OzCoin Hackeado, Fondos robados decomisados ​​y devueltos por StrongCoin

Finding FREE Credits on Wizard of Oz Coin Pusher! (Abril 2019).

Anonim

OzCoin, uno de los grupos de minería más grandes de Bitcoin informaron que un atacante desconocido logró hackear su servidor, desfigurando su sitio web y base de datos y robando 923 BTC ($ 135,000) de su billetera Bitcoin. Sin embargo, en menos de un día se incautó más de la mitad del dinero, ya que estaba pasando por la billetera web StrongCoin, y regresó de inmediato a Ozcoin. 354. 06 BTC siguen desaparecidos, y es probable que nunca se encuentren, pero esto deja a OzCoin con un golpe mucho más suave de lo que nadie esperaba.

Aunque la mayoría de las personas está de acuerdo con las acciones de StrongCoin, este es sin embargo un signo muy preocupante para la seguridad y privacidad de StrongCoin, y otras carteras web por extensión. StrongCoin es lo que a menudo se llama una billetera web híbrida, accesible como un sitio web en Internet, pero haciendo toda la firma de transacciones y administración de direcciones en Javascript en el lado del cliente. Esencialmente, el cliente está descargando una versión nueva del software de monedero de StrongCoin cada vez, y desde ese punto, en teoría, el software se vuelve tan seguro como cualquier otro programa del lado del cliente. Los datos de la billetera del usuario, incluidas las claves privadas necesarias para firmar transacciones, se respaldan en los servidores de StrongCoin, pero se cifran y se descifran del lado del cliente utilizando la contraseña del usuario para que, una vez más, en teoría, no haya forma de que StrongCoin obtener las llaves privadas del usuario. StrongCoin anuncia fuertemente esta característica; en la página principal del sitio web, escriben: "Por lo tanto, nuestros servidores solo tienen claves privadas cifradas y ni nosotros ni nadie puede gastar sus Bitcoins. Sólo tu. "Excepto que simplemente lo hicieron.

Las inspecciones del código del lado del cliente de StrongCoin han confirmado que StrongCoin de hecho está operando exactamente como debería hacerlo una billetera web del lado del cliente. Esto deja solo una posibilidad: StrongCoin básicamente pirateó su propio servicio. Al inyectar un código que automáticamente enviará todos los fondos de un usuario tan pronto como el usuario ingrese su contraseña, un proveedor de billetera web puede robar fácilmente a cualquiera de sus usuarios siempre que inicien sesión con suficiente frecuencia. Ataques como estos son la razón por la cual los analistas de seguridad generalmente han salido en contra de la criptografía de Javascript; este y otros argumentos están bien explicados en el artículo de Matasano "JavaScript Criptography Considered Harmful". Esta vez, StrongCoin usó esta vulnerabilidad para hacer el bien, pero al mismo tiempo ha socavado críticamente la confiabilidad de su servicio; la gente usa billeteras web híbridas sobre servicios centralizados como Coinbase precisamente porque no confían en que los proveedores de servicios centrales siempre hagan lo correcto.

Cabe señalar que el otro proveedor de billetera web híbrida importante, Blockchain. información, ha tomado medidas para proteger a sus usuarios contra dicho ataque. Su billetera web también se ofrece en forma de una extensión de Chrome y Firefox, que es esencialmente equivalente a cualquier otra pieza de software de escritorio, con la única diferencia de que depende del navegador del usuario para interpretar su código fuente.Los usuarios de Safari también tienen un complemento de Verificador de Wallet, aunque su alcance es mucho más débil.

El otro problema es la privacidad. Al explicar cómo descubrieron que el ladrón estaba usando su servicio, StrongCoin escribió que "Cada vez que realiza un pago de StrongCoin, la tarifa va a 1STRonGxnFTeJiA7pgyneKknR29AwBM77, por lo que cualquier pago de cuentas en poder de strongcoin se rastrea fácilmente hasta el sitio. "Presumiblemente, los bitcoins del robo se rastrearon a través del blockchain hasta que una de las transacciones llegó a StrongCoin, en ese momento estableciendo un enlace directo entre la cuenta de StrongCoin y el ladrón. En realidad, esta es la primera vez que una cantidad significativa de dinero se recuperó con éxito utilizando la ayuda del análisis blockchain. Aunque los análisis de blockchain realizados por varios investigadores han podido dibujar gráficos intrincados asignando transacciones de Bitcoin a unos pocos usuarios de alto perfil, hasta ahora el registro de transacciones públicas en la cadena de bloques de Bitcoin no había logrado rastrear o detener un único robo a gran escala. poniendo en duda las afirmaciones de que Bitcoin no es anónimo. Este incidente no implica que Bitcoin ahora no tenga privacidad en absoluto; El contraataque de StrongCoin solo fue posible porque la transacción se realizó muy pronto después del robo original y el ladrón aún no había hecho ningún intento fuerte de ofuscación, y la billetera de StrongCoin en particular es débil en términos de privacidad porque se envían tarifas de transacción a un particular dirección (1STRonGxnFTeJiA7pgyneKknR29AwBM77). Sin embargo, sigue siendo un incidente digno de señalar cuando se enfrenta a preocupaciones de que Bitcoin facilite el robo imposible de rastrear.

Aquellos que usan StrongCoin deben decidir por sí mismos si vale la pena quedarse con StrongCoin. Aquellos que disfrutan de StrongCoin para las características de la interfaz de usuario probablemente se queden; StrongCoin ha estado en la comunidad de Bitcoin durante mucho tiempo, y si los usuarios están dispuestos a confiar abiertamente sus fondos a los intercambios, no es un salto confiar en que StrongCoin también haga lo correcto. Aquellos que les gusta el aspecto de seguridad criptográfica del lado del cliente, por otro lado, deberían considerar cambiarse a Blockchain. información o, mejor aún, una billetera del lado del cliente como Electrum. En cuanto a StrongCoin, si desean mantener su estado como una billetera web híbrida segura, deben ponerse manos a la obra rápidamente para ponerse al día con Blockchain. información e implementar una extensión de Firefox y Chrome.