Bitcoin Forum

Один из самых популярных в мире криптографической валюты Биткоин кошельков Blockchain выпускает обновление своего Android-приложения после обнаружения критической уязвимости. Из-за неё пользователи отправляют денежные переводы не по тому адресу, по которому им нужно, без предупреждения об этом.

Уязвимость затрагивает приложение для Android на версиях 4.1 или более старых. Здесь используется незашифрованное соединение HTTP при доступе на сайт random.org для получения случайных чисел, необходимых для генерации частных ключей адресов Биткоин. С января random.org требует использования соединения HTTP и выдаёт ошибку при попытке зайти через HTTP. Результатом стало то, что уязвимые приложения генерировали ключи, соответствующие одному адресу 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F, независимо от задаваемого пользователем адреса.

В некоторых случаях генератор псевдослучайных чисел в Blockchain на Android не получал доступа к числам, которые должны встраиваться в скачиваемые с random.org случайные числа. Не сообщая об ошибке, приложение использовало 256-разрядное число от random.org как средство для генерации ключей, так что сайт был единственным поставщиком данных для генерации ключей.

Для генерации псевдослучайных чисел использовался программный интерфейс LinuxSecureRandom вместо более стандартного для Android-разработчиков SecureRandom. При этом у одних пользователей систем до Android 4.1 уязвимости проявляются, а у других нет.

http://www.oszone.net/27425/Blockchain_flaw

требует использования соединения HTTPS и выдаёт ошибку при попытке зайти через HTTP
Надо бы поправить. И в первоисточнике тоже ошибка.

Назревает мысль, а это точно была ошибка программы ::) https://blockchain.info/address/1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F
Эта новость лучше всего характеризует причину почему популярность биткоина не растет в геометрической прогрессии и почему в биткоин
особо не идет серьезный капитал- один кривой перевод и все.

Надежность, удобность, безопасность имеют свою цену.
Наивно думать, что скачав бесплатное приложение вы получите серьезную защиту.

Эсли разобраться то вообще нет ничего надежного и безопасного. С кредиток тоже бабки издят и не мало и регулярно но пипл хавает и молчит. Все пытаются друг друга кинуть, так было и так будет всегда.

ну мне кажется тут не в платности дело, имеет место быть обычная техническая ошибка разработчиков, от которой не застрахованы и платные приложения никоим образом -
Не сообщая об ошибке, приложение использовало 256-разрядное число от random.org как средство для генерации ключей

Я примерно о том и говорю.
Комиссии банку, которые мы плятим - это по сути дела плата за то, что банк будет разбираться куда утекли баблосы с кредитки.
Этот процесс, возможно, не всегда приводит к нужному результату, но все-таки является некоей преградой против явного кидалова.
Биткойнеры не платят за безопасность своих "фантиков" и думают, что такая финансовая система возможна.

Вопрос не в абсолютной надежности и безопасности. Всегда мы платим какой-то процент от общей суммы.

Согласен, предположим завтра банк под каким либо предлогом заблокирует счет, что для предприятий происходит на каждом углу по предписанию налоговой, да и у обычных людей блокируют и получается, что клиенты ему эту безопасность  ;D оплачивали комиссиями. ;D

Вот это поворот ;D То есть только проприетарное/не бесплатное предложение даёт серьёзную защиту? ;D

Ежедневно небольшими суммами банки воруют миллионы долларов.

И ничего не возвращают. Только самым назойливым клиентам. У меня было такое несколько раз.

с каждого перевода они берут долю цента и в итоге выходят миллионы наших денег у банковских карманах

Да, да, как говорится с миру по нитке :D

в смысле ? чего, прямо со счёта уводили что ли ? но без следов это вроде как не возможно, всё правно движение денег отражается как то. не знаю, у меня со счёта в банке никогда не пропадало ничего, я всегда слежу сколько у меня там  ;)

Ну да, прям со счёта

интересно, это наши банки такой хренотенью балуются, или у тебя в каком то зарубежном так попёрли втихаря ? а как ты заметил, какие то исходящие транзакции всё же со счёта были, которые ты не делал ? а банк чего объяснил ?

у моей знакомой так с кредитной карты, только что оформленной, в интернет магазинах товары покупали, во время успела заблокировать,ну почти во время), почти на штуку зелени товаров какие-то деляги успели купить, потом долго разбирались, но кто то из служащих банка химичил

да с кредиткой то служащим банка и химичить не надо, достаточно просто посмотреть номер карты и три цифры сзади которые, не помню точно как называется - ССV код по моему, и всё, можно в интернете платить и покупки делать

У Визы и МастерКарда, по-моему, обязательно (в смысле нельзя отключить) идёт СМС-подтверждение.

совершенно верно, поэтому как они производили оплату остаётся загадкой, скорее всего, я же говорю что-то там "химичили", потому как на её телефон никаких подтверждений не приходило

ну тогда я думаю здесь только один вариант - смс подтверждения отправляет сервер банка ? изменить время сервера что бы он отправил смс подтверждения позже, но это наверное сложный путь. но вообще - сугубо имхо  ;)

Например алиекспресс раньше (месяц назад) не требовал подтверждения оплаты СМС кодом. То есть можно было оплатить любой картой любого владельца.
Сейчас уже требует подтверждения СМС кода.

немного дополнений к теме


Пользователи кошелька Blockchain потеряли биткоины из-за ошибки  в программе

Несколько пользователей мобильного приложения Blockchain потеряли биткоины из-за ошибки в программе. Компания рекомендует клиентам обновить приложение до последней версии.

Blockchain предупредила клиентов о возможной потере биткоинов в специальном объявлении:
«В некоторых редких случаях ошибка в программе может привести к тому, что один и тот же адрес при отправке биткоинов копируется несколько раз, из-за чего несколько пользователей потеряли средства».

Ошибка устранена в последних версиях приложения, однако остается в некоторых старых вариантах.
«Речь идет о биткоин-адресах, которые были созданы приложением Blockchain, работающим под оперативной системой Android 4.1 или более ранними версиями. Пользователям следует скачать последнюю версию нашего приложения из Google Play, а также обновить саму систему Android».

Blockchain – это один из ведущих сервисов биткоин-кошельков в мире. Число биткоин-кошельков, размещенных на лондонской платформе  Blockchain.info, неуклонно росло на протяжении последнего года. Оно достигло отметки в один миллион в январе 2014 года, и в два миллиона в августе 2014 года, а в 25 февраля 2015 года Blockchain заявил о регистрации трехмиллионного по счету кошельке на своем сервере.  Второй по популярности сервис, Coinbase, в настоящий  момент поддерживает 2,5 млн кошельков.

Ссылаясь на защиту частной жизни своих пользователей, компания отказывается сообщить, какой процент пользовательских аккаунтов активен. Однако, как утверждает глава компании Питер Смит, большинство новых пользователей имеют не более одного аккаунта. Они в основном происходят из таких стран, как Аргентина и «периферия Еврозоны», где люди потеряли доверие к местной финансовой системе.

http://www.coinfox.ru/novosti/2133-bug-in-the-old-version-of-blockchain-wallet-led-to-loss-of-funds-2
 

Для пользователя надежность BTC весьма специфична и изменчива, он небезопасен, а его удобство соизмеримо с его волатильностью.
Наивно думать, что платная программа даже от всемирно известного бренда лучше чем бесплатная обезопасит тебя и твои вложения, даст тебе какие-то гарантии и попросту будет лучше бесплатного сервиса\программы. :-\

если кому то достанется этот адресок, ему повезет ;D

сейчас еще спамеры туда накидают понемногу :)

Теоретически можно попробовать установить себе "старый клиент с багом" на эмулятор и погонять
Найти приватный ключ от этого адреса 1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F
И посмотреть не создает ли программа другие адреса одинаково.

Но меня ломает.