Bitcoin Forum

Украли биткоины из официального кошелька.
Кошелек был запаролен (около 30 символов)
Пороль последний раз вводил не менее 6 месяцев назад.
Винду переставлял в октябре.
KIS  никаких вирусов не находит.
https://blockchain.info/address/15ESHhWuNfqMEQPXWexGb9kK1J53brWksL
Кто что думает по этому поводу?
Система настолько дырява?

Не раз писали об проблемах на blockchain. Взламывали не раз. Но скорей всего у вас подтверждения были, настройка безопасности, по электронной почте, а значит взлом был или украли пароль от почты.

Для blockchainа обязательно надо включать двухфакторную авторизацию через гугл или сотик.

[/quote]

Не раз писали об проблемах на blockchain. Взламывали не раз. Но скорей всего у вас подтверждения были, настройка безопасности, по электронной почте, а значит взлом был или украли пароль от почты.

Для blockchainа обязательно надо включать двухфакторную авторизацию через гугл или сотик.
[/quote]

C битками больше года ничего не делал. Просто лежали в кошельке.  Ноут включал редко. Ни с какой почтой кошелек не связан

А что было указано в настройках безопасности? Если был просто пароль без всяких настроек, то похоже после утечки с blockchainа.

Попробуйте написать им и разобраться, хотя уже врятли что вернёте.

Бляха муха, кому писать то? Не неси ахинею. У него увели битки из локального кошелька bitcoin core, а не сервиса предоставляющего услиги онлайн кошелька blockhain.info

Какая версия клиента?
Где хранился пароль от валета?
Ноут работает под windows?

А винду ставил лицензионную или сборку с торрентов, а то сейчас умельцы чего только не пихают туда

а что тут думать
получили доступ к машине через дырки, троян и т.п.
сканировали, нашли и скопировали wallet.dat
и наверняка дето был в текстовом файлике пароль к нему
фсе

То они у тебя на блокчейне лежали или на локальном?

Извините, но я не идиот хранить пароль в текстовом файле.
Кошелек лежал локально на ноуте, который довольно редко включался. Винда лицензия 10. Под этой виндой пароль никогда не вводился. Пороль последний раз вводился примерно в период полгода- полтора года назад

Update
На втором кошельке укражены битки тоже месяц назад.
Этот комп в сети все время.
Пароль на кошельках отличается.
Пароль на этой винде не вводился никогда.
Последний раз вводился тоже давно
Адрес куда переведены битки недоступен

Злоумышленник, получил доступ к вашим кошелькам и всё спер, подумайте может даже и из офлайна?

а что тут думать
получили доступ к машине через дырки, троян и т.п.
сканировали, нашли и скопировали wallet.dat
и наверняка дето был в текстовом файлике пароль к нему
фсе
[/quote]
Извините, но я не идиот хранить пароль в текстовом файле.
Кошелек лежал локально на ноуте, который довольно редко включался. Винда лицензия 10. Под этой виндой пароль никогда не вводился. Пороль последний раз вводился примерно в период полгода- полтора года назад
[/quote]
Update
На втором кошельке укражены битки тоже месяц назад.
Этот комп в сети все время.
Пароль на кошельках отличается.
Пароль на этой винде не вводился никогда.
Последний раз вводился тоже давно
Адрес куда переведены битки недоступен
[/quote]
Злоумышленник, получил доступ к вашим кошелькам и всё спер, подумайте может даже и из офлайна?
[/quote]
А то что кошелек зашифрован паролем уже ничего не значит?
Я сам пароль с первого раза не подберу.
Пароль нигде не записан

кошелек в результате получился незашифрованым
Получается, что расшифровали
версия кошелька 10.2
как раз обновлял на 11

как картинки вставлять?

заливаешь на радикал или какой то другой ресурс и в [img][/img ] вставляешь ссылку, может все таки кто то включал комп? может и расшифровали только если пароль был не очень сложный

Картинка не открывается, и когда отвечаешь жми над сообщением quote а не может быть что сам отправил и забыл? ну бывает такое

Точно не забыл. Суммы не маленькие
http://tinypic.com/r/ddsw0/9

Очешуеть. 31 биткойн. Сочувствую. Я бы такой потерю не пережил

Я всем советую как минимум ставить второй пароль, который запрашивается на перевод средств. Дельный совет.

[
Украли биткоины из официального кошелька.
Кошелек был запаролен (около 30 символов)
Пороль последний раз вводил не менее 6 месяцев назад.
Винду переставлял в октябре.
KIS  никаких вирусов не находит.
https://blockchain.info/address/15ESHhWuNfqMEQPXWexGb9kK1J53brWksL
Кто что думает по этому поводу?
Система настолько дырява?
[/quote]

Очешуеть. 31 биткойн. Сочувствую. Я бы такой потерю не пережил
[/quote]
+10 со второго :(
Похоже система не так надежна как нам рассказывали если она позволяет расшифровать кошелек, запароленный как минимум 25 символами

У меня стояли пароли на вывод средств не менее 25 символов
На ноуте запускал несколько раз в год для обновления core

Скорее всего все данные были скомпрометированы. Вы исключаете возможность доступа к вашему компьютеру сторонними лицами?

Я думаю, что не украли, а ты сам как-то проебал.

Не храните деньги на не безопасных системах.

Windows ламанули, тем более 10.  Он пока ещё новый, а значит дрявый. В следующий раз не поленись и поставь себе второй системой линукс.

Злоумышленник получил доступ к виндовс, скорей всего вместе с какой-то программой или попал в браузер. После чего какер закинул клавиатурный шпион, получил пароль и спиздил их.  Наверняка и другие пароли он получил (меняй их все).

В облачных сервисах хранил веллет.дат и пароли?

И если не сложно запости скрин установленных программ (отсортируй по времени установки) и тоже с плагинами в браузере.

Попробуем найти зловещую хуиту.

ОК, пусть ломанули. Пусть кошельки сперли. Как расшифровали? Пароли были 25-30 символов. Пароли вообще не вводил более полугода. Винду уже 2-3 раза сносил после последнего ввода пароля. Ноут вообще редко включал.
Возможно разрабы оставили для себя лазейку, чтобы чистить кошельки в будущем.

Постараюсь объяснить "на картофелинах".
Битки твои не хранятся в кошельке. Там хранятся приватные ключи.
Каким образом и когда твои приватные ключи стали кому-то другому известны - это я не знаю.
Но вариантов различных есть достаточно много.
Разумеется, сейчас уже не определить какую ошибку ты сделал и когда.

Лазейка в коде практически исключена, так как код на гитхабе и такое бы заметили.
Но я даю 100% гарантии, что ты скачивал откуда-то бинарник, а не собирал сам из кода.
Это один из многих возможных вариантов утечки конфиденциальной информации.

Но приватные ключи зашифрованы паролем.
Бинарники скачивал с офсфйта.
Зашифрованные кошельки хранились в облаке на случай утери или повреждения компов, но в запароленом архиве. Пароль на архив я и сам пока не вспомнил. Он тоже некороткий

Странно, что доступ был получен одновременно к двум разным кошелькам хранящимся на разных компьютерах. А один к тому же редко включается. Как такое может быть?
Нет ли у Вас друзей, помогающих иногда с установкой программ?

Всегда все устанавливал сам. Вроде не новичок

Читал, что, бывает, брутфорсят свои кошельки если вдруг забыли пароль. И вроде как успешно. Но для этого надо хотя бы примерно знать, какой был пароль - длина, маска, может часть пароля. А так что бы подобрать с нуля - не слышал.

если ТС правильно изложил исходные данные
остается только взлом компа и получение файлов кошелька + где-то записанного пароля

как еще объяснить?

Странно, что взлом был в одно и то же время 2х разных компов, один из которых практически всегда выключен.

Из разряда фантастики - стянули сразу оба кошелька в архиве из облака. И взломали каким-то суперкомпьютером.
Ну или стянули вирусами нужную информацию с компов.

То, что дыра в официальном кошельке - навряд ли.

месяц разницы был
Сначала в одном увидел от 05,12,15 а потом и во 2м 05,11,15

А что за интернет у тебя, есть ли локальные сети, какой провайдер... может стоит посмотреть в логах винды одного и другого компа, найти общие необычные события

На ноуте все разделы уже убил. Был уверен, что, если зашифрованный кошелек и попадет каким-либо способом к злоумышленникам, то достаточно длинный пароль не даст расшифровать брутфорсом

Причина в винде. На будущее используйте только свежеустановленную Ubuntu с официальными репозитариями. Желательно без плагина флэш. Серфить с использованием отдельной от биткоин учетной записи.

Еще на всякий случай сделай хардрезет роутера. Поставь прошивку openwrt. 

Горячий кошелек на такой системе. Использую каждый день. Никаких проблем.

Да ладно тебе на винду гнать.
У меня приватные ключи в текстовых файлах записаны. А так как на дисках есть несколько бэкапов (я иногда бэкаплю файлы просто копируя директории) - то ключи несколько раз повторены. Никаких архивов, никаких паролей.
Несколько браузеров, куча других программ (ну, хотя стоит сказать, что откровенного говна я не ставлю)
Из защиты - файервол стандартный виндусовый. Хотя не уверен, что он нужен, так как соединение через роутер.
Никаких ограничений на серфинг.

Так что в прямых руках - винда рулез, а в корявых ручонках и убунта - мастдай.
Еще раз подчеркиваю - проблемы могли возникнуть полгода назад или сколько там?
Один раз засветили свои ключи, а потом можете хоть обосраться всякими убунтами и паролями 30-буквенными.
Кому-то ваши ключи уже известны.

Предлагаю следующую цепочку событий:

- Качественной связкой через зараженный сайт был пробит браузер через флеш плагин (или еще каким способом) и получен админ. На винде такой вариант только и прокатит. Поскольку там ядро системы стандартное и можно без проблем повысить локальные привелегии до админа какой-нибудь уязвимостью стандартной.
- Из под админа установлен кейлоггер, откуда были получены пароли на ключ
- В качестве запасного варианта установлен сниффер на уязвимый роутер откуда ключи были уведены в незашифрованном виде, когда юзер связывался с сетью.

Предложите похожий вариант под линь.

Еще скажите, что дуршлаг если его хорошо заклеить послужит отличным плавсредством.

В качестве експеримента, попробывать перевести небольшую сумму (скажем 0.01 btc) на адрес с которого увели биткоины. И понаблюдать, в течении какого времени баланс снова обнулится, и обнулится ли вообще :)

Тебе сказки писать, лол.  ;D

Данный топик можно приводить в качестве примера на вопрос "скажите, а почему биткоин не обретает массовой популярности и к нему до сих пор большинство
относится с подозрением". ::)
Ощущение, что либо кто-то решил посмотреть старые логи, либо автор где-то все же засветил, но считает этот засвет\связь несущественным.
Есть связь с местом хранения пароля? Вообще вариантов уйма, но я бы не стал исключать варианта из оффлайна.

У дальнего знакомого увели с вебманей кошеля 350т руб, всё он проверял, в вебмани писал, и т.д. Парень в сети осторожный. И был очень удивлён когда оказалось что это ,,товарищ " не разлей-вода из офлайна спер...

Доступа к компам ни у кого нет. Пароль никто не знает.
Bitdefender нашел кучу троянов, хотя КИС сука молчал как партизан.
Где бит дефендер логи хранит? Что-то пока не нашел
И опять вопрос, если и стянули кошелек, то как расшифровали?
Разрабы за столько лет так не смогли предложить надежную систему безапасности

Вам уже было сказано. Получают привилегии на винде и атакуют роутер (у вас же наверняка ноут по wifi инет получает, да?) посредством перехвата пароля кейлоггером. Дальше перехватывает ключ сниффером на роутере в незашифрованном виде!

Прежде чем ставить проги на винде проверяйте дистрибутивы вирустоталом. Идет по многим базам. В каждом втором дистрибе находит как имнимум малварь! Если исключить атаку через зараженный сайт конечно.

В игры не играешь?

https://bitcointalk.org/index.php?topic=1280631.0

на ноуте точно игр нет

Возможно ты попался на вируснягу которая потом исчезла украв битки. Вообще я не рекомендую использовать любой кошелек с большими деньгами на плохих по безопасности ОС (windows, mac), наиболее лучшим вариантом будет использовать хорошо защищенные от вирусов ОС (GNU/Linux, OpenBSD), при правильном использовании деньги не украдут, лучше установить на диск/флешку Tails и сидеть через Electrum. Если нужна максимальная безопасность, то лучше установить на проверенное временем железо OpenBSD и сидеть оттуда используя самую последнюю версию кошелька и не использовать Wi-Fi.

а винчестер старый не продали никому? со стертым кошелем? :)

если и продавал то затирал качественно
Я с компами уже лет 18 вожусь. 1-й комп еще Поиск-1
Что уж говорить о тех кто винду поставить не может
Биток в широкие массы похоже пойдет нескоро

Что за трояны хоть были, если каспер лицензионный, подавай в суд, за некачественный продукт  ;)

Винду не рекомендую. Особенно сборки. Тоже потерял некоторое количество битков по причине виндориентрованности.

- Осваивайте Ubuntu (самая простой дистрибутив из этой серии Mint)
- Не доверяйтесь антивирусам (современные вирусописатели шифруют "продукты" так что ни один антивирус не обнаружит)
- Не держите холодный кошелек (с накоплениями) на рабочей системе. Проще записать на флешку и спрятать.

А еще проще переписать привкей на бумагу, а
валет.дат удалить и разбить винт молотком :)
Не нужно винить окна во всех бедах. В 99% виноват сам юзер.

Интересно что 21 биток пошел быстро отмываться. А десятка сразу зависла на первом хопе  :)

Стоп-стоп-стоп. А откуда были украдены с 15ESHhWuNfqMEQPXWexGb9kK1J53brWksL или на него?

Сейчас столько вариантов как спереть, где можно засветиться и тд, что обкрадут даже параноика.

Смешно, смешно, почитай лицензионный договор, да да, тот который ты вечно скипаешь.  ;)

А можно подробности истории, как он пришел к такому выводу?

А можно подробности истории, как он пришел к такому выводу?
[/quote]
Всё проверил, пришел к выводу что не ломали, да и вебмани говорили что перевод правильный был, стал искать кто имел доступ к компу из офлайн окружения, ну вроде определившись с подозрениями, на понт както взяли парня, тот и проговорился. Но он уверен что поступил правильно и бабло не возвращает.

а бумагу сжечь и развеять  ;D

почку вырезать и считать что поступил правильно и не возвращать :) цабакам баскервилей скормить :) для надежности и наглядности :)

Не знаю, не знаю, что смешного ты увилел, каспером никогда не пользовался и договор ессесно не "скипал", но во всяком случае можно расчитывать на возмещение стоимости лицензии и моральный ущерб

Наверняка битки оказались на адресе для здачи, я так 0.22 потерял.
Сейчас после запуска кошелька первым делом свой адрес в строчку адреса здачи вставляю. Управление входами надо включить для этого.
Никакой это не вирус, а баг, который не хотят исправлять.

Вот здесь 10 битков топикстартера с 4 ноября
https://blockchain.info/ru/address/1NmDdALSB8Y5cbBntefQdhwhVhcb1uGts8

Лично у меня интуитивное ощущение, что эта НЕПРАВДОПОДОБНАЯ история выдумана от начала и до конца ради броского заголовка "Украли биткоины из официального кошелька" и выделенного жирным и красным в его словах (см. цитату выше). Нет доказательств его словам - что он был владельцем кошельков, не приведены оба их адреса и пр. Чисто засланец от ЦБ или Минфина или прочих т.п. вредителей, дабы внести смущение в здешние умы и навредить сообществу. У него даже в нике - "war" - война...

Ну, в общем, действительно тайна покрытая мраком.
Но по-моему, тут не какая-то интрига, а банальное ламерство.
Ну спиздили как-то приватные ключи - для этого есть тыща способов.
Ну расстроился человек. Он-то считал что он крутой спец, а оказалось - ламер натуральный.
Думаете, в ЦБ и минфине делать людям нечего, что они на этом форуме будут такие провокации устраивать?
Не... Ну меня тоже некоторые засланцем считают :) Но, по-моему, у вас паранойя :)

"Если у вас паранойя - это ещё не значит, что за вами не следят!" (https://www.google.ru/search?client=opera&q=Если+у+вас+паранойя+-+это+ещё+не+значит%2C+что+за+вами+не+следят&sourceid=opera&ie=UTF-8&oe=UTF-8)

Проникнитесь! https://bitcointalk.org/index.php?topic=1122069.msg13306852#msg13306852

С ним спорить бесполезно, он сам себя только понимает и то не всегда. Вместо доказательств у него самоцитирование.

Тем не менее, битки как были на адресе для здачи, так и лежат, ЦБ давно бы вивел и пропил.
На одном 300к рублей, на другом столько же, давно бы на фуршет с икрой потратили.

http://habrahabr.ru/post/265943/
Ставил очень давно на 2х компах
Как вариант можно рассматривать
Знаю людей которые вообще не заморачиваются и у них нифига не сперли
P.S. Ник для танчиков был если что

так вот вроде и нашлись битки ed_war_d
что скажешь?

И я знаю, так вопрос в том, что они не интересны, потому как брать нечего. А вот появится хорошая сумма на их балансе не уверен, что их жизнь не омрачится каким-нибудь нежданчиком. Все относительно...

Смешно то, что в договоре все давно учитывается, там не идиоты сидят, иначе такая компания утонула бы в исках и обанкротилась не то что от выплат потерпевшим, а от судебных издержек. Юридический отдел для того и нужен, чтобы минимизировать судебные риски. Без таких вещей о каком-нибудь Маккафи мы бы и не слышали.
А программы возмещения убытков в виде денег это всегда либо рекламные акции либо опция, за что нужно платить и что имеет потолок возмещения, последний раз видел в районе 50-100 долларов.

Они там и останутся, их уже не выцарапать с этого адреса, надо было чаще копию кошелька ТС-у делать или сдачу на адрес отправки ставить. Я свой кошелёк, с замыленнымм битками в свободный доступ выложил, никто их не смог потрогать, те левые адреса сдачи кошельку не пренадлежат.

Разве адреса для сдачи не генерятся вместе с созданием кошелька? Где-то читал, что определенное количество адресов создается вместе с основным аресом. Поэтому они должны быть и в старом бэкапе.

Не понял, так это реально баг биткоин коре? почему тогда ТС говорит что их сперли, а не о том, что он переводил кудато битки?

что то не сходится

на этот адрес 15ESHhWuNfqMEQPXWexGb9kK1J53brWksL 4 числа сначала была скинута общая сумма, т.е. сначала собрали, а уже потом была отправлена транза в сеть с разбивкой на два авдреса, на одном 10, на другом 21 с хвостом

После того, как кошелёк запаролил, адеса сдачи меняются, якобы для безопасности. Также со старого адреса сдачи, который с кошельком создался, сдача может перекинуться на свежесгенерированный, который не пренадлежит старой копии кошелька. Я сейчас каждый раз, после выхода из Core копию кошелька делаю на всякий случай.

Это каким таким волшебным образом? :D Для этого нужно сделать транзакцию вообще-то...

Ну дак это понятно, что не само по себе перепрыгнет. Или не понятно?

Поддерживаю. В винде подавляющее большинство людей сидит под учетками администратора. А надо сидеть под учеткой пользователя, а пароль администратора вводить только при установке программ. Тогда никакая дрянь сама не поставится - тупо не хватит прав.

Поздравляю, вас наебали. (шутка)

П.С. Вообще-то в толковом словаре нет такого слова "спиздили". Но, есть слово "проебал".

Замороченно как то это всё, десять раз прочитал прежде чем хоть что-то дошло, влететь как ТС можно легко...

https://en.bitcoin.it/wiki/Change
на битковой вики, чтобы не потерять сдачу, рекомендуют бэкапить кошелёк каждые 50 транзакций.
Мне интересно, когда они додумаются сделать по-умолчанию адрес сдачи адрес, с которого отправлялось? Я уже наученный опытом и то умудряюсь забыть выставить свой адрес, когда надо срочно запустить кошель и отправить.

Конечно, предложенная мера безопасности в определенной степени эффективна. Только в винде множество уязвимостей типа локального повышения прав пользователя до администратора.

без ввода пароля администратора? пруф или не было

Никогда не додумаются.
Вернее сказать - это специально было сделано так, чтобы адрес сдачи всегда выбирался неюзанный.
Это и надежнее в плане криптографии, и в плане анонимности.
С другой стороны, если получили три рубля от крана и отправляете их в казино - на кой черт вас такие проблемы? :)

https://xakep.ru/2014/12/24/hack-admin-rules/
http://www.securitylab.ru/vulnerability/473280.php
http://habrahabr.ru/post/108903/
http://stfw.ru/page.php?id=16281
http://www.hackzone.ru/exploit/view/id/8506/
http://opankey.com/news/27031220-v-defoltnyh-nastroykah-windows-7-i-81-vyyavlena-uyazvimost
http://gsm-zona.ru/showthread.php?t=6204

Тысячи их. Если тщательно скриптованной связкой смогли пробить защиту браузера, что антивирус не засек, локальные привелегии поднять до админских трудностей, как видите, не составляет.

Связки, как правильно, покупаются у специализирующихся товарищей, загрузки также у отдельных. Уязвимостями (*втч и непаблик также занимаются специалисты). Разделение труда. То, что смогли увести ключ (при условии, что тот действительно не ушел на адрес для сдачи) - заслуга целой компании, а не хакера-самородка, никакое не чудо. Высокомаржинальный и поставленный на поток бизнес.

Почему три рубля то? В примере этом даже говорится про вход 10.89 битка, если 20 битков, как у ТС или даже 10 замылится, это не маленькая потеря. И любой, не разобравшись, будет кричать что кошелёк дырявый, а разработчики воры.

С вебмани можно хоть узнать куда ушли деньги,да и как вообще,там смс подтверждение должно было стоять у него или не было его?

Все просто оказалось, так сказать товарищ получил доступ к компу, и всем гаджетам, подпоил чела чем то, или как по другому? А он был вхож к нему домой, и работали вместе,  и перевел деньги, а тот чухнулся дня через два.  :'(

приведенный выше счет это ваш или того кто украл?? там всего 2 транзакции то
я локально у себя храню - использую multibit.org кошелек

Неудивительно, КИС на 50% реклама.
Любит халяву, наш народ, вот и качает с торрентов всякую хрень, от "добрых" хакеров, а потом жалуется.
На вирустотале один недостаток - ограничение по размеру файла, не более 128 мб.
Идеально лайв сиди с линуксом под это дело завести,  ключи/кошельки на специальную флешку, и залазить туда только из под этого сиди. Муторно, зато надежней.

Интересно. Недавно обнаружил, что и один мой условно холодный кошелёк обчистили. 5 января 2016. Пока не могу определить в чём причина, поскольку пароль был уникальный и тоже не вводился больше года. Но тут память подводит, так что хз. Станция не была супер защищённой, обычный домашний ПК, так что неудивительно, хоть и печально. Да и пароль был попроще, может и сбрутили. Кому интересно, вот транзакция увода (сдачу вернули на мой адрес, лол!): https://blockchain.info/tx/085665c1d13fc92bd807d0c9fa3249f86e39af7dbf6a1572e19340de29579689

Не все адреса мои, склеили с какой-то мелочью с кранов.

Меня больше заинтересовало совпадения с 5 числом. Что бы это могло значить?

Пароль на что?
Пароль может быть на wallet.dat клиента - в этом случае надо сперва увести сам файл, а потом его брутфорсить
Или пароль brain-wallet которым приватный ключ создан - тогда ничего уводить не надо - это даже не "холодный кошелек"
Есть еще варианты увода.

Пароль на wallet.dat. У меня, как и у автора, Bitcoin Core. Понятно, что сам файл увели, это реально, учитывая, что он валялся на обычном домашнем ПК. Было бы интереснее узнать, как пароль подобрали (брутфорс или кейлоггер, хотя я его не вводил очень давно). Но тут лишь гадать :)

да, троян 100% :o

Теоретически можно увести битки и другим способом, не имея wallet.dat
Про повторяемые R-значения в подписях вы знаете, про то что если злоумышленник каким-то образом узнал (или подставил своё) значение 'K' при генерации ECDSA-сингантуры тоже напоминать не стану - вы не новичок.
Ну капитан-очевидность утверждает, что "умерла-так-умерла", то есть выяснить истинную причину не представляется возможным.
Ну разве что саму вирусяку на компе найдете или воришка напишет и расскажет как он вас облапошил.

Это из этой статьи https://habrahabr.ru/post/248419/   ?
Принцип в общем понятен, но всю механику тяжело уяснить. Не могли бы проще объяснить?

Да, в этой статье примерно это описано.
Я проще объяснить не могу. Это математика, причем не очень даже высшая.
Но надо иметь базовые знания в теории групп и колец. Ну и представлять себе как работает ECDSA.

Т.е. если проще говорить, вирусуется машина. Потом при отправке платежей меняется подписчик на "неправильный", который делает подпись такой, которая легче брутиться для разгадывания закрытого ключа?

Условно говоря, вообще не надо брутфорсить в определенных случаях.

Ну давайте я постараюсь "на пальцах" объяснить.
При генерации подписи выбирается некоторое число 'К' которое никому не должно быть известным
Подпись - это необратимая функция от трех переменных
(1)само сообщение, вернее его дайждест, хэш-сумма
(2)приватный ключ
(3)и это число 'K'

Причем по приватному ключу, дайджесту и подписи можно восстановить 'K'
Но более интересно для злодея что по 'K', дайджесту и подписи он может восстановить приватный ключ.
Точно не помню, может быть для этого злыдню еще публичный ключ нужен.

Итак. В блокчейне есть транзакция с адреса 1ххххх
В этой транзакции есть публичный ключ и подпись. Немного поколдовав с программированием можно получить дайджест.
Это и так всем известно. Неизвестными остаются 'К' и приватный ключ.

Допустим, злоумышленник внедрил на компьютер жертвы программу, которая генерирует число 'K' каким-то известным злоумышленнику способом - например берет публичный ключ адреса 1xxxxx, ксорит его с хэшом последнего найденного блока, прибавляет восемнадцать, после этого умножает на 153 и отнимает дайджест

Никто кроме злоумышленника не заподозрит чего-то неладного.
А ему достаточно будет все транзакции прогнать через некоторый 'чекер', который для каждой транзакции в блокчейне будет совершать это действие и получать какое-то значение 'K'. По числу 'К' он будет вычислять приватный ключ.
Для всех обычных транзакций эти вычисления будут неправильные.
А для транзакций отправленных с "зараженной машины" злоумышленник в результате вычислений получит правильный приватный ключ.
Никакого брутфорса. Программа просто будет выдавать приватный ключ, если транзакция была 'заражена'

Именно поэтому и не рекомендуют повторно использовать адрес.
Потому что если вы всегда будете переводить бабки на новый адрес - максимум что получит злыдень - это приватный ключ от только что опустошенного вами адреса.

Т.е. это число K важно во-первых, что является признаком того, что машина заражена и подпись "не чистая" и во-вторых зная алгоритм получения числа К можно получить приватный ключ?
И даже спрыгнув с зараженного компа, старые "зараженные" транки выдадут приватный ключ?

Число 'К' так или иначе присутствует когда человек подписывает транзакцию.
Просто они большое. там 256 битов (32 байта) как и в приватном ключе, так что найти его перебором нельзя
Некоторые имплементации ECDSA-подписей использовали рандом для генерации этого 'K'
И наёбывались, когда рандом выдавал на разных машинах одно и то же значение.

Сейчас более правильным считается использовать deterministic-ecdsa когда 'K' - есть необратимая функция приватного ключа и дайджеста
(есть RFC, но я не помню номер.)

UPDATE: https://tools.ietf.org/html/rfc6979 но там так много, что это и для меня сложно читать.
Важно что 'K' есть HMAC-функция от конкатенации приватного ключа и дайджеста и чо-то там еще

Если вы проебали свой приватный ключ - то это навсегда.
Можете хоть головой ап стену убицца.
Спасти может отправка на новый адрес с 'незараженной' машины.

Я сейчас еще раз просмотрел глазами статью на хабре.

Цитата оттуда: Сегодня мы рассмотрим сильную SETUP атаку (1,2) на ECDSA, то есть атакующий может узнать секретный ключ пользователя за 2 подписи, при чем, кроме него никто это сделать не сможет. (конец цитаты)

Фактически для злоумышленника необязательно выполнение пункта "причем, кроме него никто это сделать не сможет."
Ему достаточно самому увести ваш ключ, а если это кто-то еще может сделать кроме него - это не так уж важно.

Я вам приводил пример атаки (1,1) в терминах статьи хабра.
когда приватный ключ злоумышленник узнает по одной подписи.

Понятно, что будет уже не важно, денежки то не будет на кошельке. "при чем, кроме него никто это сделать не сможет" наверное имеется ввиду тот факт, что только злоумышленник владеет алгоритмом построения чила К


Мне не понятен момент, зачем вычислять приват по двум подписям, если можно сделать и по одной?

Ну этот вопрос авторам статьи на хабре надо задать.
Они рассматривали немного другую задачу стеганографии.
Теоретически ведь можно в подпись добавлять информацию не о ключе с которого посылаются битки, а о приватном ключе на который битки отправляются (если, конечно, этот ключ доступен в момент подписания)
Ключ своего адреса сдачи нам доступен, а если мы шлем битки Васе Пупкину на его адрес, то ключ Васи нам неизвестен.

Так в том то и дело, что в момент подписания приват Васи Пупкина неизвестен. Или я что не понимаю? Или Вы намекаете, на связку использования адреса Васи Пупкина в качестве сдачи?

Васин адрес неизвестен отправителю. А то что неизвестно - то и выболтать нельзя.
Известен ключ своего адреса с которого посылалось.
Но эта информация не особо интересна злоумышленнику, если отправитель не использует адреса несколько раз.
В этом случае более любопытно как вставить в подпись информацию о приватном ключе адреса сдачи.
Если у нас был 1 биткойн на адресе 1хххххх. Мы посылаем 0.7500 Васе Пупкину на адрес 1yyyyyyyy и возвращаем 0.2500 себе на адрес 1zzzzzzz то интереснее узнать приватный ключ адреса 1zzzzzzz, а не приватный ключ адреса 1ххххххх

Но во-первых, это не так просто.
Во-вторых, вам не кажется, что мы уже слишком далеко ушли от темы раздела форума "Новички"?

Коллега, доброго времени суток. Нашел тут вас, акромя темы с анализами).
Признателен вам за расследования битка во всех смыслах. Просмотрел все темы - выучил интернет-английский)
Иду по вашим стопам, смастерил спайдера блокчейна/мемпула.
Поделитесь тестовыми монетами? n3XMkDgAdg5TRgbNc6b5qsQkagU1WgiLFu

Отправил 10 тестовых бетховенов.
Если не проебете - отдайте их потом кому-нибудь. Или на какой-нибудь кран перешлите.

Блин. Короче, мой старый кошелек (я пользуюсь еще версией 0.8.5) сгенерировал транзакцию с High-S в подписи.
А сеть её перековала :) Так что я сам напоролся на свою же malleability-атаку на биткойн. Смешно.

Короче, в сети сейчас две транзакции
https://live.blockcypher.com/btc-testnet/tx/01d000d2319f9cd67023cdc732cfae7e47209110e03aaf6793491773a6d65b81/
https://live.blockcypher.com/btc-testnet/tx/9a7eae370116bf376e8015f8deebe9e422c3f7ed991e8c4dcc0b97d17fb1e64e/
Честное слово - я не специально :)
Если до завтрашнего дня ни одна не дойдет - подумаю как ещё переправить. Мне этого говна не жалко

amaclin, получается, что описанный вами способ это, по сути, взлом битка?

10 в ожидании :)

Я много что описывал. Что вы имеете в виду?
Естественно, если злоумышленник имеет доступ к вашему компьютеру и может модифицировать там в том числе и установленные программы - то безопасность ваших биткойнов превращается в тыкву.
А вы как хотели?

То что алгоритм подписи ECDSA может быть реализован по-разному причем в реализациях могут быть как намерянные 'закладки' так и просто обычные 'баги' - это вовсе не секрет.

Вам просто Сатоши не сказал (или сказал, но вы не услышали) что не бывает бесплатной надёжности.
Надежность - это товар.
За товар надо платить.
Если вы не платите за надежность - рано или поздно вас накажет математика больших чисел.
Найдется кто-нибудь, кто воспользуется вашей беззаботностью.

это рекурсия)

вот хэш  3957a2e86214260bfe478c9cc6c9ec9b6a82eeb4
переведите на хэш

Просто согласно теории биткойны надежны в плане подделки. Но, если их очень легко удалить или своровать, то это ненадежная валюта. Почему используется криптографически и взломо нестойкий алгоритм подписи ECDSA? Почему Сатоши не сделал единственный и правильный кошелек? Почему кто угодно может что-то писать, взламывать и биткойны это послушно выполняют?

Ну тут палку перегнули, явно. Кто угодно у кого угодно ничего делать не может. Для этого нужны сложившиеся обстоятельства. Например, качнули новый супер-пупер кошелек от супершитфорка. Он вам при подписи транзакции изменит ее на свою, ему нужную и т.д. до потери битков. Получается биткоин ненадежная валюта? Здесь вопрос уже ведется о том, что приватные ключи, выдаваемые банками и т.д. может вовсе "неприватны изначально"

Не туда смотрите.

А может быть и туда. Биткойн - это не какая-то революционная прорывная технология, которая сделает всех богатыми.
Биткойн - это сам себе банк, как говорил Сатоши.
Ну а раз решил быть банком - так и относись к этому серьезно. В отделениях банка обувью и хлебом не торгуют,
там достаточно прочные двери и все такое. А вы на том компе, где у вас приватные кошельки порнуху смотрите и в игрушки с торрентов играете.

Я еще раз повторяю - надежность не может быть бесплатной.

Он надежный и стойкий. Но если у злоумышленника доступ к вашему компу - тут никакой алгоритм вас не спасет.

А он по-вашему был гением-всезнайкой? Как смог - так и сделал.

Потому что ноды сети работают по программе. По алгоритму. Алгоритм не имеет понятия про "взломы". Это вы у себя в голове накрутили.

уффф. вроде прошла транзакция. всего-то двое суток. это биткойн, детка.
кому еще тестовых койнов насыпать?

Речь уже идет о кошельках для битка, а не о форках. Получается, что ненадежная, если за две транзакции на одинаковый адрес его взламывают. Почему он не запрещает изменять подпись?
Уводят у легенд с холодных кошельков на Линуксе.
Хотя бы запрет поставили какой-нибудь. Чем алгоритм проще, тем он надежнее. Например, холд на 2 дня на перевод денег.
А что это за особые монеты?

Вы так ничего и не поняли. Не "на одинаковый адрес", а "с одинакового адреса".
И кто такой "он" тот который сидит в пруду не запрещает менять подпись?

Ну, альткойн на sha256d.
Где еще куча ограничений снята.
Так понятнее?

Да, спасибо. Буду экспериментировать)

Спасибо за важное замечание. А как вообще можно разрешать менять подпись? Разве не в этом должна быть суть битка? Упрощенно говоря, подпись- приватключ+публичный ключ,т.е. адрес, пропущенный через некую функцию. Если вам кто угодно может менять ЭЦП или паспортные данные, то о какой критостойкости вообще идет речь?

Вы не понимаете сути электронной подписи ECDSA
У вас есть приватный ключ. Ну что такое приватный ключ - вы в общих чертах понимаете.
У приватного ключа есть публичный ключ. Вы мне передали свой публичный ключ.
Публичный - он потому и называется публичный, что он несекретный.
И, наконец, есть некоторое сообщение.
Ну, допустим, это строка "встречаемся в ГУМЕ у фонтана в 6 часов вечера".

Вы хотите чтобы я точно был уверен, что это сообщение отправили именно вы, а не какой-то Вася Пупкин.
Поэтому вы подписываете свое сообщение электронной подписью.
Электронная подпись в данном случае - это просто некий набор байтов. Примерно 64 байта для ECDSA secp256k1
И по этой электронной подписи я, имея также ваш публичный ключ могу однозначно сказать - вы это сообщение мне отправили или нет.
До сюда понятно? Должно быть понятно.

Проблема в том, что таких электронных подписей одного и того же сообщения вы можете сгенерировать туеву хучу.
В зависимости от того - какой программой вы будете их генерировать - у вас будут получаться разные подписи.
Они все будут правильные, но они будут разные. И по их внешнему виду вы ничего не сможете сказать - они все будут как случайный набор байтов выглядеть.
Так уж устроена цифровая подпись.
Если вы будете генерировать подпись "честной программой" - то никто вашим приватным ключом не завладеет.
А если вы будете генерировать подпись "жульнической программой", то злоумышленник сможет определить ваш приватный ключ.

Вас такой вариант событий не устраивает чем-то?
Ну, изобретите свой собственный алгоритм цифровой подписи. Лишенный этого недостатка.
Сразу скажу - на этом заработаете миллионы, если не миллиарды.

Задача про темную комнату, Элис, Еву и Боба. Без предваритлеьной договореннотси Боб не может узнать, с кем он общается.
Программа должна быть одна у получателя и отправителя.

Это уже неважно.

Ну садитесь и пишите такую программу.
Еще раз повторяю: проблема в алгоритме цифровой подписи.