«Добрый самаритянин» — блокчейн-хакер, вернувший 267 BTC, высказался

ОБНОВЛЕНИЕ (15 декабря 11:15 GMT):Хакер Джохоистория транзакций указывает, что он получил еще 244,2 BTC со взломанных кошельков Blockchain с 20:23 вчерашнего вечера (по GMT).

Когда CoinDesk связался с президентом Blockchain Питером Смитом, он подтвердил, что средства johoe были украдены с тех же адресов кошельков, что и раньше. Это указывает на то, что некоторые пользователи не знают о взломе или продолжают использовать свои взломанные кошельки, несмотря на предупреждения компании, сказал он.

Мы связались с Джохо для получения дополнительных комментариев по этому вопросу.

Хакер по прозвищу «Добрый самаритянин», недавно вернувший 267 BTC , которые он украл из взломанных кошельков Blockchain, рассказал, как ему удалось собрать средства, и дал совет держателям Bitcoin , желающим обезопасить свои деньги.

Ученый и исследователь в области вычислительной техники, известный под псевдонимом «johoe»Bitcoin разговоррассказал CoinDesk , что каждый день он запускает написанный им скрипт, который сканирует недавно добавленные данные из блокчейна Bitcoin и LOOKS повторяющиеся «значения R».

Он сказал:

«Каждая Bitcoin транзакция подписывается двумя значениями — «R» и «S», — которые доказывают, что отправитель знает закрытый ключ. Если одно и то же значение R используется дважды, закрытый ключ можно легко вычислить только на основе подписей».

Джохо былпримеры размещения таких «сломанных» адресов на Bitcoin Talk уже более года.

Поток сломанных ключей

Запустив скрипт в понедельник утром, он сказал, что сразу понял, что он что-то нашел. Скрипт, который обнаружил всего около 500 таких «сломанных» ключей за пятилетнюю историю блокчейна Bitcoin , внезапно обнаружил еще 500 за один день.

Второй написанный им скрипт сканировал публичную бухгалтерскую книгу, чтобы проверить, были ли отправлены какие-либо средства на эти адреса, и был поражен, увидев сумму.

«Я подготовил несколько скриптов, которые помогут найти и потратить деньги со взломанных адресов, но я T подготовил их для такого масштаба».

Он сортировал транзакции, начиная с самых ценных и переводя средства со взломанных адресов на ONE, который контролировал.

Скрипты подготовили и подписали транзакции, дважды проверяя правильность и комиссии за транзакции, примерно ONE в две-три минуты. Некоторые, например, свежедобытые биткоины, которые можно потратить только после 100 подтверждений, заняли больше времени.

Сбор небезопасных остатков

Спустя почти час johoe накопил первые 150 BTC. Он снова запустил свои скрипты на всем блокчейне размером 30 ГБ+, что заняло больше времени, но в итоге принесло еще 60 BTC.

После подтверждения всех транзакций Джохо написал на Bitcoin Talk, что биткоины у него, и он намерен вернуть их законным владельцам, как только проблема будет устранена.

Почему, когда он мог бы легко оставить деньги себе, он решил сделать доброе дело?

«Я решил это заранее. Я зарабатываю достаточно денег на своей основной работе, чтобы жить на них. Кроме того, так мне T нужно беспокоиться о том, что когда-нибудь кто-то об этом узнает. Оглядываясь назад, я понимаю, что это было очень хорошее решение».

Повторный запуск скриптов на всем протяжении уступа принес еще 38 BTC в кошелек johoe.

Увидев публичный пост Blockchain, в котором сообщалось о проблеме безопасности, он связал все точки воедино и понял, что эти учетные записи должны быть источником всех скомпрометированных адресов, которые он нашел.

Компания связалась с ним после того, как он опубликовал свое сообщение в Bitcoin Talk. Затем он предоставил Blockchain копии своих скриптов, чтобы они могли уведомить пострадавших пользователей.

Блокчейн безопасен «в принципе»

Джохоуопубликовано снова на Bitcoin Talk, заявив, что первая «ошибочная транзакция» имела место 7 декабря в 21:53:26 UTC.

«В принципе, снова использовать Blockchain.info должно быть безопасно, но я все еще вижу некоторые плохие транзакции», — написал он вчера. Продолжающиеся проблемы могут быть связаны с проблемами кэша браузера, добавил он, посоветовав всем пользователям очистить кэш и снова зайти в свою учетную запись Blockchain.

Он сказал, что все пользователи, которые отправили деньги или создали новый адрес кошелька 7-8 декабря, должны считать свои адреса взломанными. Даже если это не было опубликовано на егосписок из 1019 известных адресов, он не смог точно определить, в какой момент проблема закончилась.

В качестве дополнительного предостережения Джохо сказал, что любой, кто посещал их онлайн-кошелек Blockchain в этот период, мог подхватить ошибочный скрипт в кэше своего браузера, что потенциально может повлиять на создание будущих адресов или транзакций.

Пользователи мобильных приложений Blockchain на iOS и Android, а также расширения для браузера Chrome не пострадали.

В течение последних нескольких дней команда Blockchain усердно работала над обработкой претензий и возвратом средств — после того, как подлинность претензий будет подтверждена.

Джохо заявил, что Blockchain предоставил ему «разумное вознаграждение» за его усилия.

Безопасность аппаратного кошелька

Собственное решение кошелька Джохо, о чем (теперь уже известно) свидетельствует его выступление Bitcoin Talk почта, это Трезор 'Сейф' аппаратный кошелек, произведенныйSatoshiLabs.

«Это заставило меня почувствовать себя намного безопаснее, чем если бы у меня на компьютере был закрытый ключ к 267 BTC », — сказал он.

Аппаратное решение, такое как Trezor, изолирует закрытый ключ от Интернета, что в принципе означает, что удаленная сторона не может его украсть. Его единственное беспокойство заключалось в том, что устройство может как-то выйти из строя, но в итоге оно «справилось со всем изящно», несмотря на то, что потребовалось около ONE минут, чтобы подписать транзакцию, возвращающую биткойны.

Джохоу сказал, что единственным недостатком устройства Trezor является то, что на данный момент резервная поддержка конечного пользователя осуществляется толькоВеб-кошелек myTrezor, который не работает на мобильных устройствах.

Мобильные и расходные решения

В противном случае johoe рекомендует клиент, который использует HD (иерархически детерминированные) кошельки, такие какХлебный кошелек на iOS и Оружейная палата,Электрум или Кошелек32на Android.

Эти кошельки генерируют пары ключей (закрытый и открытый) из оригинальной фразы-ключа, которую нужно сохранить в безопасном месте только один раз, и могут восстанавливать балансы с помощью этой фразы, даже если физическое устройство потеряно, украдено или повреждено.

Тем не менее, портативные решения лучше всего подходят только для траты денег, а более крупные суммы хранятся «холодными» или полностью автономными.

«Для более крупных сумм я бы не рекомендовал KEEP закрытый ключ на компьютере. Вокруг слишком много троянов, которые специализируются на краже Bitcoin кошельков».

Джохоу пришел к выводу, что даже защита ключей надежным паролем может оказаться недостаточной, если вредоносная программа установила на компьютере пользователя кейлоггер, который может перехватить пароль и передать его злоумышленнику.

Криптографияизображение через Shutterstock

ОБНОВЛЯТЬ: В предыдущей версии этой статьи говорилось, что johoe вернул 255 BTC. С тех пор он подтвердил, что эта цифра выросла до 267 BTC, приписав дополнительные 12 BTC адресам, которые были скомпрометированы только позже из-за проблемы с кэшем браузера.