Ang 'Back Door' ng BitcoinPaperWallet ay Responsable para sa Milyun-milyong Nawawalang Pondo, Iminumungkahi ng Pananaliksik

• Lumilitaw na nagtatampok ang BitcoinPaperWallet.com ng back door sa code nito na nagbabahagi ng mga pribadong key para sa mga paper wallet nito sa sinumang may access sa backend ng website.
• Nakipag-usap ang CoinDesk sa mga gumagamit ng BitcoinPaperWallet na sama-samang nagsasabing nawalan sila ng milyun-milyong dolyar na halaga ng Bitcoin.
• Ipinapakita ng pagsusuri sa Blockchain ang mga pondong ito na dumadaloy sa mga palitan ng Binance at Poloniex.
• Ang kapus-palad na senaryo ay isang paalala na, sa karamihan ng mga kaso, ang mga web-based Bitcoin wallet generators ay dapat na iwasan sa pabor ng vetted Bitcoin wallet software at hardware.

Pasado hatinggabi lamang noong Enero 7, 2021, nang mawalan ng kalahating milyong dolyar si “Nick Wendell” (isang pseudonym). Bitcoin.

Ang presyo ng Bitcoin ay umaatungal patungo sa $40,000, at inilipat ni Wendell ang ilan sa kanyang Bitcoin sa isang paper wallet na nabuo ng BitcoinPaperWallet.com. Binibigyang-daan ka ng mga wallet na ito na iimbak ang iyong pribadong key sa isang pdf na maaaring i-print out o i-save bilang isang computer file.

Sa loob ng isang minuto ng pagdeposito ng 14.5 BTC, na nagkakahalaga ng higit sa $500,000 sa panahong iyon (at ngayon ay nagkakahalaga ng higit sa $700,000), nawala ang lahat. May nagwalis ng mga pondo mula sa wallet ni Wendell at, pagkatapos maglaro ng blockchain hopscotch sa maraming address, ipinadala sila sa Binance exchange.

Ang sitwasyon ay nagpaikot sa mundo ni Wendell.

"Sa loob ng ONE minuto ay napagtanto ko kung ano ang nangyari at parang nahuhulog ako ngunit [T] tumama sa lupa sa loob ng ilang minuto. Naaalala kong naglalakad ako ng paikot-ikot sa kusina na parang nahihilo ako," sabi ni Wendell sa CoinDesk.

Si Wendell ay ONE sa hindi bababa sa kalahating dosenang mga gumagamit na nagsasabing nawalan sila ng nakakahilong halaga sa wallet na papel. Isang QUICK na paghahanap sa Google nagpapakita ng mga post sa Reddit, Bitcointalk at sa ibang lugar na nagsasabi sa ilang indibidwal na account ng multi-milyong dolyar na collective heist: Ang isang taong may access sa site ay lumilitaw na kumukuha ng mga pondo ng user sa pamamagitan ng back door sa code na nagbibigay sa kanila ng access sa mga pribadong key.

Sa katunayan, ang ilang mga gumagamit ng pinakasikat na Bitcoin paper wallet generator sa pagraranggo sa paghahanap ng Google ay nagsasabing sama-samang nawalan ng milyun-milyong dolyar na halaga ng Bitcoin sa nakalipas na dalawang taon, nalaman ng CoinDesk .

Ito ay patula kung trahedya na ang isang bagay na tinatawag na "paper wallet" ay napakarupok. Habang ito ay maaaring mukhang matino sa iimbak ang iyong Bitcoin offline sa isang piraso ng papel o isang USB drive upang protektahan ito mula sa mga hacker, ang paggawa nito ay maaaring puno ng panganib.

Read More: Bago sa Bitcoin? Manatiling Ligtas at Iwasan ang Mga Karaniwang Scam na Ito

Bago ang pagkawala o pagkasira, ilang mga panganib na nauugnay sa pag-iimbak ng Bitcoin sa ganitong paraan, ang pangunahing alalahanin ay ang pagbuo ng pribadong key – sa madaling salita, kung paano mo ginagawa ang iyong mga pribadong key. Kung gumagamit ka ng third-party na software para makabuo ng paper wallet, nagtitiwala ka na ligtas na ginagawa ng generator ang pribadong key.

Kung ang software ay T tapat, kung gayon ang iyong wallet ay bulnerable sa CORE nito .

Ang pintuan sa likod ng BitcoinPaperWallet.com

Ayon sa mga mananaliksik ng seguridad, ang BitcoinPaperWallet.com ay nagpapadala ng kopya ng bawat pribadong key na nabuo nito sa ngalan ng mga user nito sa mga server ng site. Ang sinumang may access sa back end ng BitcoinPaperWallet ay maaaring ma-access ang mga key na ito at nakawin ang mga pondong nauugnay sa mga wallet na nabuo sa site.

Si Colin at Bryan Aulds, dalawang magkapatid na nagpapatakbo ng PrivacyPros blog, ay halos bumili ng website noong nakaraang taon. Ngunit matapos silang masabi sa serye ng heists sa proseso ng negosasyon, sinimulan nila itong imbestigahan para sa pandaraya at nai-publish ang kanilang mga natuklasan sa kanilang blog.

Kung mayroon kang MetaMask o MyEtherWallet (MEW) na mga extension na naka-install sa iyong computer, awtomatikong ire-redirect ka ng app sa isang page na babala sa iyo na hindi ligtas ang BitcoinPaperWallet.com. Ayon sa MetaMask, ang site ay nakarehistro sa kanilang "listahan ng babala ng domain" kasi "ito ay tahasang natukoy bilang isang nakakahamak na site."

Noong Mayo ng nakaraang taon, ang Ethereum wallet provider na MyCrypto ay naglabas ng isang video at tweet thread na babala tungkol sa isang "kahinaan" sa BitcoinPaperWallet na lumilikha ng "isang pinto sa likod na nag-iiwan sa iyo sa panganib na manakaw ang iyong mga pondo."

Binanggit ng magkapatid na Aulds na ang code para sa partikular na pagsasamantalang ito ay wala na sa build ng BitcoinPaperWallet. Ngunit may isang bagong bagay na pinalitan ito at ang mga tao ay nawawalan pa rin ng pera dahil "may isang taong aktibong nagbabago [sa likod na pinto] kapag ang kasalukuyang pagsasamantala ay malawak na nai-publish," sinabi ni Bryan Aulds sa CoinDesk.

Nakipag-usap ang CoinDesk sa ilan sa mga biktima ng wallet. ONE, na humiling na manatiling anonymous, ay gumawa ng mga incremental na deposito sa kanyang wallet sa buong Agosto 2020. Noong ika-21 ng buwan, nawala ang kanyang mga pondo, patungo sa palitan ng Binance.

"Napagkamalan ko itong isa pang legit na website na ginamit ko ilang taon na ang nakakaraan. Sa pangkalahatan, nag-google ako sa ' Bitcoin paper wallet' at unang lumabas ang scam na ito," sinabi nila sa CoinDesk.

Ang isa pang biktima na kinapanayam ng CoinDesk ay nawalan ng 50.1 BTC noong Disyembre. Ang tao ay nagdeposito ng mga pondo sa isang wallet na ginawa ng website, pumunta upang kumuha ng pagsusuri sa COVID-19 at bumalik upang maghanap ng isang walang laman na address ng wallet.

Isa pa, na humiling na manatiling anonymous, ay nawalan ng 1.8 BTC noong Mayo 2019. ONE user sa Reddit iniulat natatalo BCH sa site din.

Paano gumagana ang pagsasamantala?

Kapag gumawa ka ng Bitcoin wallet, kailangan mong bumuo ng pribadong key na nagbibigay sa iyo ng access at kontrol sa wallet. Upang gawin ito, karamihan sa mga software ng wallet ay gumagamit ng random number generator na nagpaparami ng ONE napakahabang random na numero sa isa pa upang makabuo ng pribadong key.

ONE user ng Reddit, si Senor_Curioso, ang na-diagnose kung paano lumilitaw na ginagamit ang proseso ng pagbuo ng pangunahing BitcoinPaperWallet upang magnakaw ng mga pondo sa Reddit na ito thread. Ayon sa paliwanag, ang wallet generator ay awtomatikong gumagawa ng binhi Para sa ‘Yo kapag na-load mo ito.

"Kapag ni-load mo ang generator ng wallet mula sa server, dynamic na ini-embed nito ang 60 random number seeds na nagtatago sa HTML bilang 'test keys,'" sabi ni Curioso.

Sinabi ni Curioso sa CoinDesk na ang test key ay, sa katunayan, ang pribadong key ng wallet.

Kapag nakabuo ka ng ONE sa mga wallet ng BitcoinPaperWallet para gumawa ng pribadong key, kailangan mong ilipat ang iyong mouse sa isang pop-up window upang lumikha ng 'randomness' na kailangan para makabuo ng cryptographically secure na key.

Read More: Ang Math sa Likod ng Bitcoin Protocol

Ngunit "kapag ginawa ng generator ang iyong mga wallet," paliwanag ni Curioso, "ang cryptographically secure na random na binhi na ginawa mo sa pamamagitan ng paggalaw ng iyong mouse sa paligid ay binabalewala. Sa halip, ang mga 'test keys' na iyon ay ginagamit bilang mga buto upang makabuo ng predictable na pampubliko at pribadong mga susi. … Ang patunay: Kung aalisin mo ang lahat maliban sa ONE sa mga 'test key' sa HTML code, ang wallet ay hindi na lang gagawa ng parehong pribado at pampublikong key.

Dahil ang mga key na ito ay malamang na naka-save sa server ng BitcoinPaperWallet, sinuman na may access sa backend ng site ay maaaring walisin ang mga ito sa kalooban, siya ay nagtapos.

Isang developer para sa PrivacyPros sinuri Ang mga natuklasan ni Curioso at nakumpirma ang pagkakaroon ng back door code. Idinagdag niya na ang test_key code para sa pagbuo ng pribadong key sa likod ng isang user ay “T sa source code” sa BitcoinPaperWallet's Github orihinal na isinulat ng lumikha nito; ang back door code ay naidagdag sa ibang araw.

Si Dustin Dettmer, isang independiyenteng developer at mananaliksik ng Bitcoin , ay nag-verify din ng mga natuklasan.

Sino ang nagmamay-ari ng BitcoinPaperWallet?

Hanggang sa 2018, ang BitcoinPaperWallet ay pagmamay-ari at pinamamahalaan ng Canton Becker, ngunit ibinenta ito sa Sarkis Sarkissian noong Abril ng taong iyon.

Ito ay T hanggang pagkatapos ng pagbebenta na ang mga tao ay nagsimulang mag-ulat ng mga pagkalugi mula sa mga wallet na nabuo sa site. Bago ang shadow play, nagkomento ang ONE source, ang wallet generator "ay isang kilalang at pinagkakatiwalaang website na ginagamit ng komunidad ng Bitcoin ."

Walang paraan upang maiugnay ang mga pinaghihinalaang mga pagnanakaw sa sinumang ONE tao nang may katiyakan, ngunit ang taong iyon ay nangangailangan ng access sa code ng website upang walisin ang mga pondo. Hindi tulad ng phishing scam, kung saan nililinlang ka ng isang tagalabas upang ibunyag ang iyong pribadong key o magpadala ng mga pondo sa maling address, ang pinto sa likod na ito ay panloob sa disenyo ng BitcoinPaperWallet.

Sinabi ng ONE user sa CoinDesk na nawalan siya ng 22.5 BTC sa website noong kalagitnaan ng 2018. Sa unang bahagi ng 2019, ang iba sa social media ay nagsimulang mag-ulat ninakaw na pondo (ONE sa kanila nawala ang 22.15 BTC).

Nang makipag-ugnayan ang CoinDesk sa Sarkissian upang Request ng komento sa likod na pinto sa code ng wallet, iniugnay niya ang mga pagkalugi sa "mga user na hindi kailanman nagkaroon ng wastong pamamahala ng key sa unang lugar."

"Sa katunayan, nakatanggap kami ng mga reklamo mula sa mga user na nagsasabing nawala ang kanilang Bitcoin gamit ang aming website. Ang mga reklamong iyon ay palaging nareresolba maliban sa ilang piling hindi maisip na ito ay kanilang sariling kasalanan at dapat sisihin sa amin."

Nang tanungin muli upang linawin kung alam niya ang isang pinto sa likod sa code ng generator ng kanyang wallet, sinabi ni Sarkissian, "Hinanap namin ang aming source code para sa mga isyu na nasa mga dokumentong iyon at hindi namin maaaring kopyahin ang parehong mga resulta. Ang aming mga server at source code ay na-verify na malinis ng [aming security expert na si Jonel Richard]. Nasa retainer pa rin siya at patuloy na nag-iimbestiga, sinusubukang i-reproduce ng iba ang isyu."

Nakipag-ugnayan ang CoinDesk kay Richard para humingi ng kopya ng kanyang pagsusuri ngunit hindi ito nakasagot sa oras ng press.

Parehong si Wendell at isa pang biktima ay nagsampa ng mga ulat sa pulisya sa kani-kanilang departamento ng pulisya ngunit wala pa ring resulta sa mga imbestigasyon sa ngayon.

Niloloko ng BitcoinPaperWallet ang mas malalaking may hawak

Lumilitaw na ang BitcoinPaperWallet ay nagtatampok ng may depektong code mula pa noong kalagitnaan ng 2018, kaya paano ito napunta sa ilalim ng radar nang napakatagal?

Tila ang magnanakaw ay nag-drain lamang ng mga high-value Bitcoin wallet o yaong may hindi bababa sa 1 BTC na idineposito, hindi pocket change o mas maliit na halaga. Ayon sa social media at mga first-hand account, ang salarin ay nagnakaw ng hindi bababa sa 124.85 BTC na nagkakahalaga ng humigit-kumulang $6.2 milyon sa mga presyo ngayon.

Read More: Maaaring KEEP Ligtas ng Mga Multi-signature na Wallet ang Iyong Mga Barya (kung Tamang Gagamitin Mo ang mga Ito)

Ang pintuan sa likod ng BitcoinPaperWallet ay isang paalala na, para sa maliliit o malalaking halaga, ang pag-iimbak ng iyong Bitcoin sa isang wallet na nabuo mula sa isang website ay malamang na hindi isang magandang ideya. Sa katunayan, maliban kung alam mo kung ano ang iyong ginagawa at ikaw mismo ang bumuo ng paper wallet mula sa simula, dapat kang manatili na lang sa isang hardware wallet mula sa isang kilalang, na-verify na tagagawa at, kung magagawa mo, i-secure ang iyong mga pondo gamit ang isang multisignature wallet.

"Ito ay kritikal na pagbuo ng wallet na kumpletuhin ng isang pinagkakatiwalaang tagagawa sa isang ganap na offline na proseso," sinabi ni Dettmer sa CoinDesk. "Dapat mong isipin ang mga website, ang iyong computer, at ang internet sa pangkalahatan bilang sinusubukang voyeuristic na tingnan ang iyong binhi. Dahil kung minsan sila ay - at maaari nilang nakawin ang iyong buong balanse kung magtagumpay sila."