«Добрий самаритянин» блокчейн-хакер, який повернув 267 BTC , говорить

ОНОВЛЕННЯ (15 грудня, 11:15 GMT): Хакер Джохо історія транзакцій вказує, що він отримав ще 244,2 BTC із скомпрометованих гаманців Blockchain з 20:23 вчора ввечері (GMT).

Коли CoinDesk зв’язався з президентом Blockchain Пітером Смітом, він підтвердив, що кошти johoe були взяті з тих самих адрес гаманців, що й раніше. Це вказує на те, що деякі користувачі не знають про злом або продовжують використовувати свої зламані гаманці, незважаючи на попередження компанії, сказав він.

З Джохо зв’язалися для подальших коментарів щодо проблеми.

Хакер «Добрий самаритянин», який нещодавно повернув 267 BTC , які він взяв із зламаних гаманців Blockchain, розповів, як йому вдалося зібрати кошти, і дав поради власникам Bitcoin , які бажають захистити свої гроші.

Комп’ютерний вчений і дослідник, який використовує ручку "johoe". Розмова про Bitcoin, розповів CoinDesk , що кожного дня він запускає написаний ним сценарій, який сканує нещодавно додані дані з блокчейну Bitcoin і LOOKS повторювані «значення R».

Він сказав:

«Кожна Bitcoin транзакція підписується двома значеннями — «R» і «S», — які доводять, що відправник знає приватний ключ. Якщо те саме значення R використано двічі, приватний ключ можна легко обчислити лише за підписами».

Джохо був розміщення прикладів таких «зламаних» адрес на Bitcoin Talk протягом року.

Потік зламаних ключів

Запустивши сценарій минулого понеділка вранці, він сказав, що одразу помітив, що він щось знайшов. Сценарій, який виявив лише близько 500 таких «зламаних» ключів за п’ятирічну історію Bitcoin біткойнів, раптово оприлюднив ще 500 за один день.

Другий сценарій, який він написав, сканував публічну книгу, щоб побачити, чи були надіслані кошти на ці адреси, і був здивований, побачивши суму.

«Я підготував кілька сценаріїв, щоб допомогти знайти та витратити гроші зі зламаних адрес, але я T готував їх для такого масштабу».

Він сортував транзакції, починаючи з найцінніших і зміщуючи кошти зі зламаних адрес на ONE він контролював.

Сценарії готували та підписували транзакції, подвійно перевіряючи правильність і комісійні транзакції, приблизно ONE дві-три хвилини. Деякі, як-от нещодавно видобуті біткойни, які можна витратити лише після 100 підтверджень, займали більше часу.

Збір незахищених балансів

Майже через годину Джохо накопичив перші 150 BTC. Він знову запустив свої сценарії на всьому блокчейні 30 ГБ+, що зайняло більше часу, але врешті-решт принесло ще 60 BTC.

Коли всі транзакції були підтверджені, Джохо опублікував на Bitcoin Talk, що він має біткойни та має намір повернути їх законним власникам, коли проблему буде вирішено.

Чому, коли він легко міг залишити гроші собі, він вирішив зробити добру справу?

«Я вирішив це заздалегідь. Я заробляю достатньо грошей своєю повсякденною роботою, щоб я міг на це жити. Крім того, таким чином мені T потрібно хвилюватися, що колись хтось про це дізнається. Оглядаючись назад, це було дуже правильне рішення».

Повторний запуск сценаріїв на всьому виступі приніс ще 38 BTC у гаманець Джохо.

Побачивши публічну публікацію Blockchain, в якій повідомляється про проблему безпеки, він з’єднав крапки та зрозумів, що ці облікові записи, мабуть, є джерелом усіх скомпрометованих адрес, які він знайшов.

Компанія зв’язалася з ним після того, як він опублікував своє повідомлення на Bitcoin Talk. Потім він надав Blockchain копії своїх сценаріїв, щоб вони могли повідомити постраждалих користувачів.

Блокчейн безпечний «в принципі»

Джохо опубліковано знову на Bitcoin Talk, заявивши, що перша «транзакція з помилками» відбулася 7 грудня о 21:53:26 UTC.

«В принципі, використовувати Blockchain.info знову має бути безпечно, але я все ще бачу деякі погані транзакції», — написав він учора. Постійні проблеми можуть виникати через проблеми з кеш-пам’яттю браузера, додав він, порадивши всім користувачам очистити кеш-пам’ять і знову відвідати свій обліковий запис Blockchain.

За його словами, будь-які користувачі, які надсилали гроші або створювали нову адресу гаманця 7-8 грудня, повинні вважати свої адреси зламаними. Навіть якщо це не було опубліковано на його список із 1019 відомих адрес, він не міг точно визначити, коли проблема припинилася.

Як додаткове застереження Джохо сказав, що будь-хто, хто відвідував їхній онлайн-гаманець Blockchain протягом цього періоду, міг підібрати помилковий сценарій у кеші свого веб-переглядача, що потенційно могло вплинути на створення адреси чи транзакції в майбутньому.

Користувачі мобільних додатків Blockchain на iOS і Android, а також розширення для браузера Chrome не постраждали.

Протягом останніх кількох днів команда Blockchain наполегливо працювала над обробкою претензій і поверненням коштів – після того, як претензії будуть перевірені як справжні.

Джохо сказав, що Blockchain представив йому «розумну винагороду» за його зусилля.

Безпека апаратного гаманця

Власне рішення гаманця Джохо, про що (тепер уже відомо) свідчить його розмова про Bitcoin пост, є Trezor'Сховище' апаратний гаманець виробництва SatoshiLabs.

«Це змусило мене почуватися набагато безпечніше, ніж мати закритий ключ на 267 BTC на своєму комп’ютері», — сказав він.

Таке апаратне рішення, як Trezor, ізолює приватний ключ від Інтернету, тобто віддалена сторона в принципі не може його вкрасти. Його єдине хвилювання полягало в тому, що пристрій може якось вийти з ладу, але врешті-решт він «впорався з усім граціозно», незважаючи на те, що підписати транзакцію з поверненням біткойнів знадобилося близько ONE хвилини.

Джохо сказав, що єдиним недоліком пристрою Trezor є єдина поточна підтримка резервного копіювання для кінцевого користувача. Веб-гаманець myTrezor, яка не працює на мобільних пристроях.

Мобільні та фінансові рішення

В іншому випадку johoe рекомендує клієнта, який використовує HD (ієрархічні детерміновані) гаманці, такі як Хлібний гаманець на iOS і Збройова палата, Електрум або Гаманець32 на Android.

Ці гаманці генерують пари ключів (приватні та публічні) з оригінальної початкової фрази, яку потрібно зберегти в безпечному місці лише один раз, і можуть відновлювати баланси з цієї початкової фрази, навіть якщо фізичний пристрій втрачено, вкрадено або пошкоджено.

Незважаючи на це, портативні рішення найкраще підходять лише для витрачання грошей, а більші суми зберігаються «холодними» або повністю офлайн.

«Для великих коштів я б не рекомендував KEEP закритий ключ на комп’ютері. Навколо занадто багато троянів, які спеціалізуються на крадіжці Bitcoin гаманців».

Навіть захисту ключів за допомогою надійного пароля може бути недостатньо, зробив висновок Джохо, якщо зловмисне програмне забезпечення встановило на комп’ютер користувача програму реєстрації ключів, яка може отримати пароль і передати його зловмиснику.

Криптографія зображення через Shutterstock

ОНОВЛЕННЯ: у попередній версії цієї статті говорилося, що johoe повернув 255 BTC. Відтоді він підтвердив, що ця цифра зросла до 267 BTC, приписавши додаткові 12 BTC адресам, які були зламані лише пізніше через проблему з кеш-пам’яттю браузера.