativo que te presente una dirección BTC de pago en circunstancias análogas. Supongo que los atacantes focalizan esfuerzos donde creen que puede haber más retorno.

No es por echar la culpa a las victimas, pero joder... si estas usando TOR... usa un site Onion... que no cuesta nada hombre... Que el objetivo de usar tor es la privacidad (asumiremos) y usando un link no onion lo mandas al traste...

En el hilo de reddit acabo de descubrir algo aún mejor: los firefoxes y chromes recientes tienen una opción para ir solamente por https. Confirmo que ungoogled-chromium también lo tiene.



Para quien tiene una botnet, meter un nodo de salida de tor en cada ordenador es trivial. La red de tor puede tomar medidas contra estos casos (de vez en cuando se ve algo en tor-relays) pero están centralizadas en un puñado de personas.

(he editado el título de mi respuesta porque no es una vulnerabilidad en tor)

Hace dos días, el usuario @HeoricLife (quien parece estar ligado a los servicios de WalletRecovery), describió en Reddit cómo clientes suyos llevan un tiempo reportando la pérdida de bitcoins al usar algún mezclador. No cita mezcladores concretos, pero si describe lo que cree estar pasando:

1.   Los atacantes estarían creando muchos Tor exit nodes, llegando a copar hasta 1/3 de ellos.

2.   Buscarían peticiones http a webs relacionadas con criptomonedas, con foco particular en los mezcladores. Estos sitios funcionan normalmente con https, pero mucha gente escribe el dominio (y por tanto van sobre http por defecto), y esperan a que la web destino les redirija al https. Los atacantes evitan esta redirección, quedándose el usuario en http.

3.   Al estar la sesión http con un texto no encriptado, los atacantes pueden detectar la dirección BTC que proporcione un site, y cambiarla por la suya propia.

4.   Al enviar BTCs a la dirección mostrada en la página web, lo acaban haciendo a la del atacante.

El autor de lo anterior recomienda usar las extensiones de https Everywhere, verificar los avisos de nuestro browser si nos conectamos a http, y usar una vpn en lugar de tor para temas cripto.

Me gustaría conocer como de extendida está la práctica anterior en realidad. Desconozco cómo de fácil/difícil es controlar una porción significativa de notos de salida Tor para estos menesteres, y si la red tiene contramedidas para evitarlo.

En todo caso, lo anterior diría que no puede afectar a los accesos a mezcladores a través de una dirección onion (en lugar de una dirección en la clearweb). Saltarse tor para sólo confiar en la vpn me da que expone notablemente la privacidad en el acceso a sites de criptomonedas, aunque sea al propio proveedor de la vpn. Diría que hay que tomar la noticia con cierta mesura, aunque la alerta muestra que no se puede bajar la guardia por el simple hecho de ir sobre Tor.

Ver:
https://www.reddit.com/r/Bitcoin/comments/rag3gy/dont_use_tor_for_bitcoin/
https://www.criptonoticias.com/tecnologia/tor-presentaria-vulnerabilidad-permite-robar-bitcoins/

Edit:
Correlacionado: https://nusenu.medium.com/is-kax17-performing-de-anonymization-attacks-against-tor-users-42e566defce8