Украли биткоины из официального кошелька

[Battareus]

https://en.bitcoin.it/wiki/Change
на битковой вики, чтобы не потерять сдачу, рекомендуют бэкапить кошелёк каждые 50 транзакций.
Мне интересно, когда они додумаются сделать по-умолчанию адрес сдачи адрес, с которого отправлялось? Я уже наученный опытом и то умудряюсь забыть выставить свой адрес, когда надо срочно запустить кошель и отправить.

Никогда не додумаются.
Вернее сказать - это специально было сделано так, чтобы адрес сдачи всегда выбирался неюзанный.
Это и надежнее в плане криптографии, и в плане анонимности.
С другой стороны, если получили три рубля от крана и отправляете их в казино - на кой черт вас такие проблемы?

Почему три рубля то? В примере этом даже говорится про вход 10.89 битка, если 20 битков, как у ТС или даже 10 замылится, это не маленькая потеря. И любой, не разобравшись, будет кричать что кошелёк дырявый, а разработчики воры.

[trader_999]

У дальнего знакомого увели с вебманей кошеля 350т руб, всё он проверял, в вебмани писал, и т.д. Парень в сети осторожный. И был очень удивлён когда оказалось что это ,,товарищ " не разлей-вода из офлайна спер...

С вебмани можно хоть узнать куда ушли деньги,да и как вообще,там смс подтверждение должно было стоять у него или не было его?

[slesar21]

У дальнего знакомого увели с вебманей кошеля 350т руб, всё он проверял, в вебмани писал, и т.д. Парень в сети осторожный. И был очень удивлён когда оказалось что это ,,товарищ " не разлей-вода из офлайна спер...

С вебмани можно хоть узнать куда ушли деньги,да и как вообще,там смс подтверждение должно было стоять у него или не было его?

Все просто оказалось, так сказать товарищ получил доступ к компу, и всем гаджетам, подпоил чела чем то, или как по другому? А он был вхож к нему домой, и работали вместе,  и перевел деньги, а тот чухнулся дня через два. 

[7Pay.in]

приведенный выше счет это ваш или того кто украл?? там всего 2 транзакции то
я локально у себя храню - использую multibit.org кошелек

[mksiz]

Bitdefender нашел кучу троянов, хотя КИС сука молчал как партизан.

Неудивительно, КИС на 50% реклама.

Прежде чем ставить проги на винде проверяйте дистрибутивы вирустоталом. Идет по многим базам. В каждом втором дистрибе находит как имнимум малварь! Если исключить атаку через зараженный сайт конечно.

Любит халяву, наш народ, вот и качает с торрентов всякую хрень, от "добрых" хакеров, а потом жалуется.
На вирустотале один недостаток - ограничение по размеру файла, не более 128 мб.
Идеально лайв сиди с линуксом под это дело завести,  ключи/кошельки на специальную флешку, и залазить туда только из под этого сиди. Муторно, зато надежней.

[RoadTrain]

Читал, что, бывает, брутфорсят свои кошельки если вдруг забыли пароль. И вроде как успешно. Но для этого надо хотя бы примерно знать, какой был пароль - длина, маска, может часть пароля. А так что бы подобрать с нуля - не слышал.

если ТС правильно изложил исходные данные
остается только взлом компа и получение файлов кошелька + где-то записанного пароля

как еще объяснить?

Странно, что взлом был в одно и то же время 2х разных компов, один из которых практически всегда выключен.

Из разряда фантастики - стянули сразу оба кошелька в архиве из облака. И взломали каким-то суперкомпьютером.
Ну или стянули вирусами нужную информацию с компов.

То, что дыра в официальном кошельке - навряд ли.

месяц разницы был
Сначала в одном увидел от 05,12,15 а потом и во 2м 05,11,15

Интересно. Недавно обнаружил, что и один мой условно холодный кошелёк обчистили. 5 января 2016. Пока не могу определить в чём причина, поскольку пароль был уникальный и тоже не вводился больше года. Но тут память подводит, так что хз. Станция не была супер защищённой, обычный домашний ПК, так что неудивительно, хоть и печально. Да и пароль был попроще, может и сбрутили. Кому интересно, вот транзакция увода (сдачу вернули на мой адрес, лол!): https://blockchain.info/tx/085665c1d13fc92bd807d0c9fa3249f86e39af7dbf6a1572e19340de29579689

Не все адреса мои, склеили с какой-то мелочью с кранов.

Меня больше заинтересовало совпадения с 5 числом. Что бы это могло значить?

[amaclin]

Да и пароль был попроще, может и сбрутили.

Пароль на что?
Пароль может быть на wallet.dat клиента - в этом случае надо сперва увести сам файл, а потом его брутфорсить
Или пароль brain-wallet которым приватный ключ создан - тогда ничего уводить не надо - это даже не "холодный кошелек"
Есть еще варианты увода.

[RoadTrain]

Да и пароль был попроще, может и сбрутили.

Пароль на что?
Пароль может быть на wallet.dat клиента - в этом случае надо сперва увести сам файл, а потом его брутфорсить
Или пароль brain-wallet которым приватный ключ создан - тогда ничего уводить не надо - это даже не "холодный кошелек"
Есть еще варианты увода.

Пароль на wallet.dat. У меня, как и у автора, Bitcoin Core. Понятно, что сам файл увели, это реально, учитывая, что он валялся на обычном домашнем ПК. Было бы интереснее узнать, как пароль подобрали (брутфорс или кейлоггер, хотя я его не вводил очень давно). Но тут лишь гадать

[KingOfBet]

а что тут думать
получили доступ к машине через дырки, троян и т.п.
сканировали, нашли и скопировали wallet.dat
и наверняка дето был в текстовом файлике пароль к нему
фсе

да, троян 100%

[amaclin]

Пароль на wallet.dat. У меня, как и у автора, Bitcoin Core. Понятно, что сам файл увели, это реально, учитывая, что он валялся на обычном домашнем ПК. Было бы интереснее узнать, как пароль подобрали (брутфорс или кейлоггер, хотя я его не вводил очень давно). Но тут лишь гадать

Теоретически можно увести битки и другим способом, не имея wallet.dat
Про повторяемые R-значения в подписях вы знаете, про то что если злоумышленник каким-то образом узнал (или подставил своё) значение 'K' при генерации ECDSA-сингантуры тоже напоминать не стану - вы не новичок.
Ну капитан-очевидность утверждает, что "умерла-так-умерла", то есть выяснить истинную причину не представляется возможным.
Ну разве что саму вирусяку на компе найдете или воришка напишет и расскажет как он вас облапошил.

[FutureBitcoin]

Пароль на wallet.dat. У меня, как и у автора, Bitcoin Core. Понятно, что сам файл увели, это реально, учитывая, что он валялся на обычном домашнем ПК. Было бы интереснее узнать, как пароль подобрали (брутфорс или кейлоггер, хотя я его не вводил очень давно). Но тут лишь гадать

Теоретически можно увести битки и другим способом, не имея wallet.dat
Про повторяемые R-значения в подписях вы знаете, про то что если злоумышленник каким-то образом узнал (или подставил своё) значение 'K' при генерации ECDSA-сингантуры тоже напоминать не стану - вы не новичок.
Ну капитан-очевидность утверждает, что "умерла-так-умерла", то есть выяснить истинную причину не представляется возможным.
Ну разве что саму вирусяку на компе найдете или воришка напишет и расскажет как он вас облапошил.

Это из этой статьи https://habrahabr.ru/post/248419/   ?
Принцип в общем понятен, но всю механику тяжело уяснить. Не могли бы проще объяснить?

[amaclin]

Это из этой статьи https://habrahabr.ru/post/248419/   ?
Принцип в общем понятен, но всю механику тяжело уяснить. Не могли бы проще объяснить?

Да, в этой статье примерно это описано.
Я проще объяснить не могу. Это математика, причем не очень даже высшая.
Но надо иметь базовые знания в теории групп и колец. Ну и представлять себе как работает ECDSA.

[FutureBitcoin]

Это из этой статьи https://habrahabr.ru/post/248419/   ?
Принцип в общем понятен, но всю механику тяжело уяснить. Не могли бы проще объяснить?

Да, в этой статье примерно это описано.
Я проще объяснить не могу. Это математика, причем не очень даже высшая.
Но надо иметь базовые знания в теории групп и колец. Ну и представлять себе как работает ECDSA.

Т.е. если проще говорить, вирусуется машина. Потом при отправке платежей меняется подписчик на "неправильный", который делает подпись такой, которая легче брутиться для разгадывания закрытого ключа?

[amaclin]

Т.е. если проще говорить, вирусуется машина. Потом при отправке платежей меняется подписчик на "неправильный", который делает подпись такой, которая легче брутиться для разгадывания закрытого ключа?

Условно говоря, вообще не надо брутфорсить в определенных случаях.

Ну давайте я постараюсь "на пальцах" объяснить.
При генерации подписи выбирается некоторое число 'К' которое никому не должно быть известным
Подпись - это необратимая функция от трех переменных
(1)само сообщение, вернее его дайждест, хэш-сумма
(2)приватный ключ
(3)и это число 'K'

Причем по приватному ключу, дайджесту и подписи можно восстановить 'K'
Но более интересно для злодея что по 'K', дайджесту и подписи он может восстановить приватный ключ.
Точно не помню, может быть для этого злыдню еще публичный ключ нужен.

Итак. В блокчейне есть транзакция с адреса 1ххххх
В этой транзакции есть публичный ключ и подпись. Немного поколдовав с программированием можно получить дайджест.
Это и так всем известно. Неизвестными остаются 'К' и приватный ключ.

Допустим, злоумышленник внедрил на компьютер жертвы программу, которая генерирует число 'K' каким-то известным злоумышленнику способом - например берет публичный ключ адреса 1xxxxx, ксорит его с хэшом последнего найденного блока, прибавляет восемнадцать, после этого умножает на 153 и отнимает дайджест

Никто кроме злоумышленника не заподозрит чего-то неладного.
А ему достаточно будет все транзакции прогнать через некоторый 'чекер', который для каждой транзакции в блокчейне будет совершать это действие и получать какое-то значение 'K'. По числу 'К' он будет вычислять приватный ключ.
Для всех обычных транзакций эти вычисления будут неправильные.
А для транзакций отправленных с "зараженной машины" злоумышленник в результате вычислений получит правильный приватный ключ.
Никакого брутфорса. Программа просто будет выдавать приватный ключ, если транзакция была 'заражена'

Именно поэтому и не рекомендуют повторно использовать адрес.
Потому что если вы всегда будете переводить бабки на новый адрес - максимум что получит злыдень - это приватный ключ от только что опустошенного вами адреса.

[FutureBitcoin]

Т.е. если проще говорить, вирусуется машина. Потом при отправке платежей меняется подписчик на "неправильный", который делает подпись такой, которая легче брутиться для разгадывания закрытого ключа?

Условно говоря, вообще не надо брутфорсить в определенных случаях.

Ну давайте я постараюсь "на пальцах" объяснить.
При генерации подписи выбирается некоторое число 'К' которое никому не должно быть известным
Подпись - это необратимая функция от трех переменных
(1)само сообщение, вернее его дайждест, хэш-сумма
(2)приватный ключ
(3)и это число 'K'

Причем по приватному ключу, дайджесту и подписи можно восстановить 'K'
Но более интересно для злодея что по 'K', дайджесту и подписи он может восстановить приватный ключ.
Точно не помню, может быть для этого злыдню еще публичный ключ нужен.

Итак. В блокчейне есть транзакция с адреса 1ххххх
В этой транзакции есть публичный ключ и подпись. Немного поколдовав с программированием можно получить дайджест.
Это и так всем известно. Неизвестными остаются 'К' и приватный ключ.

Допустим, злоумышленник внедрил на компьютер жертвы программу, которая генерирует число 'K' каким-то известным злоумышленнику способом - например берет публичный ключ адреса 1xxxxx, ксорит его с хэшом последнего найденного блока, прибавляет восемнадцать, после этого умножает на 153 и отнимает дайджест

Никто кроме злоумышленника не заподозрит чего-то неладного.
А ему достаточно будет все транзакции прогнать через некоторый 'чекер', который для каждой транзакции в блокчейне будет совершать это действие и получать какое-то значение 'K'. По числу 'К' он будет вычислять приватный ключ.
Для всех обычных транзакций эти вычисления будут неправильные.
А для транзакций отправленных с "зараженной машины" злоумышленник в результате вычислений получит правильный приватный ключ.
Никакого брутфорса. Программа просто будет выдавать приватный ключ, если транзакция была 'заражена'

Именно поэтому и не рекомендуют повторно использовать адрес.
Потому что если вы всегда будете переводить бабки на новый адрес - максимум что получит злыдень - это приватный ключ от только что опустошенного вами адреса.

Т.е. это число K важно во-первых, что является признаком того, что машина заражена и подпись "не чистая" и во-вторых зная алгоритм получения числа К можно получить приватный ключ?
И даже спрыгнув с зараженного компа, старые "зараженные" транки выдадут приватный ключ?

[amaclin]

Т.е. это число K важно во-первых, что является признаком того, что машина заражена и подпись "не чистая" и во-вторых зная алгоритм получения числа К можно получить приватный ключ?

Число 'К' так или иначе присутствует когда человек подписывает транзакцию.
Просто они большое. там 256 битов (32 байта) как и в приватном ключе, так что найти его перебором нельзя
Некоторые имплементации ECDSA-подписей использовали рандом для генерации этого 'K'
И наёбывались, когда рандом выдавал на разных машинах одно и то же значение.

Сейчас более правильным считается использовать deterministic-ecdsa когда 'K' - есть необратимая функция приватного ключа и дайджеста
(есть RFC, но я не помню номер.)

UPDATE: https://tools.ietf.org/html/rfc6979 но там так много, что это и для меня сложно читать.
Важно что 'K' есть HMAC-функция от конкатенации приватного ключа и дайджеста и чо-то там еще

И даже спрыгнув с зараженного компа, старые "зараженные" транки выдадут приватный ключ?

Если вы проебали свой приватный ключ - то это навсегда.
Можете хоть головой ап стену убицца.
Спасти может отправка на новый адрес с 'незараженной' машины.

[amaclin]

Я сейчас еще раз просмотрел глазами статью на хабре.

Цитата оттуда: Сегодня мы рассмотрим сильную SETUP атаку (1,2) на ECDSA, то есть атакующий может узнать секретный ключ пользователя за 2 подписи, при чем, кроме него никто это сделать не сможет. (конец цитаты)

Фактически для злоумышленника необязательно выполнение пункта "причем, кроме него никто это сделать не сможет."
Ему достаточно самому увести ваш ключ, а если это кто-то еще может сделать кроме него - это не так уж важно.

Я вам приводил пример атаки (1,1) в терминах статьи хабра.
когда приватный ключ злоумышленник узнает по одной подписи.

[FutureBitcoin]

Я сейчас еще раз просмотрел глазами статью на хабре.

Цитата оттуда: Сегодня мы рассмотрим сильную SETUP атаку (1,2) на ECDSA, то есть атакующий может узнать секретный ключ пользователя за 2 подписи, при чем, кроме него никто это сделать не сможет. (конец цитаты)

Фактически для злоумышленника необязательно выполнение пункта "причем, кроме него никто это сделать не сможет."
Ему достаточно самому увести ваш ключ, а если это кто-то еще может сделать кроме него - это не так уж важно.

Понятно, что будет уже не важно, денежки то не будет на кошельке. "при чем, кроме него никто это сделать не сможет" наверное имеется ввиду тот факт, что только злоумышленник владеет алгоритмом построения чила К

Я вам приводил пример атаки (1,1) в терминах статьи хабра.
когда приватный ключ злоумышленник узнает по одной подписи.

Мне не понятен момент, зачем вычислять приват по двум подписям, если можно сделать и по одной?

[amaclin]

Мне не понятен момент, зачем вычислять приват по двум подписям, если можно сделать и по одной?

Ну этот вопрос авторам статьи на хабре надо задать.
Они рассматривали немного другую задачу стеганографии.
Теоретически ведь можно в подпись добавлять информацию не о ключе с которого посылаются битки, а о приватном ключе на который битки отправляются (если, конечно, этот ключ доступен в момент подписания)
Ключ своего адреса сдачи нам доступен, а если мы шлем битки Васе Пупкину на его адрес, то ключ Васи нам неизвестен.

[FutureBitcoin]

Мне не понятен момент, зачем вычислять приват по двум подписям, если можно сделать и по одной?

Ну этот вопрос авторам статьи на хабре надо задать.
Они рассматривали немного другую задачу стеганографии.
Теоретически ведь можно в подпись добавлять информацию не о ключе с которого посылаются битки, а о приватном ключе на который битки отправляются (если, конечно, этот ключ доступен в момент подписания)
Ключ своего адреса сдачи нам доступен, а если мы шлем битки Васе Пупкину на его адрес, то ключ Васи нам неизвестен.

Так в том то и дело, что в момент подписания приват Васи Пупкина неизвестен. Или я что не понимаю? Или Вы намекаете, на связку использования адреса Васи Пупкина в качестве сдачи?