'Good Samaritan' Blockchain Hacker Na Nagbalik ng 267 BTC Nagsalita

I-UPDATE (ika-15 ng Disyembre 11:15 GMT): Hacker ni johoe kasaysayan ng transaksyon ay nagpapahiwatig na nakatanggap siya ng karagdagang 244.2 BTC mula sa nakompromisong mga wallet ng Blockchain mula 8.23pm kahapon ng gabi (GMT).

Nang makipag-ugnayan sa pamamagitan ng CoinDesk, kinumpirma ng pangulo ng Blockchain na si Peter Smith na ang mga pondo ni johoe ay kinuha mula sa parehong mga address ng wallet tulad ng dati. Ito ay nagpapahiwatig na ang ilang mga gumagamit ay hindi alam ang hack o patuloy na ginagamit ang kanilang mga nakompromisong wallet sa kabila ng mga babala ng kumpanya, aniya.

Nakipag-ugnayan na si Johoe para sa karagdagang komento sa isyu.

Ang 'Good Samaritan' hacker na kamakailan ay nagbalik ng 267 BTC na kinuha niya mula sa mga nakompromisong Blockchain wallet ay nagsiwalat kung paano siya nakakolekta ng mga pondo at nagbigay ng payo sa mga may hawak ng Bitcoin na gustong i-secure ang kanilang pera.

Ang computer scientist at researcher, na napupunta sa hawakan ng 'johoe' Usapang Bitcoin, sinabi sa CoinDesk na bawat araw ay nagpapatakbo siya ng script na isinulat niya na nag-scan ng kamakailang idinagdag na data mula sa Bitcoin blockchain at LOOKS ng paulit-ulit na 'R values'.

Sabi niya:

"Ang bawat transaksyon sa Bitcoin ay nilagdaan ng dalawang halaga - 'R' at 'S' - na nagpapatunay na alam ng nagpadala ang pribadong key. Kung ang parehong halaga ng R ay ginamit nang dalawang beses, ang pribadong key ay madaling makalkula mula sa mga lagda lamang."

Si Johoe ay naging pag-post ng mga halimbawa ng mga 'sirang' address sa Bitcoin Talk sa loob ng mahigit isang taon.

Paulit-ulit ng mga sirang susi

Sa pagpapatakbo ng script noong Lunes ng umaga, sinabi niyang nakilala niya kaagad na may nahanap ito. Ang script, na natuklasan lamang ang tungkol sa 500 tulad ng 'sirang' na mga susi sa limang taong kasaysayan ng Bitcoin blockchain, ay biglang naglabas ng 500 higit pa sa isang araw.

Ang pangalawang script na isinulat niya ay nag-scan sa pampublikong ledger upang makita kung may anumang mga pondo na naipadala sa mga address na iyon, at nagulat siya nang makita ang halaga.

"Naghanda ako ng ilang script para tumulong sa paghahanap at paggastos ng pera mula sa mga sirang address, ngunit T ko ito inihanda para sa sukat na ito."

Inayos niya ang mga transaksyon, simula sa pinakamahalaga at winalis ang mga pondo mula sa mga sirang address patungo sa ONE kinokontrol niya.

Inihanda at nilagdaan ng mga script ang mga transaksyon, pag-double-check para sa kawastuhan at mga bayarin sa transaksyon, mga ONE bawat dalawa o tatlong minuto. Ang ilan, tulad ng mga bagong mina na bitcoin na maaari lamang gastusin pagkatapos ng 100 kumpirmasyon, ay nagtagal.

Pagkolekta ng mga hindi secure na balanse

Pagkatapos ng halos isang oras, naipon ni johoe ang unang 150 BTC. Pinatakbo niyang muli ang kanyang mga script sa buong 30GB+ blockchain, na mas tumagal, ngunit kalaunan ay nakakuha ng karagdagang 60 BTC.

Kapag nakumpirma na ang lahat ng mga transaksyon, nag-post si johoe sa Bitcoin Talk na nasa kanya ang mga bitcoin at nilayon niyang ibalik ang mga ito sa kanilang mga nararapat na may-ari kapag naayos na ang problema.

Bakit, kapag madali niyang itago ang pera para sa kanyang sarili, nagpasiya siyang gumawa ng mabuting gawa?

"I decided this beforehand. I make enough money with my day job that I can live on it. At sa ganitong paraan T ko kailangang mag-alala na balang araw ay may makakaalam nito. Kung iisipin, ito ay isang napakagandang desisyon."

Ang pagpapatakbo ng mga script muli sa buong ledge ay nakakuha ng karagdagang 38 BTC sa wallet ni johoe.

Matapos makita ang pampublikong post ng Blockchain na nag-aanunsyo ng isyu sa seguridad, ikinonekta niya ang mga tuldok at napagtanto na ang mga account na ito ang pinagmumulan ng lahat ng nakompromisong address na nakita niya.

Nakipag-ugnayan sa kanya ang kumpanya pagkatapos niyang i-post ang kanyang mensahe sa Bitcoin Talk. Pagkatapos ay nagbigay siya ng Blockchain ng mga kopya ng kanyang mga script upang maabisuhan nila ang mga apektadong user.

Ligtas ang Blockchain 'sa prinsipyo'

Johoe nagpost ulit sa Bitcoin Talk, na nagsasabi na ang unang 'buggy transaction' ay naganap noong ika-7 ng Disyembre sa 21:53:26 UTC.

"Sa prinsipyo, dapat ay ligtas na gamitin muli ang Blockchain.info, ngunit nakikita ko pa rin ang ilang masamang transaksyon", isinulat niya kahapon. Ang patuloy na mga problema ay maaaring dahil sa mga isyu sa cache ng browser, idinagdag niya, na pinapayuhan ang sinumang gumagamit na i-clear ang kanilang cache at bisitahin muli ang kanilang Blockchain account.

Ang sinumang user na nagpadala ng pera, o gumawa ng bagong wallet address noong ika-7-8 ng Disyembre ay dapat isaalang-alang na sira ang kanilang mga address, aniya. Kahit na hindi ito nai-publish sa kanya listahan ng 1,019 kilalang address, hindi niya matukoy nang eksakto kung anong oras natapos ang problema.

Bilang karagdagang pag-iingat, sinabi ni johoe na maaaring kinuha ng sinumang bumisita sa kanilang online na Blockchain wallet sa panahong iyon ang buggy script sa cache ng kanilang browser, na posibleng makaapekto sa paggawa o mga transaksyon ng address sa hinaharap.

Ang mga gumagamit ng mga mobile app ng Blockchain sa iOS at Android, at ang extension ng Chrome browser, ay hindi naapektuhan.

Sa nakalipas na ilang araw, nagsusumikap ang team ng Blockchain upang iproseso ang mga claim at ibalik ang mga pondo – kapag na-verify na ang mga claim bilang totoo.

Sinabi ni Johoe na binigyan siya ng Blockchain ng "makatwirang gantimpala" para sa kanyang mga pagsisikap.

Seguridad ng wallet ng hardware

Ang sariling wallet na solusyon ni Johoe, bilang (na sikat na ngayon) na pinatunayan ng kanyang Bitcoin Talk post, ay isang Trezor 'Vault' hardware wallet na ginawa ng SatoshiLabs.

"Nagdulot ito sa akin ng pakiramdam na mas ligtas kaysa sa pagkakaroon ng pribadong key para sa 267 BTC sa aking computer," sabi niya.

Ang isang solusyon sa hardware tulad ng Trezor's ay naghihiwalay sa pribadong key mula sa Internet, ibig sabihin, sa prinsipyo, imposible para sa isang malayong partido na nakawin ito. Ang tanging alalahanin niya ay ang aparato ay maaaring kahit papaano ay hindi gumana, ngunit sa huli ay "pinamamahalaan nito ang lahat nang maganda", sa kabila ng paglalaan ng humigit-kumulang ONE at kalahating minuto upang lagdaan ang transaksyon na nagbabalik ng mga bitcoin.

Ang tanging kawalan sa Trezor device, sinabi ni johoe, ay ang kasalukuyang end-user backup na suporta ay ang myTrezor Web Wallet, na hindi gumagana sa mga mobile device.

Mga solusyon sa mobile at paggastos

Kung hindi, inirerekomenda ni johoe ang isang kliyente na gumagamit ng HD (hierarchical deterministic) na mga wallet, gaya ng Bread Wallet sa iOS at Armory, Electrum o Wallet32 sa Android.

Ang mga wallet na ito ay bumubuo ng mga pangunahing pares (pribado at pampubliko) mula sa isang orihinal na seed na parirala na kailangan lang i-save sa isang lugar na ligtas nang isang beses, at maaaring mabawi ang mga balanse mula sa binhing iyon kahit na ang isang pisikal na device ay nawala, nanakaw, o nasira.

Gayunpaman, ang mga portable na solusyon ay pinakamahusay para lamang sa paggastos ng pera, na may malalaking halaga na pinananatiling 'malamig' o ganap na offline.

"Para sa mas malaking pondo, hindi ko irerekomenda na KEEP ang pribadong key sa isang computer. Napakaraming trojan sa paligid na dalubhasa sa pagnanakaw ng mga Bitcoin wallet."

Kahit na ang pagprotekta sa mga key na may malakas na password ay maaaring hindi sapat, ayon kay johoe, kung ang malware ay nag-install ng key logger sa computer ng isang user na maaaring kumuha ng password at ipadala ito sa isang masamang aktor.

Cryptography larawan sa pamamagitan ng Shutterstock

I-UPDATE: Ang isang nakaraang bersyon ng artikulong ito ay nagsasaad na si johoe ay nagbalik ng 255 BTC. Mula noon ay kinumpirma niya na ang bilang na ito ay tumaas sa 267 BTC, na iniuugnay ang karagdagang 12 BTC sa mga address na nakompromiso lamang sa ibang pagkakataon, dahil sa isang isyu sa cache ng browser.