Bitcoin Forum

Si teneis algo en inputs.io sacarlo estan saqueando todas las cuentas. Por desgracia a mi me robaron otro ¢ de bitcoin menos mal que no tengo más en esa cuenta pero jode bastante

Gracias.

Afortunadamente en mi caso no he usado "cash out" en los grifos que visito.

Me ha llegado una onda por ahí pero no encuentro nada de información. ¿Dónde lo has visto tú?

Ufff, lo saqué ayer lo poco que tenía. Lo único que tengo mi cuenta de Coinlenders asociada.

Ajá, ya lo veo: http://www.reddit.com/r/Bitcoin/comments/1pw46j/someone_just_transferred_0095_from_my_inputsio/

A los chicos de JustDice les han tangado nada menos que 42 coins…

Pero es error de Inputs o que le han crakeado la cuenta a ellos en especial?

Parece ser un tema de inputs.io, no de JD. En el hilo de reddit sale más de una persona que dice que les han vaciado la cuenta. JD tenía activado 2FA, GPG y todo, y ni con esas.

Gracias @haztecoin por el aviso!

Pues yo no toco mis BTC de Coinlenders a ver si me los van a chupar también (Solo se pueden enviar a inputs.io)

Esta manana vi que no se puede entrar a coinchat. Parece que se cayo ese foro que esta relacionado con imputs.io
Ahora como es que zaquean las cuentas? Tengo entendido que cada usuario tiene su password... O algun administrador de de inputs tiene acceso a los wallets?

Pues te lo voy a poner más mono: ¿tienes idea si coinchat es de TradeFortress? Yo no lo sé a ciencia cierta pero creo que sí… en fin, que coinchat también está roto ;). Y Coinlenders también es de TF…

Sí Coinchat es de TF... Caguentó

han hackeado inputs.io no importa que tengas una clave de la hostia, si tienen el control pueden sacar todos los bitcoins a mi me sacaron 1 ¢ menos mal que no tenia más, pues esa cuenta la tengo para el Faucet.

Pues yo en tu lugar sacaría la pasta (opinión personal). Entiendo que pasarla a inputs.io será inmediato (off-chain) y luego mandártelo a tu wallet es cuestión de 2 minutos, el riesgo me parece aceptable. Y si al chaval le han tumbao 2 servicios, ejem, el tercero… pinta muy mal.

El problema es si me lo interceptan por el camino, vamos que todos los ingresos a Inputs se saquen automáticamente...

Pues no sé, mándate un par de centimillos primero.

Eso acabo de hacer, por el momento tras un minuto no llega. 0.01 en el limbo...

Oki, TF dice que sólo ocurre a quien tenga la API key activada. Que se reembolsará a quien haya perdido pasta.

https://bitcointalk.org/index.php?topic=248803.msg3482410#msg3482410

Joder menos mal, si no recuerdo mal al amigo haztecoin le pasó algo parecido con la API de inputs.io hace unos días, que le vació la cuenta de su faucet.

A reclamar mi 0.01 Pues :P

Ok comprendo.
Nunca tuve mucha confianza a esos monederos on-line.
Ahora, para saber, el sistema de blockchain es distinto no? Digo nunca podria pasar esto...
O estoy equivocado?

A mi estas noticias me dejan helado, ¿ se podría hackear cualquier exchange tipo Mtgox, bitsptamp, btce.. y sacarte las monedas aunque tenga 2FA?

Si es así vamos a tener que guardarlo todo debajo del colchon!!!  ;D ;D ;D ;D

42 BTC  han tenido mucha mucha suerte, eso nako lo pierde en un cuarto de segundo, pudo ser un destrozo importante (mas de 71000btc tienen).

Donde este blockchain y su API que se quiten imitaciones :P

Eso eso, tú pon fe ciega en un servicio de terceros, ya verás lo que pasa ::).

La anterior fue culpa mía. Pues no estaba bien creada la aplicación del Faucet. Pero esta vez que ya habia corregido los problemas de seguridad, me robaron lo mismo.

Personalmente tengo menos fé del cliente oficial (cualquier cosa instalable puede ser muy vulnerable en mi opinion) que de la wallet blockchain.info.
Backups automáticos, doble cifrado, una API muy robusta, sistema de notificacion de pagos/recibos (fallando últimamente), más cómoda imposible, sin esperar ni 5 ni 3  molestas confirmaciones (a diferenciade otros donde encima te mangan coins, ejem), sin descargar 8GB de bloques, con la posibilidad de anonimizar las bitcoins (mixer) y que incluso te ofrece la posibilidad de ser malo malisimo y crear double spends (https://blockchain.info/create-double-spend).

Es la navaja suiza de bitcoin. Y inputs no llega ni a imitación china visto lo visto.

Yo si inputs.io se hace responsable y corrige los errores seguiré confiando en ellos. Pues no hay ningún sitio 100% seguros y creo que de los problemas se aprende más que de los éxitos.

Ahora si se hacen el avión y pasan de todo dejandolo como esta dudo que siga.

Edito
Si alguien quiere hacerme un donativo, por fabor no lo hagáis a la cuenta de inputs.io

Espero que recupereis vuestros BTC, seria un lastima. Y los pobres de JD - primero lo de Nakowa (http://www.dailydot.com/news/biggest-bitcoin-win-gambling-history-nakowa/) y ahora esto.  :-\

Ahí es donde yo los tengo.   ;D

Es evidente que sí y por eso tenemos Bitcoin, para guardarlos bajo nuestro colchón digital (cartera desconectada).


Pues hace menos de tres meses que hubo robos en la cuentas de blockchain por mal funcionamiento de los generadores de números aleatorios tanto en Android, como con el javascript de los navegadores.

Blockchain.info security [FUNDS STOLEN] (https://bitcointalk.org/index.php?topic=277595.0)

Así que no des por sentado nada y no tengas mucho dinero en este tipo de cuentas. Lo único que te protege al 99,999 % de un agujero en el software es una cartera desconectada (y sí, es un coñazo reiniciar el pc para firmar una transacción, pero si la cuenta lo merece puedes dedicar una RaspberryPi, por ejemplo, siempre sin conexión y exclusivamente para mantener dicho monedero lo más seguro posible).

Son errores muy puntuales y aislados, incluso los mas grandes bancos han tenido problemas con su versión Android,  la seguridad de tener el cliente desconectado ó aislado seria total. claro, pero no es funcional, no es practico, puedo no salir nunca a la calle para que un coche nunca me atropelle pero no seria practico. Personalmente desde que lo descubri he utilizado blockchain.info (una contraseña de 52 digitos keepass) con yubikey, y backups diarios. No es totalmente seguro pero es la dosis justa de seguridad y funcionalidad.

Uno de los grandes problemas para extender bitcoin es precisamente ese, la gente busca algo practico, funcional y sencillo.... descargar 8Gb de bloques, esperar 3 confirmaciones, (y si por cualquier motivo se te apaga ó reinicia el PC derepente cuenta con la wallet corrompida). Eso no es sencillo, ni practico y bien merece la pena sacrificar algo de seguridad por funcionalidad.

Basta un solo error "puntual y aislado" para que te quedes con saldo cero.

Quiero pensar que realmente tienes por ahí algo offline con ahorros a largo plazo (o incluso online, pero en un electrum en tu ordenador) y sólo mantienes en bc.info la calderilla con la que saldrías a la calle. De otro modo, algún día esto te cogerá con los pantalones bajados y vendrán las lágrimas, si es que en el fondo lo sabía de antemano! Por qué coño no lo hice!! y tal y cual.

Y cada vez los ataques serán mayores teniendo en cuenta que el precio del btc sigue al alza, y puedo que siga algún tiempo.

Los exchanger tendrán que gastarse los btc en una mejor seguridad si quieren tener negocio. :-\

Pues no, recordar que la parte de wallet de blockchain es totalmente opensource, y para mi es perfecta. Soy informático y conozco perfectamente los riesgos (minimos en mi opinión) si ocurre algo seria por un conjunto de circunstancias y me lo tendré bien merecido.

Imaginemos posibles supuestos:

Les hackean el servidor: Las wallets estan doblemente encriptadas, necesitarían de años para conseguir desencriptarlas, tiempo as que suficiente para importar el backup en un cliente y mover las bitcoins.

Desaparece ó deja de existir : Se importa el backup en un cliente y se mueve las bitcoins.


Una vulnerabilidad en su API:  el atacante necesitaría saber mi GUID y mis dos contraseñas.

¿Si es tan seguro porque no lo utilizan webs como Just-Dice y demás?

Ademas de intereses...el API de blockchain tiene limites de peticiones cada X minutos, serviria para una pequeña web, pero no para sitios con cientos de transacciones.


El único riesgo realista sería que de mala fé almacenaran las contraseñas (algo que su software no hace) y voluntariamente robaran a los usuarios, es poco probable pero podría ocurrir y me lo tendría merecido.

Les hackean el servidor. La próxima vez que te conectes, el javascript que te descargas cada vez que usas la web estará convenientemente alterado para enviarles tus claves privadas nada más metas tu contraseña. Plof, game over.

Creo que hay un plugin para algún navegador, si lo usas y desactivas las actualizaciones automáticas, entonces me callo. Pero ah! en ese supuesto podría decirse que tienes algo instalado en tu ordenador, lo mismo que electrum por ejemplo :). Y como bien has dicho:

Efectivamente por eso conviene usar una yubikey ó google authentificator :) contando con eso tendrían muy poco margen de tiempo ó les sería imposible en las wallets que lo usen.

Primer principio, considerar el equipo de los usuarios como zona hostil.
Si en el equipo te instalan un plugin modificado te puede pillar todo, no importa que uses, al realizarse el cifrado de manera local las claves están de manera local. Lo mejor es cifrar en el servidor; aun que parezca menos seguro no lo es, pues es más fácil controlar las conexiones que en el cliente.

La zona hostil es internet, y en internet están tanto tu equipo como el del servidor.

Los monederos de papel, off-line, air-gapped y toda esta historia, existen precisamente para salirse de internet. Por eso son más seguros.

Internet lo forman los equipos y precisamente son los equipos de los usuarios los más inseguros, sobretodo los que tienen Windows.
Pero teniendo en cuenta que necesitas internet si o si para hacer una transacción con bitcoin, es algo de lo que al final vas necesitar, no importa que guardes la clave en un ordenador sin conexión a internet, y que hagas una transacción offline, luego tendrás que conectar un pendiver, que puede estar infectado, y transferir el dinero a una dirección que no sea la tuya

Entonces, como el pendrive puede estar infectado, da igual, me ahorro todas las molestias! Mantengo la pasta en blockchain.info y ya está!

Además lo del BadBios no está totalmente confirmado.

Esto es un poco relativo:

Creo que con una webcam, un ordenador fuera de línea (offline) y algún tipo de miniimpresora B/N se podría conseguir mucho:

Por ejemplo, en el ordenador principal (con Internet) se saca la dirección de BTC donde enviar el dinero, como es un rollo escribirla a mano se puede usar una miniimpresora matricial que nos imprima un QR de esa dirección. Luego con este papel se lleva a un ordenador fuera de línea y se escanea (vale un miniescáner o una cámara web), este ordenador nos muestra en pantalla la dirección que hemos introducido (podemos comprobar que es la misma) y ahí metemos el dinero que queremos gastar. Luego una vez confirmado todo firmamos la transacción, y la imprimimos en un papel con una miniimpresora matricial diferente a la anterior (para evitar que esta pueda "transportar" virus). Finalmente se escanea el QR en el ordenador principal y se emite la transacción a Internet.

El ordenador secundario puede incluso ser un miniordenador sin conexión a la red eléctrica, alimentado por baterías y energía solar, con el miniescáner y la miniimpresora integradas en la carcasa, y con una pequeña pantalla LCD de puntos. Este ordenador además podría imprimirnos las claves privadas en papel, así si se estropea el miniordenador se pueden recuperar y tener el dinero a salvo.

Es posible que por 100€ se pueda implementar este sistema.

Problemas: el ordenador principal podría tener algún virus que nos sustituya las direcciones de BTC mostradas en pantalla. Pero al menos la cantidad de dinero principal (los ahorros) estarían a salvo. Quizás se pueda solucionar esto mediante el uso de comprobaciones alternativas, por ejemplo, llamando por teléfono si el gasto es muy elevado y así poder confirmar la dirección BTC.

 ;D ;D
Estamos hablando de proteger una cryptomoneda, pero poniendo en duda los medios -que con criptografia- nos permiten tenerlo seguro en linea y diciendo que el único modo de tenerlo seguro es bajo el colchon. Cuanto menos es Curioso.

Los nuevos que me lean:

¿Siempre es más seguro un cliente sin conexión que en línea? Sí, es mas seguro. Pero ten cuidado con todo aquello que descargas, instalas ó incluso con las web que visitas. Y aun así necesitaras tener de algún modo un backup.

¿Una wallet en linea no es segura? Generalmente no, salvo que sea opensource, tenga doble sistema de cifrado (Una contraseña para acceder otra contraseña para retirar) además de doble autentificación con una tercera parte segura (Google Authentificator, Yubikey), y aún así hacer backups periódicos. Solo entonces se puede considerar como -segura- aunque no al 100% pero casi.  

Lo que hace a blockchain.info diferente no es esto, sino que el servidor no conoce las claves privadas.

No las conoce porque están cifradas bajo almenos una contraseña del usuario, aunque puede estar incluso bajo dos contraseñas (doble sistema de cifrado de la wallet). -Tal como mencione-. Y sí es eso lo que le hace diferente, que sumado a todo lo demás le hace único (A diferencia por ejemplo de la copia mala del tema inicial que hemos desvirtuado).

No las conoce porque por diseño de blockchain.info, se almacenan en el navegador. El hecho de que se almacenen cifradas es una consideración adicional de seguridad. Por muy cifradas que estén, si están en el servidor, el dinero no es realmente tuyo.

Las claves no se almacenan, se utilizan para desencriptar tu wallet en tu navegador pero no se almacenan. Tu wallet permanece cifrada en sus servidores, no es accesible para ellos, ellos no saben ni siquiera cuanto tienes, solo es accesible para ti.

Mi mujer no es mia como propiedad pero es accesible solo para mi (creo), por tanto es MI mujer  ;). Desconfiar de la criptografia cuando hablamos de una moneda basada en ella es muy contradictorio.

Si sigues el hilo, verás que estamos hablando de las claves privadas de las direcciones bitcoin. Tienen que estar almacenadas.

Corto el rollo ya. Te regalo la última palabra.

Las claves privadas de tu wallet se almacenan encriptadas protegidas por almenos una contraseña. Encriptada = casi inaccesible. Tan inaccesible como tus bitcoins sin tu clave privada.  Creo que estamos de acuerdo en casi todo salvo en lo seguro que es algo que se guarda encriptado.

Creo que el tema esta evolucionando a algo distinto al del origen.
Es curioso pero dentro de 20 mensajes más estaremos hablando de que S.O. es más seguro.

Parece que el problema esta en la api de inputs.io no han accedido a los servidores y las claves siguen siendo validas.

Respecto a si es más o menos seguro tenerlo en internet o en local depende de la gente que lo usa, en mi caso es más seguro en local en otros casos seria más seguro en internet, para la mayoría de la gente que no tiene demasiados conocimientos de internet y con windows, tenerlo en local es que le roben si o si.
Lo bueno de inputs.io es que las transacciones son instantáneas entre los usuarios, además es muy fácil de usar para la gente.

Hola dserrano5, una pregunta que quedé un poco mareado...
Si yo me abro una cuenta en blockchain desde mi casa y mando bitcoins a esa cuenta. ¿qué es lo que se almacena en el navegador?
Porque yo he probado entrar por otros navegadores desde otras computadoras citas en otros lugares, y accedo a mi cuenta perfectamente, y puedo cobrar, pagar, etc.
Gracias y disculpen el desvio pero no entiendo esto que se acaba de decir.

En el navegador no se almacena nada. Seguramente se refiere a que todos los cálculos se realizan en el navegador, que no es lo mismo.

Sí, acabo de caer en la cuenta. Estaba pensando en el almacenamiento permanente que tienen los navegatas, pero esto no casa con irse a casa del vecino y usar bc.info desde allí.

En realidad SI guarda algo el navegador... Guarda un "identificador" que es una clave bastante larga. Yo no se mucho de esto, pero creo que puede tener algún dato implícito que es el que traslada el usuario cuando cambia de navegaror.. ¿o estoy delirando mucho?

Edito, perdón para no hacer otro posteo lo pongo aca: siguiendo el hilo del tópico, yo tengo algunos bitcoins en input.io y no pasó nada. Al menos yo entre y funciona todo normalmente.

Ah!, me había olvidado de tu cuenta... entra ahora y fíjate.  ;D


PD = Esto es un chiste. Si te falta bitcoins no he sido yo !!  :D

Ja ja, Argen querido! cómo andas amigo! con vos hice las mejores operaciones en mucho tiempo. Guardo un grato recuerdo de tu persona. Espero que estes de lo mejor.
Te mando un gran abrazo!
David

Solo afecta a los que teníamos activada la API. Si no la tienes activada estas seguro.
Bueno ahora esta la API desactivada por lo tanto si no te robaron ya no lo harán, hasta la próxima claro.

¿que os parece la situación de Inputs.io y sobre todo lo de COINLENDERS?

Os cuento: parece ser que a Tradefortress (el administrador y propietario de ambos sitios)
le estaban diciendo que lo de COINLENDERS BANK podría tener implicaciones negativas en
la USA.

Por eso hace unos días cambiaron algunas cosas, y ahora dicen que se trata solo de una "DEMO"
En el foro, el propio TF, al igual que en la propia página de CL, dice que COINLENDERS es solo
una DEMO de un SCRIPT bancario que tiene en venta por 54 BTC, de forma que todo lo que ocurre
allí no es real.

Yo al principio me asusté porque tengo unos pocos bitcoins en un depósito. Pero varios usuarios
(no TF) me dijeron que todo sigue igual, que se siguen pagando intereses y que lo que han hecho
es un lavado de cara para que no le cierren el sitio.

Mucha gente llevada por el pánico, ha sacado sus fondos de CL y han dejado los "wallet" vacíos.
Yo intenté hacer un pequeño reintegro y han tardado casi 10 días en darmelo...

En fin, que no las tengo todas conmigo...
Y ahora lo del API de Inputs.io... ¿no estaremos poniendo los huevos en una cesta de aficionados?

 ???

Hola Haztecoin, disculpame la "preguntonta" pero ¿qué es la API? y cómo se si mi wallet la tiene activada o no?

Gracias

Ahora están todas desactivadas.
Si fuiste a "Security" y le distes a generar una "Key API" Activaste el API

http://www.reddit.com/r/Bitcoin/comments/1q2law/inputsio_hacked_and_shutdown_4100_btc_stolen/

En la página de Inputs.io:

Me reafirmo en todo lo dicho copia mala de una gran servicio convertida en Scam. Visto su otro sitio no me sorprenderia que se haya auto-hackeado, ejem.  ;)


Animo a los afectados.