Doy fe que no es mi IP y no tenía esa IP en el momento del ataque. Esta IP es la pista mas sólida que tengo pero no significa que fuese el atacante. Puede ser normal que el ordenador que tuviese esa IP estuviese infectado y remotamente hicieran ese juego, hay que dar la presunción de inocencia ante todo porque a todos nos puede pasar que nos cuelen un troyano y desde nuestro pc hagan putadas y luego se presenten un par de policías con cara de pocos amigos a por ti y tu no saber que pasa y porqué.

Sin embargo, tengo la sensación que esa IP es la más cercana al ladrón, es quizás la esperanza que tengo porque es IP española y puede suceder que el atacante entrase desde su pc por descuido no pensando que su IP se iba a registrar, pero es solo una esperanza.


Soy de Madrid y la IP no se parece a la mía en absoluto.

A ver si tengo noticias pronto!!

Por cierto, los comisarios SI sabían perfectamente que era esto del bitcoin, sabían hasta el precio de cotización. Deben seguirlo de cerca, quizás porque existan bastantes denuncias de robos de bitcoin.

Gracias chicos, seguimos avanzando.

Efectivamente en btc-e entraron en mi cuenta con mi login y password y se llevaron 283LTC minados y ahorrados desde noviembre del año pasado (calor, gastos de luz increíbles... y lo peor, es virtualmente imposible volver a minarlos dada la dificultad actual).

btce no suelta prenda en cuanto a que cuenta de cliente pertenece las transacciones de bitcoin enviadas a su plataforma, espero que los comisarios si tengan mas éxito en este sentido. Pensad que una persona particular no puede tener acceso de datos de nadie, por mucho que te hayan robado, pero un agente de la ley si puede tener acceso a esta información.

En el caso de btc-e hubo un login con mi cuenta para llevarse los LTC. Esta IP es de un proveedor de internet en San Sebastian. Esta IP coincide además con un intento de acceso a CEX.IO unas horas antes de entrar en btc-e. La IP en ambos accesos es la misma:212.166.90.20 y esta IP es la que se ha llevado los LTC confirmado por btc-e.

Para mi entender esta IP es la pista más sólida de todas y seguramente la que más cerca está del ladrón. Creo que los nervios y la prisa puede haberle hecho cometer algún error como entrar con su ordenador personal en estas cuentas y rápidamente llevarse los fondos, sin preocuparse tanto de usar métodos de ocultación, pero ojo, es solo una sensación personal.

El acceso a cex.io fue:
2014-06-14 13:24 GMT+02:00 CEX.IO Mailer <noreply@cex.io>:
Username: Varmetric
IP: 212.166.90.20

Best regards,
CEX.IO

El acceso a btc-e fue:
2014-06-14 13:18 GMT+02:00 BTC-E <no_reply@btc-e.com>:
Successful authorization.

Login: Varmetric
IP: 212.166.90.20

Y el correo para retirar los fondos fue:
2014-06-14 18:05 GMT+02:00 BTC-E <no_reply@btc-e.com>:
Dear Varmetric,

We received a request to withdraw 283.00000000 LTC on purse LNvk842FDEyK7fDwNWw1qj6SqNwW7wJ6QW

To confirm the transaction, go to:
https://btc-e.com/withdraw_confirm/035d2955125fdae6657d7e4e66c3cbd4c738b404688a8f988ea866d8c910cdfcbb5113c2a4a1d0d2955309df2ca20bc5add0dcc59c78e5d47dd80a21fee00fa7

To cancel a transaction, go to:
https://btc-e.com/withdraw_confirm/035d2955125fdae6657d7e4e66c3cbd4c738b404688a8f988ea866d8c910cdfcbb5113c2a4a1d0d2955309df2ca20bc5add0dcc59c78e5d47dd80a21fee00fa7?cancel=1

IP: 212.166.90.20
Login: Varmetric

Regards,
Administration of BTC-E.COM

Al recibir este correo hice click en cancel y envié un ticket a btc-e para que no dieran curso al withdraw y me responden que lamentablemente...
2014-06-14 21:09 GMT+02:00 Support E <root.servers.btc@gmail.com>:
Hello!

We are sorry but your money was transferred out from BTC-E.
Withdrawal has been confirmed with your mail.
We can't refund and return your money.


Ticket Details
Ticket ID: AJV-598-80867
Department: Litecoin
Type: Issue
Status: In Progress
Priority: Normal

Helpdesk: https://support.btc-e.com/index.php?


Y hasta aquí lo que sabemos. Tengo la sensación de que el ladrón no se percató del registro de la IP al entrar en btc-e y en cex.io por lo que pudo haberlo hecho con su ordenador personal o a través de un pc cercano a él. Esta IP es la misma durante el transcurso de varias horas lo que me da buena sensación.

Veremos que pasa, si el ladrón está en España, ya puede correr, si está en Mexico, bye bye btc.

En cuanto a los sospechosos mexicanos me cuesta mucho pensar que un profesor de universidad se arriesgue a tirar su libertad a la borda. No digo que no sea sospechoso pero de momento le doy beneplácito y creo que es víctima del atacante. Hay que pensar que estas webs son de poca relevancia por lo que nadie se iba a obsesionar en proteger adecuadamente el site.

Veremos que sucede.

Bueno, tiene pinta de ser muy complicado dar con el ladrón. En cuanto a la seguridad del bitcoin, se sobre entiende que el problema es la custodia de estos bitcoins, no del protocolo en si. Bitcoin NO tiene ningún problema, pero nosotros si porque debemos elegir entre seguridad y accesibilidad.

Seguiremos investigando a ver pero doy por imposible encontrar al ladrón y los BTC.

franckuestein buen estudio si señor. No soy de Mexico, soy Español y la cuenta es de una empresa inglesa.

Agradezco mucho toda la información y comentarios que estáis aportando, de hecho son de ayuda.

A mi entender los dominios desde donde se hacen los enlaces y las descargas del archivo no son del todo sospechosas, es normal que un atacante para enmascarar su origen use servidores o páginas web vulnerables para sus actos, por tanto, si es un pista pero no es sólida a no ser que estos servidores tengan un registro de acceso IP almacenado y poder buscar por ahí.

Aparentemente los dos dominios mexicanos parecen ser de empresas legales y normales. Sospecho más que han sido hackeados sin que ellos mismos lo sepan.

Estoy deacuerdo que hay que establecer "algo" que permita "colorear" los bitcoins robados, sería fantástico porque en seguida se podría parar la difusión de estas lucrativas actividades.

He estado pensando profundamente sobre la seguridad de los bitcoins, y es un problema complejo. Si lo cedes a un tercero duermes intranquilo, si lo haces tu mismo, estás expuesto a cosas así (virus, troyanos, etc) y con los keylogers te van pillando las posibles claves de acceso de tus sistemas. Al final puede ser cosa de tiempo que aunque tengas el monedero cifrado, monederos multi firma, etc si van cazando las claves puedes tener un problema en un futuro mas cercano o mas lejano.

Monederos fríos es una excelente manera pero no los puedes usar hasta que los hagas calientes y vuelta a empezar. Quizás tener un monedero en un iOS no sea una tontería porque es mucho mas complicado que te ataquen ahí. Android me da mucho miedo y Windows Phone desconozco si es tan seguro como iOS en cuanto a que terceras aplicaciones puedan acceder a datos de otras aplicaciones instaladas, y ya se sabe, Microsoft nos deleita de vez en cuando con agujeros de seguridad sorprendentes. (ojo, no hago publicidad de Apple eh?).

Una solución interesante es Armony que permite tener los monederos en un PC fuera de línea y armar ahí las transacciones. Es una solución muy buena, pero poco amigable para el usuario, pero creo que es muy seguro, lo suficiente para poder custodiar ahí cantidades importantes de bitcoin, que estén en tu control y muy seguros.

Así que chicos, extremen las precauciones porque estas cosas seguirán pasando cada vez más!!

En cuanto a la investigación he mandado mensajes a btc-e y no son demasiado colaboradores, por el momento, pero les sigo insistiendo de varias formas para que claudiquen. Al final si una parte fueron vendidos en BTCE debe ser en la cuenta de alguien y enviado el dinero a una cuenta bancaria de alguien y es ahí donde mas esfuerzo hay que hacer.

Lo fundamental es que se encuentre el rastro del dinero porque ahí es donde se identifican a las personas. Incluso si comprasen algo en BTC y es un objeto físico, se podría saber a donde se ha enviado esa mercancía y preguntar al receptor donde obtuvo esos BTC y de quién.

En todo caso, si hacemos un perfil del ladrón, vemos que es alguien con mucha impaciencia, no ha esperado a que el rastro se enfríe y ha movido los bitcoins de manera casi inmediata, bien para venderlos, o para comprar cosas. Esa impaciencia nos viene bien para poder encontrarlo y demuestra que sus métodos de ocultación son muy básicos por lo que si rascamos un poco dentro de esos servidores y en btce daríamos con el autor.

De momento sigo pensando en btce y creo que sería fantástico tener una página que pueda publicar y rastrear los BTC que roben a la gente y que los exchanges y grandes comercios puedan verificar con API si esos btc ingresados son legítimos.

Fácil no va a ser, haría falta que esa web fuese de una autoridad o alguien importante en bitcoin para que con reputación y métodos de verificación de que son realmente robados, pueda funcionar. Tengo la sensación de que al final, alguien lo va a hacer, incluso la propia interpol.

Os doy mas detalles, la cabecera del correo es:
Delivered-To: hector.cadelo@varmetric.co.uk
Received: by 10.216.209.198 with SMTP id s48csp795534weo;
        Sat, 14 Jun 2014 03:08:57 -0700 (PDT)
X-Received: by 10.66.248.228 with SMTP id yp4mr9875568pac.94.1402740536291;
        Sat, 14 Jun 2014 03:08:56 -0700 (PDT)
Return-Path: <nobody@host.ozanimart.com>
Received: from host.ozanimart.com ([122.201.94.179])
        by mx.google.com with ESMTPS id nx10si4845019pbb.197.2014.06.14.03.08.55
        for <hector.cadelo@varmetric.co.uk>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Sat, 14 Jun 2014 03:08:56 -0700 (PDT)
Received-SPF: none (google.com: nobody@host.ozanimart.com does not designate permitted sender hosts) client-ip=122.201.94.179;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: nobody@host.ozanimart.com does not designate permitted sender hosts) smtp.mail=nobody@host.ozanimart.com
Received: from nobody by host.ozanimart.com with local (Exim 4.77)
   (envelope-from <nobody@host.ozanimart.com>)
   id 1Wvktt-0008LS-5m
   for hector.cadelo@varmetric.co.uk; Sat, 14 Jun 2014 20:09:29 +1000
Date: Sat, 14 Jun 2014 20:09:29 +1000
To: hector.cadelo@varmetric.co.uk
From: noreplay <support.corp@mail.bitsupport.com>
Subject: welcome to wallet
Message-ID: <514d8557afe2d1e09ca28de901ce784a@www.vanguardsingle.com.au>
X-Priority: 3
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="us-ascii"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.ozanimart.com
X-AntiAbuse: Original Domain - varmetric.co.uk
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - host.ozanimart.com


http://www.Bitpays.com/wallet-downloads-rFinieshed.seam=
?id=3Ddf5472208ef597f4f5762r81c34a4e7886a7bab5588752dbdewe908=
e11fe605700c8592ad5302
Que en realidad va a:
http://www.steddblue.com/index.php
Domain Name: STEDDBLUE.COM

Hace una redirección a www.masted.org/download/index.php que es donde ya descarga un archivo llamado BitPay-wallet-4ae23cea-062b-4609-8232-496b85fc5177.rar desde ese servidor.

Intuyo que estos servidores han sido atacados previamente y puestos ahí el invento.

Dentro de este archivo.rar hay un archivo .jar que ejecuta java y descarga de internet los siguientes archivos:
JNativeHook_9150172923394402403.dll
temporalito4067113274008559351okey.jar
temporalito4591708588922498270Explorer.exe

OJO, no abráis el .jad que os la lia!

Hola lopalcar!

Muchas gracias por tu investigación. Voy a abrir un ticket en btc-e porque soy buen cliente de ellos, además entraron en mi cuenta de btc-e y se llevaron los 283 LTC.

Tengo interpuesta una denuncia en comisaría y estoy a la espera de que me llamen los de delitos telemáticos y aportaré este dato adicional. Si btc-e no me da el dato, seguro que al comisario si!

Los 10 BTC mejores invertidos serán para premiar a los que me estáis ayudando a localizar a este sujeto.

Y OJO, cuidado con los correos que lo están sofisticando mucho. En mi caso al abrir el enlace descarga un rar y dentro de él hay una carpeta con un jad (ejecutable de java) y que el winrar abrió de manera automática. Aparentemente no hace nada pero se lleva los wallet, los archivos caché del navegador y puede que monitorice el pc y capture teclas o similar porque dar con la contraseña del wallet es interesante saber como lo ha hecho (y entrar en cex.io, btc-e...)

Muy divertido, si señor. Cuando tenga más info lo voy publicando.

En cuanto a mi cuenta de bitcointalk, tenía una pero hace mucho que no entraba y supongo que borraron la cuenta.

Gracias a todos!!

Estimados, el sábado 14 fui victima de un robo de 30 bitcoins:
https://blockchain.info/address/1EqSNkLecuKpxQnnbxjbyv369YmLJEdnht

El atacante utilizó un correo electrónico emulando bitpay con un enlace de backup de monedero. Como soy cliente de bitpay no sospeché nada y descargué el archivo, un .rar que ejecutó a su vez un .jad y descargó un .exe de internet que permitió al atacante tener control del pc. Debió llevarse el wallet.dat cifrado de bitcoin-qt y de algun modo accedió al caché del navegador y pudo deducir la contraseña que suelo usar. Abrió el monedero e hizo el robo.

Además entró en mi cuenta de btc-e y se llevó otros 283 LTC atesorados desde hace casi un año.

Es importante intentar que estas cosas tengan su castigo para disuadir futuros robos y que sepan que esto es rastreable y al final, alguien puede encontrarlo.

Quien logre identificar al ladrón y que su ayuda contribuya a recuperar los 30 BTC será recompensado!

Cualquier pregunta que tengáis iré respondiendo :-)

Muchas gracias!!