Bitcoin Forum
November 09, 2024, 11:43:43 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 [30] 31 32 33 34 35 36 37 38 39 40 41 »
  Print  
Author Topic: Alertas Mercado y Economía Bitcoin  (Read 718480 times)
dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
December 10, 2014, 12:11:45 PM
 #581

Quien genera un brainwallet en offline a partir de sha256("hola") y lo imprime, no puede decir que su wallet ha sido comprometido. Sin embargo tan pronto envía coins, plof… Y esto mismito es lo que ha pasado, criptografía caca, privkeys pescables.
fernarios
Hero Member
*****
Offline Offline

Activity: 616
Merit: 501



View Profile
December 10, 2014, 12:40:45 PM
 #582

Igual ellos dicen que sólo afectó a unos cuantos cientos de direcciones, que fueron creadas entre las 0:00 y las 2:30 del 8 de diciembre, y que repondrán las monedas de los afectados...

Uno nunca debería usar software en línea para crear direcciones, en cualquier momento cualquier administrador corrupto o idiota podría generar ésta clase de dramas...
aTg
Legendary
*
Offline Offline

Activity: 1358
Merit: 1000



View Profile
December 10, 2014, 02:05:54 PM
 #583

Quien genera un brainwallet en offline a partir de sha256("hola") y lo imprime, no puede decir que su wallet ha sido comprometido. Sin embargo tan pronto envía coins, plof… Y esto mismito es lo que ha pasado, criptografía caca, privkeys pescables.

Ergo a sido comprometida finalmente, no entiendo porque hay que discutir esto, es mil veces mejor que la gente desconfíe de blockchain a que una sola persona pierda sus monedas por minimizar la situación. Blockchain.info no forma parte de Bitcoin que les de por c...

Yo creo que todos abríamos agradecido que tampoco se minimizaran alertas que saltaban antes de cerrar MtGox por ejemplo como tantísimos otros casos, hoy son unas pocas claves privadas generadas en una franja horaria, mañana quien sabe.
erizo
Sr. Member
****
Offline Offline

Activity: 320
Merit: 250



View Profile
December 10, 2014, 03:13:19 PM
Last edit: December 10, 2014, 03:26:20 PM by erizo
 #584

Igual ellos dicen que sólo afectó a unos cuantos cientos de direcciones, que fueron creadas entre las 0:00 y las 2:30 del 8 de diciembre, y que repondrán las monedas de los afectados...

Uno nunca debería usar software en línea para crear direcciones, en cualquier momento cualquier administrador corrupto o idiota podría generar ésta clase de dramas...


No me parece un problema grave, y tampoco achacable exclusivamente al software en línea. ¿Y el problema que tuvo la versión del Cliente QR 0.9.0, por ejemplo?

Si los de Blockchain sacaron una nueva versión del código que crea las claves privadas, y éste tenía un problema, eso puede ocurrir con cualquier tipo de software, en línea o de escritorio, lo que además, como decía antes, es algo que ya hemos visto, el cliente QR 0.9.0 estaba afectado por el problema de SSL Heartbleed

¿Y si los desarrolladores nos envían otra versión QR con problemas, lo dejamos de usar definitivamente?. Es lo mismo, exactamente.

Por otra parte esas claves privadas no están a disposición de ningún administrador, se generan mediante código Java en el navegador del usuario, de modo que nadie más tiene conocimiento de las mismas.

Empleando blockchain.info y observando algunas precauciones como hacer copias periódicas de las Wallet, borrar las copias del correo, usar dos factoresde autenticación y teniendo a mano un monedero como Multibit -por si las caídas- personalmente me parece una forma razonablemente segura de trabajar.

En lo que se refiere a la sacada de blockchain.info del software recomendado por Bitcoin.org, ahí hay más política que análisis técnico.
fernarios
Hero Member
*****
Offline Offline

Activity: 616
Merit: 501



View Profile
December 10, 2014, 03:29:41 PM
 #585

eso puede ocurrir con cualquier tipo de software, en línea o de escritorio, lo que además, como decía antes, es algo que ya hemos visto.
Por eso yo no actualizo mi wallet de escritorio hasta que las nuevas versiones estén bien probadas y auditadas de forma independiente por miles de usuarios y cientos o miles de desarrolladores (si tengo muchas ganas de probar alguna nueva característica lo hago en un entorno separado donde no arriesgo recursos importantes).

Por otra parte esas claves privadas no están a disposición de ningún administrador, se generan mediante código Java en el navegador del usuario, de modo que nadie más tiene conocimiento de las mismas.

Esto es "cierto", hasta que un administrador corrupto añade una línea de código y envía la llave privada (o las semillas generadoras de la llave) a algún servidor en Nigeria. Si quieres estar seguro de blockchain.info, tendrías que leer el código cada vez que entras a generar una dirección, pues el código es bajado cada vez que visitas el sitio y tu no tienes consciencia de los cambios que han hecho. A menos que uses una versión off-line del software de blockchain.info ya bastante testeada y auditada por muchos usuarios y desarrolladores, esto es perfectamente válido, pero eso ya no sería "software en linea" que era a lo que yo me refería como peligroso.
erizo
Sr. Member
****
Offline Offline

Activity: 320
Merit: 250



View Profile
December 10, 2014, 04:23:37 PM
 #586

eso puede ocurrir con cualquier tipo de software, en línea o de escritorio, lo que además, como decía antes, es algo que ya hemos visto.
Por eso yo no actualizo mi wallet de escritorio hasta que las nuevas versiones estén bien probadas y auditadas de forma independiente por miles de usuarios y cientos o miles de desarrolladores (si tengo muchas ganas de probar alguna nueva característica lo hago en un entorno separado donde no arriesgo recursos importantes).

Por otra parte esas claves privadas no están a disposición de ningún administrador, se generan mediante código Java en el navegador del usuario, de modo que nadie más tiene conocimiento de las mismas.

Esto es "cierto", hasta que un administrador corrupto añade una línea de código y envía la llave privada (o las semillas generadoras de la llave) a algún servidor en Nigeria. Si quieres estar seguro de blockchain.info, tendrías que leer el código cada vez que entras a generar una dirección, pues el código es bajado cada vez que visitas el sitio y tu no tienes consciencia de los cambios que han hecho. A menos que uses una versión off-line del software de blockchain.info ya bastante testeada y auditada por muchos usuarios y desarrolladores, esto es perfectamente válido, pero eso ya no sería "software en linea" que era a lo que yo me refería como peligroso.


Hombre, en teoría sí que podría pasar, que algún administrador malicioso metiese ese código, pero para enviar a Nigeria, o a donde sea, algo desde tu navegador entiendo que el código debería tener o solicitar permisos, de manera que el proceso no sería completamente transparente para el usuario y teniendo en el equipo un nivel de seguridad adecuado no sería tan peligroso, pero desde luego eso sí que sería un problema de seguridad serio, como para poner el grito en el cielo, pero no me parece que sea lo que ha ocurrido con Blockchain.

fernarios
Hero Member
*****
Offline Offline

Activity: 616
Merit: 501



View Profile
December 10, 2014, 04:47:09 PM
 #587

Hombre, en teoría sí que podría pasar, que algún administrador malicioso metiese ese código, pero para enviar a Nigeria, o a donde sea, algo desde tu navegador entiendo que el código debería tener o solicitar permisos, de manera que el proceso no sería completamente transparente para el usuario y teniendo en el equipo un nivel de seguridad adecuado no sería tan peligroso, pero desde luego eso sí que sería un problema de seguridad serio, como para poner el grito en el cielo, pero no me parece que sea lo que ha ocurrido con Blockchain.

No necesitas ningún tipo de permiso ni alertar al usuario de ninguna manera para abrir un websocket en javascript, ni para enviar un email, ni para enviar un formulario, en fin. Claro que no es lo que ha sucedido el 8 de diciembre, yo no dije eso, pero podría suceder, ese es el punto, ¿por qué arriesgarse?, lo que sí ha ocurrido esta vez es un error estúpido que se sale de tu control, y en cuanto a mi dinero se refiere, prefiero tener el control y lidiar sólo con mis propias estupideces.
LKABSVERIGE
Hero Member
*****
Offline Offline

Activity: 924
Merit: 503



View Profile
December 10, 2014, 06:25:38 PM
 #588

Ergo a sido comprometida finalmente, no entiendo porque hay que discutir esto, es mil veces mejor que la gente desconfíe de blockchain a que una sola persona pierda sus monedas por minimizar la situación. Blockchain.info no forma parte de Bitcoin que les de por c...

Yo creo que todos abríamos agradecido que tampoco se minimizaran alertas que saltaban antes de cerrar MtGox por ejemplo como tantísimos otros casos, hoy son unas pocas claves privadas generadas en una franja horaria, mañana quien sabe.

Siento ser paternalista ya que la cosa va de economía descentralizada, libertad y tal, pero coincido contigo en que mas vale prevenir que curar, y si este tipo de avisos ayudan a que la gente ande con pies de plomo, bienvenidos sean, yo los agradezco y mucho.

Así es que gracias.

Saludos.

 Grin Grin Grin Grin Grin Grin Grin
erizo
Sr. Member
****
Offline Offline

Activity: 320
Merit: 250



View Profile
December 10, 2014, 07:37:12 PM
 #589

Si hombre, está bien alertarse, hay que ser consciente de por donde cojea cada cosa, para que cada cual determine el balance entre riesgo y facilidad de operación que más le convenga, pero tampoco hacen falta alarmas maximalistas ante cada tropiezo. Aunque nunca debe subestimarse la estupidez humana, se me hace muy dificil creer que una sola persona pueda incluir código malicioso en el javascript de Blockchain.info, para enviar datos, más allá de generar mal una clave,supongo que desplegar una nueva versión será cosa de un equipo, digo yo.
aTg
Legendary
*
Offline Offline

Activity: 1358
Merit: 1000



View Profile
December 10, 2014, 07:48:47 PM
 #590

erizo me gustaría ver si escribirías lo mismo después de robarte 225 Bitcoins, a ver si te parecería un tropiezo palmar 78mil $
dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
December 10, 2014, 08:11:23 PM
 #591

Por eso yo no actualizo mi wallet de escritorio hasta que las nuevas versiones estén bien probadas y auditadas de forma independiente por miles de usuarios y cientos o miles de desarrolladores

Esto está muy bien pero si lo hiciera todo el mundo, nadie avanzaría esperando por los demás.
fernarios
Hero Member
*****
Offline Offline

Activity: 616
Merit: 501



View Profile
December 10, 2014, 08:25:51 PM
 #592

Esto está muy bien pero si lo hiciera todo el mundo, nadie avanzaría esperando por los demás.

xP eso es cierto, pero mejor que los demás tomen el riesgo xD, si yo tuviese tiempo de leer y evaluar cada aspecto de cada cambio en cada release.... sería el primero Tongue . Pero igual nunca voy a tener que "actualizar el software" de las wallets de papel, así que lo que tengo que proteger de un posible código malicioso en realidad no es la gran cosa....
erizo
Sr. Member
****
Offline Offline

Activity: 320
Merit: 250



View Profile
December 10, 2014, 09:21:14 PM
 #593

erizo me gustaría ver si escribirías lo mismo después de robarte 225 Bitcoins, a ver si te parecería un tropiezo palmar 78mil $
No es para tanto, era un hacker bueno, devolvió los 225, sólo para avisar de la vulnerabilidad, y blockchain dice que devolverá las cantidades que puedan haberse sustraido a causa de su incompetencia, o al menos es lo mínimo que cabe esperar.
jordixal
Full Member
***
Offline Offline

Activity: 221
Merit: 100

Bitcoin lover


View Profile
December 11, 2014, 08:39:52 AM
 #594

Alucino, me decís que hay personas que buscan estrofas de canciones o frases de libros,etc y utilizan eso como dirección privada y a partir de ahí sacan la dirección bitcon pública, entonces luego se dedican a buscar transacciones en la cadena de bloques con esa dirección y cuándo encuentran movimin¡ento, zasca! En este caso parece ser que ha sido algo relacionado con generación de números aleatorios no?

dserrano5
Legendary
*
Offline Offline

Activity: 1974
Merit: 1029



View Profile
December 11, 2014, 08:42:01 AM
 #595

Alucino, me decís que hay personas que buscan estrofas de canciones o frases de libros,etc y utilizan eso como dirección privada y a partir de ahí sacan la dirección bitcon pública, entonces luego se dedican a buscar transacciones en la cadena de bloques con esa dirección y cuándo encuentran movimin¡ento, zasca!

Sí, de toda la vida. Cualquier cosa que esté en internet o en libros no sirve.

Venga, vamos a volver a alertas Wink.
vgo
Legendary
*
Offline Offline

Activity: 2072
Merit: 1019



View Profile
December 11, 2014, 08:46:22 AM
 #596

Seguimos aquí que tenemos un caso del compañero vicemi, https://bitcointalk.org/index.php?topic=288179.msg9798245#msg9798245

Gracias.
fernarios
Hero Member
*****
Offline Offline

Activity: 616
Merit: 501



View Profile
December 22, 2014, 06:53:03 AM
 #597

¿Alguien sabe qué diablos pasa?, es como otro microsoft pero sin microsoft... Huh.
segaklon
Sr. Member
****
Offline Offline

Activity: 246
Merit: 250


View Profile
December 22, 2014, 07:04:51 AM
 #598

¿Alguien sabe qué diablos pasa?, es como otro microsoft pero sin microsoft... Huh.

+1 vaya tela , no acabo de hacer un movimiento que merezca la pena , al final voy a ser yo quien tiene quemado esto.  Huh
majamalu
Legendary
*
Offline Offline

Activity: 1652
Merit: 1000



View Profile WWW
December 22, 2014, 09:07:05 AM
 #599

¿Alguien sabe qué diablos pasa?, es como otro microsoft pero sin microsoft... Huh.

¿Trading en base a información privilegiada? De ser el caso, lo sabremos muy pronto.

http://elbitcoin.org - Bitcoin en español
http://mercadobitcoin.com - MercadoBitcoin
BitAddict
Legendary
*
Offline Offline

Activity: 1190
Merit: 1001



View Profile
December 22, 2014, 12:30:48 PM
 #600

En mi opinión, simplemente ha sido técnico. El precio estaba fuertemente comprimido en una zona de mucha resistencia y soporte, por lo que en cuanto ha roto la resistencia del canal bajista de las dos últimas semanas han saltado todos los stops, traders han empezado a cerrar sus posiciones bajistas mientras otros abrían posiciones alcistas.
A eso le añades el apalancamiento y la falta de liquidez, y ya tienes una fiesta montada en unos minutos.  Grin

Pages: « 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 [30] 31 32 33 34 35 36 37 38 39 40 41 »
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!