Conta no MtGox hackeada e 500.000 Btc vendidas

[jatajuta]

Ocorreu hoje às 14h de Brasília e no link abaixo em inglês temos a explicação:

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

Basicamente o que aconteceu foi que um hacker conseguiu acessar um conta do MtGox que possuía 500.000 Bitcoins e as vendeu a preço de mercado, como este volume de moedas é gigantesco para os padrões atuais ele preencheu todas as ordens de compra inclusive uma de 260.000 bitcoins por $0,01.

Os administradores do site disseram que irão reverter as ordens e o preço irá retornar ao patamar de $17,50 que era onde estava antes deste ataque.

Como o site possui um limite de $1000,00 para retirada, seja em bitcoins ou em dólares, o hacker apenas conseguiu retirar $1000,00 em bitcoins portanto as outras moedas estão sob posse do MtGox e irão ser devolvidas para a conta hackeada.

Eles irão voltar ao ar no dia 20 de junho às 23hs após os procedimentos de segurança forem aplicados e a conta hackeada estiver segura novamente.

Os outros exchanges (tradehill, bitmarket.eu, etc.) estão com suas cotações entre 14 e 18 dólares.

Welcome to the wild west!

[1714097977]

1714097977

[1714097977]

1714097977

[1714097977]

1714097977

[jatajuta]

Vídeo do Crash em real time.

http://www.youtube.com/watch?v=T1X6qQt9ONg

[jatajuta]

Toda a base de dados foi comprometida e se você possui conta no MtGox e utiliza o password em outras contas como gmail, facebook modifique imediatamente para evitar perder suas contas.

http://forum.bitcoin.org/index.php?topic=19576.0

[bitbr]

tenso... o google detectou atividade suspeita na minha conta e pediu pra trocar a senha... sorte q a senha do e-mail é única! mas mesmo assim o hash de senhas dos caras deve ser mto fraco... só pode...

[jatajuta]

tenso... o google detectou atividade suspeita na minha conta e pediu pra trocar a senha... sorte q a senha do e-mail é única! mas mesmo assim o hash de senhas dos caras deve ser mto fraco... só pode...

Essa mensagem foi enviada para todos os usuários do gmail que estavam na lista, eu tbem recebi, não significa que tentaram invadir sua conta, apenas que o pessoal do Google estava preparado para isso e imediatamente solicitou confirmação pessoal na conta gmail.

[jatajuta]

O https://www.meubitcoin.com.br/ é seguro?

Pois utilizo como wallet.

O administrador deste site é confiável e nunca tive problemas com transações com ele, mas é sempre mais seguro deixar suas moedas em uma carteira offline.

Para deixar sua carteira segura vc deve encriptar o arquivo wallet.dat e enviar para um ou mais pen drives e deletar completamente o software bitcoin de seu pc.

Mesmo assim vc ainda estaria vulnerável se invadissem seu pc e recuperassem seu wallet.dat deletado, mas é muito mais seguro que deixar em um website que pode sofrer um ataque.

Ao enviar as moedas para sua carteira offline o registro ficará na rede e quando vc abrir o software com esta wallet ela irá atualizar com a rede em algumas horas.

Se vc entende inglês há diversos tópicos ensinando como deixar sua carteira 100% segura.

https://en.bitcoin.it/wiki/Securing_your_wallet

[jatajuta]

Atualização feita 0h6min (Brasília) no site MtGox sobre o vazamento da Base de Dados - tradução feita por alguém que nunca fez curso de inglês  :

https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback

[Atualização - 2:06 GMT] O que nós sabemos e o que está sendo feito.

Uma das pessoas que realizou a auditoria em nosso sistema e teve acesso a uma versão somente leitura de nossa base de dados teve seu computador comprometido. Isso permitiu que alguém copiasse a nossa base de dados. O site não foi comprometido com uma "SQL injection" como muitos estão afirmando, então quer dizer que o site MtGox.com não foi hackeado.

Dois meses atrás migramos do "MD5 hashing" para o "freeBSD MD5 salted hashing". As contas que estão utilizando o método antigo de hashing foram as que não tiveram acesso nos últimos 2 meses e estão consideradas inativas. Quando retornarmos implementaremos o "SHA-512 multi-iteration salted hashing" e todos os usuários terão que atualizar um password mais forte.

Estamos trabalhando junto com Google para garantir que todas as contas gmail associadas ao MtGox sejam bloqueadas e tenham que ser verificadas através de confirmação SMS.

MtGox irá continuar offline enquanto continuamos nossa investigação.

Quando MtGox ficar online, vamos solicitar que todos os usuários passem por um método de segurança para autenticar suas contas. Será uma mistura de confirmar o último IP que acessou a conta, verificar o seu email, nome de usuário mtgox e antigo password. Os usuários serão solicitados para colocarem um novo password.

As transações ocorridas durante a falha de segurança serão revertidas.

[jatajuta]

Outro alerta de segurança na página inicial do MtGox adicionado agora (0h48).

[Update - 3:45 GMT] Update: DO NOT DOWNLOAD ANYTHING
If you receive ANY email which seems coming from Mt.Gox asking you to download something (certificate, generating program, etc), DO NOT DOWNLOAD. Do not either input your password on any site which is not MTGOX.COM.

Não faça download de nenhum software, certificado, ou qualquer arquivo de algum eventual email que vc receba alegando ser do MtGox. Não coloque o seu password em nenhum site que não seja o Mtgox.com

[jatajuta]

Update às 3h30 (Brasília):

[Update - 6:30 GMT] Still here. Still working hard to get things online.
SHA-512 multi-iteration salted hashing is in enabled and ready for when we get users reactivating their accounts

We are going to push our relaunch time to 2:00am GMT tomorrow so we have time to launch a our new backend and withdraw passwords.

Thanks to everyone sending the supportive emails and our extremely patient users.

MtGox voltará ao ar às 23h de Brasília, 20/6 segunda-feira.

[caveden]

tenso... o google detectou atividade suspeita na minha conta e pediu pra trocar a senha... sorte q a senha do e-mail é única! mas mesmo assim o hash de senhas dos caras deve ser mto fraco... só pode...

Idem comigo... Sorte que a senha da minha conta MtGox não era a mesma de nenhum outro lugar.

[jatajuta]

Deixa eu ver se entendi, eu abro meu bitcoin.exe e ai lá vai estar uma wallet, eu anoto essa wallet em algum lugar,
eu fecho o programa, pego o wallet.dat e protejo eles com as maneiras que eu conheço (criptografia,winrar com senha,pendrive/anexo email especial), e apago todo resto.

Apos isso posso enviar meus BTC's para essa wallet anotada e quando eu quiser transferir BTC's de lá para outro lugar eu instalo o programa novamente e substituo o wallet.dat novo por esse wallet.dat que eu guardei/protegi, ai vai aparecer o saldo atualizado depois de umas horas?

Obrigado!

Exatamente.

O arquivo está em c:\users\pafu-pc\appdata\roaming\bitcoin\wallet.dat

Este endereço é para Windows 7, se vc estiver com outra versão veja onde está exatamente o wallet.dat.

Este é o arquivo que tem que ser mantido fora de qualquer HD conectado à internet, ao enviar moedas para o endereço correspondente a rede irá verificar e quando vc rodar o bitcoin.exe com a wallet.dat que vc guardou as moedas estarão ali após o software sincronizar com a rede.

Você deixa esse endereço como a sua conta-poupança.

E aí se quiser efetuar pequenas transações pode fazer uma conta-corrente usando uma wallet online ou de fácil acesso mas que tenha poucas moedas.

[jatajuta]

Hmmm saquei, vou fazer isso hoje mesmo.

Pra ter certeza, o wallet.dat salva o ''codigo wallet'' que aparece assim que abre o Bitcoin.exe ne?

O da tela principal,em vermelho:

http://img171.imageshack.us/img171/7986/bitcoinscreenshot.png

obrigado

Todos os endereços que vc gerou para receber na sua carteira.

Não necessariamente apenas 1.

Mas todos que foram gerados enquanto o software tava rodando com a respectiva wallet.dat

Abs!