Таким серьёзным хардфорком может быть изменение алгоритма подписи, скажем для противодействия квантовым вычислениям. Однако надеюсь, что перед таким шагом будет какое-то решение, позволяющее досрочно закрывать все CLTV-блокировки, включая каналы Lightning

1. Это одна из нескольких вариаций на тему. Моя консольная для Linux получается
2. Пока не страшно, но если будут жирные айрдропы я конечно буду сожалеть

Обворовывать друзей/родственников дело настолько мерзкое, что я даже матерные эпитеты подобрать не могу. Я конечно понимаю что в стране с таким правительством как у нас, воровство уже считается за норму многими или бизнесом.
Однако, для успешной реализации такого сценария недостаточно быть жадным ублюдком, надо ведь ещё и уметь безупречно врать в лицо друзьям. Ко мне то и то неприменимо.
Все оставшиеся версии, насчет того как в итоге были похищены приватные ключи, остаются плохо подтверждаемыми. Следов преступления, исключая собственно транзакции перевода, никаких не осталось.


Не так давно, я доработал скрипты для консервации биткойнов на произвольный срок, и сделал мало-мальскую инструкцию:
https://github.com/alpet83/cltv_hodl

Стоит пожалуй ещё и развернутую статью на этот счет сделать, т.к. имеются исключительно англоязычные варианты.
Теперь часть моих монет, на несколько лет заморожена очень надежно надеюсь.

Только через роутеры подключался, используя WiFi как правило. Сам я тоже сижу все время под Win7, однако ещё не воровали битки. Впрочем, серьёзной оплошностью сейчас выглядит то, что я оставил ему права Администратора в рабочем аккаунте.

Попробую что-то такое сообразить, правда для bitcoin core. В принципе, некоторые числа можно сохранить как микроплатежи в направлении первых адресов, до 100к сатош можно 5-значные уместить вполн.

А это не займет безобразно много времени, на обычном ПК? Получается и самому эти цифры надо будет как отдельный секрет сохранить тоже...

Вы хоть понимаете, что это многие мегабайты ассемблерного листинга? Причем это не просто книга толщиной в метр, которую прочитать можно, а нечто требующее вдумчивого анализа и понимания логики на каждом блоке - за жизнь человеческую и то вряд-ли успеется. Вот я не специалист, чтобы отличить нативный код, от измененного, и сомневаюсь что здесь таких много. Аналогично и для исходного кода, найти явную уязвимость могут те, кто специализируется на них.

Я вот ещё какую мыслю сейчас терзаю: из одной seed фразы можно породить миллиарды приватных ключей. Но сколько проверяет злоумышленник, попади к нему случайно или преднамеренно она? Сомневаюсь, что неделями генерирует адреса. Получается есть такой дополнительный вариант усиления безопасности: в течении суток (или больше) генерировать приватные ключи, и воспользоваться последним для холодного кошелька. В любом случае проверка балансов на этих ключах, займет в разы больше времени. После этого хранить сид-фразы может получиться более безопасным, в бумажном виде например. Особенно если на случайный адрес из первой 1000 (как это типично бывает), положить несколько сатошей - алгоритм брутфорса вора может вполне удовлетвориться этим.

1. Хвала битку, мне зарабатывать не требуется на жизнь. Спекулирую помаленьку, фьючерсы и опционы, с перекосом в хороший лонг по BTC/USD.
Ваша идея мне кажется чем-то сродни магии. Типа можно сообразить такую функцию, которая будет выбрасывать гигантские диапазоны nonce, в которых вероятность нахождения хэша меньше средней. У майнинговых пулов только и остается, что выдавать подключенным узлам диапазоны на проверку. Это ведь даже не AsicBoost технология, которая ещё на стороне майнеров изменения предполагает. Если математика в нашей вселенной не изменилась, тогда во всех диапазонах nonce одинаковой размерности, вероятность найти подходящий хэш равнозначная. Я не математик, даже в университете не учился, но этот вопрос считаю достаточно простым. При той сложности, которую подразумевает двойное хэширование, с частично изменяемыми данным на входе, никакой прогнозируемой функции быть не может. Это не число Pi, где алгоритмическая зависимость цифр в позиции предопределена заранее, т.е. имеются изначально все входные данные. В случае майнинга биткойнов, часть входных данных является условно случайной и до времени не определенной, или вы полагали что только nonce имеет значение?
2. Мне приходится доверять массе закрытого и открытого всего, без этого никак. Я никогда не совался в код биткойна, чтобы поискать там подозрительные вещи - квалификация далеко не та.
3. Это нелепо совершенно. На прерывании висят обработчики драйверов, а вредоносный код как правило не настолько крут, чтобы становиться посредником. В тех редких случаях, когда система поражена серьёзным руткитом, запускающим операционку как виртуальную машину, отладчик вообще ничего не выдаст и не покажет. И скажите, заради чего малвари клавиатуру перехватывать постоянно? При привилегиях уровня ring 0 (сосуществовании с ядром или выше), элементарно дампится память любой программы, и отследить это будет нельзя.
4. На флешке архив остался, но я сомневаюсь что нечто будет так серьёзно заметать следы. Будь настолько продуманным злоумышленник, он вернул-бы оригинальные файлы программы на место, после факта кражи приватных ключей.

Если алгоритм уязвимый, безусловно все кошельки под угрозой. Однако, насколько я понимаю, криптографические библиотеки зависят от средств операционной системы, по крайней мере при инициализации ГСЧ (начальная энтропия или как там это называется). В разных соответственно системах, это ведет либо к хорошему аппаратному ГСЧ, либо к уязвимому. Однозначно тут есть зависимость и от ОС, и от железа. В малинках используется аппаратный ГСЧ, и в последних образах системы он по умолчанию включен.

Загадки продолжаются. В прошлый раз я деинсталлировал "подозрительный" Electrum с ноутбука, потом система перезагружалась. Сегодня смотрю и глазам не верю, он на месте стоит и ярлык на рабочем столе. На всякий случай упаковал и выложил:
https://sendgb.com/Wth7zmKJ8ya
Деинсталлировал повторно, перезагрузился, пока нет его

1. Я ещё ничего не решил, я только догадки имею на руках. Кошельки свои я всегда генерировал в Bitcoin-Core свежей версии, хотя сомневаюсь что там используется отличная библиотека криптографии от Electrum.
2. Это ещё школьникам должно быть понятно, что такое хэширование делает принципиально не восстановимой seed фразу из полученного набора байтов. Однако, этот набор байтов можно использовать напрямую, для иерархической генерации приватных ключей. На этот счет не заморачивайтесь даже, основную стоимость вычислений в брутфорсе будет занимать генерация и сравнение публичных адресов с списком "денежных" публичных адресов. Для некоторого ускорения можно ограничить список адресов с битками, очень крупными, например от 100 монет, но все равно количество операций потребуется большое.
3. Многоядерные чипы стоят несколько дороже, из-за большего брака, и относительно высокой сложности проектирования. Но безусловно, в целом их использование удешевляет вычислительную систему. Однако чипов с миллионами ядер хотя-бы уровня i7 я думаю в обозримом времени не появиться.
4. У меня хватает работы. Да и специализация смешанная gamedev/IoT/lowlevel. 

1. Мои новые кошельки сгенерированы в оффлайне, на Raspberry Pi 4 (полную ноду пришлось несколько часов собирать). В течении секунды после создания эти кошельки подвергались шифрованию, и выгрузке из памяти. Уже в онлайновые системы они были скопированы зашифроваными. Что-же касается друга, там ключи генерировались на онлайн системе, пусть и чистейшей. И кошелек разблокировался неоднократно "чтобы посмотреть баланс" - до сих пор меня это раздражает. Были установлены такие мессенджеры как Telegram и Viber, что помимо Kaspersky Total Security увеличивало риск компрометации. Мелких ошибок если так посчитать, было сделано более чем достаточно. Мне намекнули, что стащить приватные ключи мог даже javascript используя уязвимость meltdown, не выходя за пределы браузера.
При этом сам я подозреваю, что имела быть место какая-то уязвимость в генерации сидов у самого Electrum или в какой-то момент была установлена поддельная версия: должно быть какое-то обоснование массовой кражи в июне 2019-го.

2. Да даже 2^124, с учетом энергетической стоимости суммы операций. Уж не знаю, что за магия там может на 40 битов сократить перебор, если с ГСЧ при генерации все нормально. Стоимость проверки каждой seed фразы невообразимо огромна, я думаю на самом современном ПК она будет занимать многие секунды: надо сгенерировать приватные ключи, из ключей получить списки адресов для пополнения, проверить пересечение этих списков с списком непустых (в моменте!) адресов. Даже если-бы потребовалось перебрать 2^64 (18.44 квинтиллиона) вариаций, по 1 секунде, это в идеальном случае 585 миллиардов лет эксплуатации мощного компьютера. Если теоретический компьютер кушает 0.5кВт*Ч, год его работы обойдется в 4.3МВт*ч. Т.е. даже в столь неимоверно упрощенном случае, для полного перебора за год потребуется затратить 1.1 миллион ТВт*ч, покрыв всю материки компьютерами и электростанциями. А по вашей оценке, минимум 84 бита сложность, что предполагает такими расходами обнаружить меньше 1/1048576 всех ключей!

https://bitcointalk.org/index.php?topic=1716725.0 вот тут ещё люди обсуждают эту задачу
И наконец примите с сведению факт: параллельные вычисления могут сократить время задачи, ценой кратного увеличения стоимости оборудования. Если один компьютер решает задачу последовательного перебора за миллиард лет, то за один год её решат никак не менее миллиарда компьютеров (при полной загрузке 24/365). Мне как программисту это все слишком очевидно, чтобы объяснять и разжевывать. Энергетические расходы будут одинаковыми примерно.

В качестве горячего "повседневного" кошелька, уже заказал Ledger Nano S, скоро получу его. Там не будет значительных остатков, во время использования
Оффлайновое подписывание транзакций, я все таки решил пока не использовать, ограничившись разбиением на десятки кошельков всей холодной суммы. Будет достаточно просто опустошать эти кошельки "один за другим", не подвергая опасности все монеты.

Часть биткойнов буду в обозримом времени консервировать, с помощью CHECKTIMELOCKVERIFY сценариев, что оказалось на поверку очень непростым в реализации: надо будет адаптировать js-cкрипт для регтеста под боевой кошелек, провести тестирование на микротранзакциях, сформировать транзакции с лагом выполняемости 1-2-3-10-20 лет и надежно их сохранить. Эти транзакции будут при публикации переводить на чистые кошельки "замороженные" биткойны. Исходные-же кошельки, придется удалить, чтобы не было вторичного доступа и остались только подписанные транзакции на руках.

Это вопрос больших чисел, а значит рентабельности. Если нужно найти 1% приватных ключей от всех крупных адресов, придется за триллионы лет, потратить энергию от всех звезд нашей Галактики, настолько это масштабные вычисления. Насколько дешевле стоят все существующие биткойны, и будут стоить в обозримое время, даже считать нет смысла. Это немыслимо убыточные операции и только, теория вероятности тут играет против ломщиков. Квантовые компьютеры теоретически могут позволить восстановить приватные ключи, для случаев когда с адреса несколько раз делались транзакции, если не ошибаюсь.
Есть ещё одна закавыка, которую я попробую объяснить на масштабном примере. Представьте себе окружность нашей галактики, в сравнении с окружностью Земли. Допустим вокруг галактики едет длинный поезд, который опоясывает её несколько квинтиллионов раз. Поиск подходящего приватного ключа, равноценен проходу по этому поезду контроллера (толпы контроллеров в случае "параллельности"), со скоростью 1 км/ч. Нахождение приватного ключа, равноценно обнаружению безбилетника, что случается редко - один раз на миллиард километров. Однако что важно, контроллер допустим прошел 1000 км, и там не было безбилетников тогда, а сегодня они в любой момент могут возникнуть. Т.е. если раньше за приватным ключом не было адресов с ненулевым балансом, то это может измениться в любой момент. Значит теоретически, обнаружить все приватные ключи таким медленным способом просто невозможно, и большая часть их останется непроверенной навсегда.

Это не является полностью бессмысленным только при одном условии: генерация seed фразы была произведена уязвимым алгоритмом, да ещё и с плохой энтропией. Сильно сомневаюсь насчет такого варианта. А впустую брутфорсить приватные ключи или парольные фразы, можно миллиард лет, так ничего толкового  и найдя. Вероятность того, что в этом случае брутфорсили приватные ключи или seed, как по мне нулевая: в первом случае украли-бы только с одного инпута биткойны, во втором перевод был-бы одной транзакцией. 

Звучит более чем нелепо, особенно в свете того как много было подозрительных ограблений летом 2019, особенно в июне. Он никому не показывал как открывать контейнер с паролями, и уж тем более сам кошелек с битками.

У меня последние версии с 2 и 4 Гб RAM в наличии. Что подкупает, это возможность бэкапа целиком образа системы с кошельками: думаю он в сжатом виде 4Гб займет.

Понимая масштаб возможных потерь, нельзя не параноить насчет вероятной инфекции в BIOS ноутбука, которая испортит генерацию ключей самым неприятным образом. Хотя возможно, я перегибаю. С другой стороны, он ещё может для каких-то более решительных дел пригодиться, как никак Core i7, 16GB RAM, SSD240Gb. А малинок у меня некоторый избыток, есть маленький дисплей HD даже.

До меня потихоньку дошло, что хранить в одном wallet.dat (offline.json) столь большие суммы монет, просто опрометчиво удобно. Всякая разблокировка подвергает риску все монеты. Поэтому даже без учета оффлайновой системы подписывания, решил что разбивать на разные кошельки холодный запас надо максимально. Уж лучше рисковать 0.5-1% сбережений, и выявить компрометацию системы при случае. Генерировать кошельки собираюсь все-таки на малинке, т.к. в безупречной чистоте ноутбука сомневаюсь. Раньше с аппаратным ГСЧ на малинках было все выключено по умолчанию, интересно как сейчас...

Я сейчас прикидываю, какой удобнее вариант сделать: оффлайновый Raspberry Pi 4, или ноутбук старый задействовать. Первую придется всякий раз подключать к дисплею и клавиатуре, чтобы наколдовать транзакцию.

Очень слабая вероятность. Ключевую фразу никуда не сохраняли, а копию зашифрованного кошеля я держал у себя все это время (ни разу не открывая). Ещё одна копия у него на флешке.

Друг очень плавает в пользовании ПК, и конкретно с этим ноутбуком все операции обслуживания только мне доверял. У меня последние пару лет большая проблема с внимательностью, из-за сосудов головы или шейного отдела, поэтому допускаю что мог через фишинговую ссылку обновиться.


Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?

Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать).

Остается вариант, что перед этим и была фишинговая версия. Уже не упомнить, обновлял-ли я клиент после установки программы с оригинального сайта.
Однако, с учетом того что в 20-ых числах были ограблены и кошельки Bitcoin Core, история остается до крайности мутной.