Tengan cuidado con blockchain.info

[Wolf Rainer]

Tengan cuidado con blockchain.info acaban de robarme casi 0.36 btc con esta dirección https://blockchain.info/address/1brain7kAZxPagLt2HRLxqyc3VgGSa1GR, yo estaba logeado en mi wallet utilizando una dirección de btc generada por mi a partir de un código de 12 dígitos y encryptado dos veces con sha256 (19JsLFDRxuTsAjapE79FgoVNdNdB2hNU5M), y mientras estaba tratando de enviarle fondos a una cuenta para vender, se me colgó la billetera y no sincronizaba (giraba el indicador pero nunca actualizaba el balance), entonces cierro y vuelvo a abrir y me encuentro con que mis fondos fueron robados y mi wallet vaciada...

¿Cómo puede permitir blockchain que si yo entro a mi wallet con mi ip de siempre y estoy utilizándola, alguien más pueda entrar después que yo y enviar al mismo tiempo mis fondos a otro lado?

En la pc no tengo ningún troyano, ni virus, ni utilizo páginas raras. Hace 5 días antes de irme de viaje vendí 0.15 btc para pagar el mismo, y desde entonces la pc no fue utilizada porque tiene clave y la dejé en mi casa apagada, hoy entro para vender un poco más de la misma manera que lo hice antes y sucede esto.

La clave original que luego fue encriptada dos veces a sha256 para generar la address, es la misma que utilizo en mi cuenta de blockchain.info, de 12 caracteres, así que los únicos que pudieron sacarla son ellos, porque ni con la pc más potente del mundo se puede adivinar una clave de 12 dígitos y luego saber que fue encryptada 2 veces a sha256 en cuestión de minutos, sólo sabiendo la clave original se puede llegar a esa conclusión y luego de varios intentos.

Entonces esto lleva a consideración que existe una vulnerabilidad muy grande, ya sea porque no se puede uno fiar de las wallets online o porque los bots han generado tantas claves privadas (miles de millones) que cualquiera que uno utilice corre riesgo de perder sus fondos.

Necesito que alguien por favor me ayude, esa plata era para pagar el alquiler que ya tengo 2 meses de retraso y se vence ahora a principio de mes, ¿Existe alguna manera de contactar a blockchain.info para que me reintegre los fondos?

Si alguien quiere colaborar conmigo 19VXtNbJK2TAssSGfEXGJyoZvCCmQ42kbt prometo que si en algún momento puedo salir de esta situación de mierda o blockchain finalmente de alguna manera me reintegra el btc, le voy a devolver cada milésima de btc a quien haya colaborado.

[1715652192]

1715652192

[1715652192]

1715652192

[DonYo]

Escaneate el pc, que seguro tienes algún bicharraco

[Nubarius]

Por lo que dices aquí y en el hilo en inglés (https://bitcointalk.org/index.php?topic=347828.0) parece que generaste tú mismo la dirección como una brainwallet. Ese ha debido ser el problema. Por mucho que pienses que tus doce dígitos son muy difíciles de adivinar, a poco que haya varias palabras comunes o alguna combinación típica, como palabra más número, no tiene nada de raro que haya tablas arco iris que tengan la clave privada de la dirección resultante de aplicar una o dos rondas de SHA-256. Puede parecer paradójico, pero seguro que si hubieras utilizado la dirección generada por blockchain.info no te habría pasado eso.

La moraleja es que hay que tener muchísimo cuidado al utilizar brainwallets; o mejor aún, no utilizarlas nunca. Son una pésima idea porque los seres humanos somos muy torpes para generar cadenas de texto realmente aleatorias. De hecho, para conseguir buena aleatoriedad, tendría que ser una cadena de texto tan difícil de recordar que la tuvieras que apuntar en un papel... Y la idea de la brainwallet pierde el sentido.

[majamalu]

Por lo que dices aquí y en el hilo en inglés (https://bitcointalk.org/index.php?topic=347828.0) parece que generaste tú mismo la dirección como una brainwallet. Ese ha debido ser el problema. Por mucho que pienses que tus doce dígitos son muy difíciles de adivinar, a poco que haya varias palabras comunes o alguna combinación típica, como palabra más número, no tiene nada de raro que haya tablas arco iris que tengan la clave privada de la dirección resultante de aplicar una o dos rondas de SHA-256. Puede parecer paradójico, pero seguro que si hubieras utilizado la dirección generada por blockchain.info no te habría pasado eso.

La moraleja es que hay que tener muchísimo cuidado al utilizar brainwallets; o mejor aún, no utilizarlas nunca. Son una pésima idea porque los seres humanos somos muy torpes para generar cadenas de texto realmente aleatorias. De hecho, para conseguir buena aleatoriedad, tendría que ser una cadena de texto tan difícil de recordar que la tuvieras que apuntar en un papel... Y la idea de la brainwallet pierde el sentido.

Habría que cambiar el título de este hilo: "Mucho cuidado con las brainwallets".

[Wolf Rainer]

Por lo que dices aquí y en el hilo en inglés (https://bitcointalk.org/index.php?topic=347828.0) parece que generaste tú mismo la dirección como una brainwallet. Ese ha debido ser el problema. Por mucho que pienses que tus doce dígitos son muy difíciles de adivinar, a poco que haya varias palabras comunes o alguna combinación típica, como palabra más número, no tiene nada de raro que haya tablas arco iris que tengan la clave privada de la dirección resultante de aplicar una o dos rondas de SHA-256. Puede parecer paradójico, pero seguro que si hubieras utilizado la dirección generada por blockchain.info no te habría pasado eso.

La moraleja es que hay que tener muchísimo cuidado al utilizar brainwallets; o mejor aún, no utilizarlas nunca. Son una pésima idea porque los seres humanos somos muy torpes para generar cadenas de texto realmente aleatorias. De hecho, para conseguir buena aleatoriedad, tendría que ser una cadena de texto tan difícil de recordar que la tuvieras que apuntar en un papel... Y la idea de la brainwallet pierde el sentido.

Habría que cambiar el título de este hilo: "Mucho cuidado con las brainwallets".

No usé una brainwallet, usé una contraseña compuesta de letras, números y símbolos de 12 caracteres de largo, luego la encripté con un sha256 offline una vez, a esa clave (hash) la volví a encriptar a sha256, y recién ahí generé la clave privada a partir de eso...

[Nubarius]

No usé una brainwallet, usé una contraseña compuesta de letras, números y símbolos de 12 caracteres de largo, luego la encripté con un sha256 offline una vez, a esa clave (hash) la volví a encriptar a sha256, y recién ahí generé la clave privada a partir de eso...

¿Y no es eso una brainwallet? 

[jaime]

Por lo que cuentas, más que un problema de brainwallet, va a ser lo que dice DonYo, un "bicharraco".

No puedes tener ninguna seguridad de que no fuera un backdoor, a no ser que estuvieras analizando la conexión en ese mismo momento.

[buxo]

Pues por lo que he leído me huele que un vecino espabilado se te coló en tu red.
Nunca funcioné con blockchain,pero probablemente  te robaron la cookie.

[rafaLon]

No creo que sea por usar brainwallet porque es mucha casualidad que te hayan robado justo cuando tú estabas dentro, es más probable lo que dice buxo, o que tengas un troyano y haya alguien mirando todo lo que haces.

Lo mejor es que te instales un linux para las cosas serias (o mejor dos, uno para las cosas de bitcoins, bancos, etc, y otro para trabajar), y luego si quieres te pones un Windows para jugar.

Y por supuesto olvídate de las wallet online, instálate un monedero en tu ordenador para el día a día, y usa paperwallet para los ahorros a largo plazo.

[Nubarius]

No creo que sea por usar brainwallet porque es mucha casualidad que te hayan robado justo cuando tú estabas dentro, es más probable lo que dice buxo, o que tengas un troyano y haya alguien mirando todo lo que haces.

Para robar una brainwallet no afecta para nada que el usuario esté conectado. Hay bots que rastrean constantemente estas direcciones pregeneradas cepillándose de inmediato cualquier saldo no nulo que encuentren.

Si alguien aún tiene dudas de que se trata de un caso claro de robo de brainwallet, que se fije en dos detalles fundamentales del mensaje inicial de Wolf Rainer: el hecho de que él mismo cofeccionó su dirección Bitcoin ("generada por mi a partir de un código de 12 dígitos y encryptado dos veces con sha256") y la propia dirección de destino del saldo robado. El ladrón ha utilizado para recoger el botín una dirección de vanidad que habla por sí sola.

Lamento profundamente lo que te ha pasado, Wolf, pero el problema no parece que haya sido utilizar blockchain.info ni ningún malware en tu sistema, sino el procedimiento inseguro que elegiste para crearte tú mismo una dirección.

[rafaLon]

Para robar una brainwallet no afecta para nada que el usuario esté conectado.

Precisamente por eso digo que seguramente no haya sido eso, porque se lo han robado justo justo cuando estaba conectado... si una brainwallet se puede robar en cualquier momento, ¿qué probabilidades hay de que se lo hayan hecho justo cuando estaba conectado?

Tiene que haber sido un troyano.

[Nubarius]

Para robar una brainwallet no afecta para nada que el usuario esté conectado.

Precisamente por eso digo que seguramente no haya sido eso, porque se lo han robado justo justo cuando estaba conectado... si una brainwallet se puede robar en cualquier momento, ¿qué probabilidades hay de que se lo hayan hecho justo cuando estaba conectado?

Tiene que haber sido un troyano.

Ah, disculpa. No te había entendido. Pero en el mensaje original no estaba claro que el robo hubiera ocurrido necesariamente en el momento de conectarse a blockchain.info, sino simplemente que al conectarse se había detectado el robo.

Para entender mejor la situación, acabo de consultar la información pública de blockchain.info (https://blockchain.info/es/address/19JsLFDRxuTsAjapE79FgoVNdNdB2hNU5M) y el robo ocurrió apenas dos segundos después de que llegaran bitcoins por primera vez a esa dirección. Los 0,3689 bitcoins llegaron a 19JsLFDRxuTsAjapE79FgoVNdNdB2hNU5M ayer a las 16:53:20 y a las 16:53:22 ya había una nueva transferencia enviándolos a 1brain7kAZxPagLt2HRLxqyc3VgGSa1GR. Esto respalda también la idea de que se trata de un robo de una brainwallet insegura.

[buxo]

NUNCA debe utilizarse la brainwallet.Hay miles de equipos dedicándose a la minería de la blockchain.
No penséis que por poner una frase de 10 palabras estáis seguros,sobre todo si tiene algún significado (letras de musica,formulas,etc..).

[coinpr0n]

Habría que cambiar el título de este hilo: "Mucho cuidado con las brainwallets".

+1 y las buenas prácticas de seguridad (como 2FA) evitan en gran parte estos problemas.