Le « bon samaritain » hacker de blockchain qui a restitué 267 BTC s'exprime

MISE À JOUR (15 décembre 11h15 GMT) :Hacker Johoehistorique des transactions indique qu'il a reçu 244,2 BTC supplémentaires provenant de portefeuilles Blockchain compromis depuis 20h23 hier soir (GMT).

Contacté par CoinDesk, le président de Blockchain, Peter Smith, a confirmé que les fonds de Johoe provenaient des mêmes adresses de portefeuille que précédemment. Cela indique que certains utilisateurs ignorent le piratage ou ont continué à utiliser leurs portefeuilles compromis malgré les avertissements de l'entreprise, a-t-il déclaré.

Johoe a été contacté pour plus de commentaires sur la question.

Le pirate informatique « bon samaritain » qui a récemment restitué 267 BTC qu'il avait pris dans des portefeuilles Blockchain compromis a révélé comment il avait pu collecter les fonds et a donné des conseils aux détenteurs de Bitcoin souhaitant sécuriser leur argent.

L'informaticien et chercheur, connu sous le pseudo « Johoe » surDiscussion sur Bitcoin, a déclaré à CoinDesk que chaque jour, il exécute un script qu'il a écrit qui analyse les données récemment ajoutées à la blockchain Bitcoin et LOOKS des « valeurs R » répétées.

Il a dit :

Chaque transaction Bitcoin est signée par deux valeurs – « R » et « S » – qui prouvent que l'expéditeur connaît la clé privée. Si la même valeur R est utilisée deux fois, la clé privée peut être facilement calculée à partir des seules signatures.

Johoe a étéexemples de publication de telles adresses « cassées » sur Bitcoin Talk depuis plus d'un an.

Une vague de clés cassées

Après avoir exécuté le script lundi matin dernier, il a déclaré avoir immédiatement compris qu'il avait trouvé quelque chose. Le script, qui n'avait découvert qu'environ 500 clés « cassées » de ce type au cours des cinq années d'histoire de la blockchain Bitcoin , en avait soudainement révélé 500 autres en une seule journée.

Un deuxième script qu'il a écrit a scanné le grand livre public pour voir si des fonds avaient été envoyés à ces adresses, et a été surpris de voir le montant.

« J'avais préparé quelques scripts pour aider à trouver et à dépenser l'argent des adresses cassées, mais je ne l'avais T préparé pour cette échelle. »

Il a trié les transactions, en commençant par les plus précieuses et en transférant les fonds des adresses cassées vers une ONE qu'il contrôlait.

Les scripts préparaient et signaient les transactions, vérifiant leur exactitude et les frais de transaction, environ une ONE toutes les deux ou trois minutes. Certaines transactions, comme celles des bitcoins fraîchement minés, qui ne peuvent être dépensés qu'après 100 confirmations, prenaient plus de temps.

Recouvrement des soldes non sécurisés

Après près d'une heure, Johoe avait accumulé les 150 premiers BTC. Il a réexécuté ses scripts sur l'ensemble de la blockchain (plus de 30 Go), ce qui a pris plus de temps, mais a finalement permis de récolter 60 BTC supplémentaires.

Une fois toutes les transactions confirmées, Johoe a publié sur Bitcoin Talk qu'il avait les bitcoins et qu'il avait l'intention de les restituer à leurs propriétaires légitimes une fois le problème résolu.

Pourquoi, alors qu’il aurait pu facilement garder l’argent pour lui, a-t-il décidé de faire une bonne action ?

« J'avais pris cette décision à l'avance. Mon travail me permet de vivre suffisamment. De cette façon, je n'ai T à craindre que quelqu'un le découvre un jour. Avec le recul, c'était une très bonne décision. »

L'exécution des scripts une fois de plus sur l'ensemble du rebord a permis de récupérer 38 BTC supplémentaires dans le portefeuille de Johoe.

Après avoir vu la publication publique de Blockchain annonçant le problème de sécurité, il a relié les points et s'est rendu compte que ces comptes devaient être la source de toutes les adresses compromises qu'il avait trouvées.

L'entreprise l'a contacté après qu'il ait publié son message sur Bitcoin Talk. Il a ensuite fourni à Blockchain des copies de ses scripts afin qu'ils puissent informer les utilisateurs concernés.

La blockchain est « en principe sûre »

Johoeposté à nouveau sur Bitcoin Talk, affirmant que la première « transaction buggée » a eu lieu le 7 décembre à 21:53:26 UTC.

« En principe, il devrait être possible d'utiliser à nouveau Blockchain.info en toute sécurité, mais je constate encore des transactions erronées », a-t-il écrit hier. Les problèmes persistants pourraient être dus à des problèmes de cache du navigateur, a-t-il ajouté, conseillant aux utilisateurs de vider leur cache et de consulter à nouveau leur compte Blockchain.

Tous les utilisateurs ayant envoyé de l'argent ou créé une nouvelle adresse de portefeuille les 7 et 8 décembre doivent considérer leur adresse comme corrompue, a-t-il déclaré. Même si cela n'a pas été publié sur sonliste de 1 019 adresses connues, il ne pouvait pas déterminer exactement à quel moment le problème s'était terminé.

En guise de mise en garde supplémentaire, Johoe a déclaré que toute personne ayant visité son portefeuille Blockchain en ligne pendant cette période a peut-être récupéré le script bogué dans le cache de son navigateur, ce qui pourrait potentiellement affecter la création d'adresses ou les transactions futures.

Les utilisateurs des applications mobiles de Blockchain sur iOS et Android, ainsi que l'extension du navigateur Chrome, n'ont pas été affectés.

Au cours des derniers jours, l'équipe de Blockchain a travaillé dur pour traiter les réclamations et restituer les fonds, une fois que les réclamations ont été vérifiées comme étant authentiques.

Johoe a déclaré que Blockchain lui avait offert une « récompense raisonnable » pour ses efforts.

Sécurité du portefeuille matériel

La solution de portefeuille de Johoe, comme en témoigne (maintenant de manière célèbre) son Bitcoin Talk poste, est un Trezor 'Sauter' portefeuille matériel produit parSatoshiLabs.

« Cela m'a fait me sentir beaucoup plus en sécurité que d'avoir la clé privée de 267 BTC sur mon ordinateur », a-t-il déclaré.

Une solution matérielle comme celle du Trezor isole la clé privée d'Internet, ce qui signifie qu'en principe, il est impossible pour un tiers de la voler. Sa seule crainte était un dysfonctionnement de l'appareil, mais il a finalement tout géré sans problème, malgré un délai d'environ une minute et demie pour signer la transaction et récupérer les bitcoins.

Le seul inconvénient du dispositif Trezor, a déclaré Johoe, est que le seul support de sauvegarde actuel pour l'utilisateur final est lePortefeuille Web myTrezor, qui ne fonctionne pas sur les appareils mobiles.

Solutions mobiles et de dépenses

Sinon, Johoe recommande un client qui utilise des portefeuilles HD (déterministes hiérarchiques), tels quePortefeuille à painsur iOS etArsenal,Électrum ou Wallet32sur Android.

Ces portefeuilles génèrent des paires de clés (privées et publiques) à partir d'une phrase de départ originale qui n'a besoin d'être sauvegardée qu'une seule fois dans un endroit sûr et peuvent récupérer les soldes de cette phrase de départ même si un appareil physique est perdu, volé ou endommagé.

Néanmoins, les solutions portables sont idéales pour dépenser uniquement de l'argent, les montants plus importants étant conservés « au froid » ou complètement hors ligne.

Pour les fonds plus importants, je déconseille de KEEP la clé privée sur un ordinateur. Il existe de nombreux chevaux de Troie spécialisés dans le vol de portefeuilles Bitcoin .

Même la protection des clés avec un mot de passe fort pourrait ne pas suffire, conclut Johoe, si un logiciel malveillant a installé un enregistreur de frappe sur l'ordinateur d'un utilisateur qui pourrait récupérer le mot de passe et le transmettre à un mauvais acteur.

Cryptographieimage via Shutterstock

MISE À JOUR:Une version précédente de cet article indiquait que Johoe avait retourné 255 BTC. Il a depuis confirmé que ce chiffre était passé à 267 BTC, attribuant les 12 BTC supplémentaires à des adresses qui n'ont été compromises que plus tard, en raison d'un problème de cache du navigateur.