Hacker de blockchain "bom samaritano" que devolveu 267 BTC fala

ATUALIZAÇÃO (15 de dezembro 11:15 GMT):Hacker johoe'shistórico de transações indica que recebeu mais 244,2 BTC de carteiras Blockchain comprometidas desde as 20h23 de ontem (GMT).

Quando contatado pela CoinDesk, o presidente da Blockchain, Peter Smith, confirmou que os fundos de johoe foram retirados dos mesmos endereços de carteira de antes. Isso indica que certos usuários não estão cientes do hack ou continuaram a usar suas carteiras comprometidas, apesar dos avisos da empresa, disse ele.

Johoe foi contatado para mais comentários sobre o assunto.

O hacker "Bom Samaritano" que recentemente devolveu 267 BTC que ele tirou de carteiras Blockchain comprometidas revelou como ele conseguiu coletar os fundos e deu conselhos aos detentores de Bitcoin que queriam proteger seu dinheiro.

O cientista da computação e pesquisador, conhecido como 'johoe' emConversa sobre Bitcoin, disse ao CoinDesk que todos os dias ele executa um script que ele escreveu que verifica dados adicionados recentemente do blockchain do Bitcoin e LOOKS por 'valores R' repetidos.

Ele disse:

"Toda transação de Bitcoin é assinada por dois valores – 'R' e 'S' – que provam que o remetente conhece a chave privada. Se o mesmo valor R for usado duas vezes, a chave privada pode ser facilmente computada apenas a partir das assinaturas."

Johoe foiexemplos de postagem desses endereços 'quebrados' no Bitcoin Talk por mais de um ano.

Onda de chaves quebradas

Ao executar o script na manhã da última segunda-feira, ele disse que reconheceu imediatamente que ele havia encontrado algo. O script, que havia descoberto apenas cerca de 500 dessas chaves "quebradas" nos cinco anos de história do blockchain do Bitcoin , de repente revelou mais 500 em um único dia.

Um segundo script que ele escreveu examinou o livro-razão público para ver se algum fundo havia sido enviado para esses endereços e ficou surpreso ao ver o valor.

"Eu tinha preparado alguns scripts para ajudar a encontrar e gastar o dinheiro dos endereços quebrados, mas T os havia preparado para essa escala."

Ele classificou as transações, começando pelas mais valiosas e transferindo os fundos dos endereços quebrados para um que ele controlava.

Os scripts preparavam e assinavam as transações, checando duas vezes a correção e as taxas de transação, cerca de uma a cada dois ou três minutos. Alguns, como bitcoins recém-minerados que só podem ser gastos após 100 confirmações, demoravam mais.

Cobrança de saldos inseguros

Após quase uma hora, johoe acumulou os primeiros 150 BTC. Ele executou seus scripts novamente em todo o blockchain de 30 GB+, o que levou mais tempo, mas eventualmente rendeu mais 60 BTC.

Depois que todas as transações foram confirmadas, Johoe postou no Bitcoin Talk que tinha os bitcoins e pretendia devolvê-los aos seus legítimos proprietários assim que o problema fosse resolvido.

Por que, quando ele poderia facilmente ter ficado com o dinheiro todo para si, ele decidiu fazer uma boa ação?

"Eu decidi isso de antemão. Ganho dinheiro suficiente com meu trabalho diário para viver dele. Também dessa forma T preciso me preocupar que um dia alguém descubra. Em retrospectiva, essa foi uma decisão muito boa."

Executar os scripts mais uma vez em toda a plataforma levou mais 38 BTC para a carteira de Johoe.

Depois de ver a publicação pública do Blockchain anunciando o problema de segurança, ele conectou os pontos e percebeu que essas contas deviam ser a fonte de todos os endereços comprometidos que ele havia encontrado.

A empresa o contatou depois que ele postou sua mensagem no Bitcoin Talk. Ele então forneceu à Blockchain cópias de seus scripts para que eles pudessem notificar os usuários afetados.

Blockchain seguro 'em princípio'

Johoépostado novamente no Bitcoin Talk, dizendo que a primeira 'transação com bugs' ocorreu em 7 de dezembro às 21:53:26 UTC.

"Em princípio, deveria ser seguro usar o Blockchain.info novamente, mas ainda vejo algumas transações ruins", ele escreveu ontem. Os problemas contínuos podem ser devido a problemas de cache do navegador, ele acrescentou, aconselhando todos os usuários a limparem o cache e visitarem suas contas Blockchain novamente.

Qualquer usuário que enviou dinheiro ou criou um novo endereço de carteira em 7 e 8 de dezembro deve considerar seus endereços quebrados, ele disse. Mesmo que não tenha sido publicado em seulista de 1.019 endereços conhecidos, ele não conseguiu precisar exatamente em que momento o problema terminou.

Como precaução adicional, Johoe disse que qualquer pessoa que visitou sua carteira Blockchain online durante esse período pode ter detectado o script com bugs no cache do navegador, o que poderia afetar a criação de endereços ou transações futuras.

Usuários dos aplicativos móveis do Blockchain no iOS e Android, e da extensão do navegador Chrome, não foram afetados.

Nos últimos dias, a equipe da Blockchain tem trabalhado arduamente para processar reivindicações e devolver fundos – assim que as reivindicações forem verificadas como genuínas.

Johoe disse que a Blockchain lhe deu uma "recompensa razoável" por seus esforços.

Segurança de carteira de hardware

A solução de carteira própria de Johoe, como (agora notoriamente) evidenciado por seu Bitcoin Talk publicar, é um Trezor 'Cofre' carteira de hardware produzida porLaboratórios Satoshi.

"Isso me fez sentir muito mais seguro do que ter a chave privada de 267 BTC no meu computador", disse ele.

Uma solução de hardware como a do Trezor isola a chave privada da Internet, o que significa que, em princípio, é impossível para uma parte remota roubá-la. Sua única preocupação era que o dispositivo pudesse funcionar mal de alguma forma, mas no final ele "administrou tudo graciosamente", apesar de levar cerca de um minuto e meio para assinar a transação que retornava os bitcoins.

A única desvantagem do dispositivo Trezor, disse Johoe, é que o único suporte de backup atual para o usuário final é oCarteira Web myTrezor, que não funciona em dispositivos móveis.

Soluções móveis e de gastos

Caso contrário, Johoe recomenda um cliente que empregue carteiras HD (determinísticas hierárquicas), comoCarteira de Pãono iOS eArsenal,Eletro ou Carteira32no Android.

Essas carteiras geram pares de chaves (privada e pública) a partir de uma frase-semente original que só precisa ser salva em algum lugar seguro uma vez e pode recuperar saldos dessa semente mesmo se um dispositivo físico for perdido, roubado ou danificado.

Mesmo assim, soluções portáteis são melhores apenas para gastar dinheiro, com quantias maiores mantidas "frias" ou completamente offline.

"Para fundos maiores, eu não recomendaria KEEP a chave privada em um computador. Existem muitos trojans por aí que são especializados em roubar carteiras de Bitcoin ."

Mesmo proteger as chaves com uma senha forte pode não ser suficiente, concluiu Johoe, se um malware tiver instalado um keylogger no computador do usuário que possa capturar a senha e transmiti-la a um criminoso.

Criptografiaimagem via Shutterstock

ATUALIZAR: Uma versão anterior deste artigo declarou que johoe havia retornado 255 BTC. Ele confirmou desde então que esse número aumentou para 267 BTC, atribuindo os 12 BTC adicionais a endereços que só foram comprometidos mais tarde, devido a um problema de cache do navegador.