Alertas Mercado y Economía Bitcoin

[dserrano5]

Quien genera un brainwallet en offline a partir de sha256("hola") y lo imprime, no puede decir que su wallet ha sido comprometido. Sin embargo tan pronto envía coins, plof… Y esto mismito es lo que ha pasado, criptografía caca, privkeys pescables.

[fernarios]

Igual ellos dicen que sólo afectó a unos cuantos cientos de direcciones, que fueron creadas entre las 0:00 y las 2:30 del 8 de diciembre, y que repondrán las monedas de los afectados...

Uno nunca debería usar software en línea para crear direcciones, en cualquier momento cualquier administrador corrupto o idiota podría generar ésta clase de dramas...

[aTg]

Quien genera un brainwallet en offline a partir de sha256("hola") y lo imprime, no puede decir que su wallet ha sido comprometido. Sin embargo tan pronto envía coins, plof… Y esto mismito es lo que ha pasado, criptografía caca, privkeys pescables.

Ergo a sido comprometida finalmente, no entiendo porque hay que discutir esto, es mil veces mejor que la gente desconfíe de blockchain a que una sola persona pierda sus monedas por minimizar la situación. Blockchain.info no forma parte de Bitcoin que les de por c...

Yo creo que todos abríamos agradecido que tampoco se minimizaran alertas que saltaban antes de cerrar MtGox por ejemplo como tantísimos otros casos, hoy son unas pocas claves privadas generadas en una franja horaria, mañana quien sabe.

[erizo]

Igual ellos dicen que sólo afectó a unos cuantos cientos de direcciones, que fueron creadas entre las 0:00 y las 2:30 del 8 de diciembre, y que repondrán las monedas de los afectados...

Uno nunca debería usar software en línea para crear direcciones, en cualquier momento cualquier administrador corrupto o idiota podría generar ésta clase de dramas...

No me parece un problema grave, y tampoco achacable exclusivamente al software en línea. ¿Y el problema que tuvo la versión del Cliente QR 0.9.0, por ejemplo?

Si los de Blockchain sacaron una nueva versión del código que crea las claves privadas, y éste tenía un problema, eso puede ocurrir con cualquier tipo de software, en línea o de escritorio, lo que además, como decía antes, es algo que ya hemos visto, el cliente QR 0.9.0 estaba afectado por el problema de SSL Heartbleed

¿Y si los desarrolladores nos envían otra versión QR con problemas, lo dejamos de usar definitivamente?. Es lo mismo, exactamente.

Por otra parte esas claves privadas no están a disposición de ningún administrador, se generan mediante código Java en el navegador del usuario, de modo que nadie más tiene conocimiento de las mismas.

Empleando blockchain.info y observando algunas precauciones como hacer copias periódicas de las Wallet, borrar las copias del correo, usar dos factoresde autenticación y teniendo a mano un monedero como Multibit -por si las caídas- personalmente me parece una forma razonablemente segura de trabajar.

En lo que se refiere a la sacada de blockchain.info del software recomendado por Bitcoin.org, ahí hay más política que análisis técnico.

[fernarios]

eso puede ocurrir con cualquier tipo de software, en línea o de escritorio, lo que además, como decía antes, es algo que ya hemos visto.

Por eso yo no actualizo mi wallet de escritorio hasta que las nuevas versiones estén bien probadas y auditadas de forma independiente por miles de usuarios y cientos o miles de desarrolladores (si tengo muchas ganas de probar alguna nueva característica lo hago en un entorno separado donde no arriesgo recursos importantes).

Por otra parte esas claves privadas no están a disposición de ningún administrador, se generan mediante código Java en el navegador del usuario, de modo que nadie más tiene conocimiento de las mismas.

Esto es "cierto", hasta que un administrador corrupto añade una línea de código y envía la llave privada (o las semillas generadoras de la llave) a algún servidor en Nigeria. Si quieres estar seguro de blockchain.info, tendrías que leer el código cada vez que entras a generar una dirección, pues el código es bajado cada vez que visitas el sitio y tu no tienes consciencia de los cambios que han hecho. A menos que uses una versión off-line del software de blockchain.info ya bastante testeada y auditada por muchos usuarios y desarrolladores, esto es perfectamente válido, pero eso ya no sería "software en linea" que era a lo que yo me refería como peligroso.

[erizo]

eso puede ocurrir con cualquier tipo de software, en línea o de escritorio, lo que además, como decía antes, es algo que ya hemos visto.

Por eso yo no actualizo mi wallet de escritorio hasta que las nuevas versiones estén bien probadas y auditadas de forma independiente por miles de usuarios y cientos o miles de desarrolladores (si tengo muchas ganas de probar alguna nueva característica lo hago en un entorno separado donde no arriesgo recursos importantes).

Por otra parte esas claves privadas no están a disposición de ningún administrador, se generan mediante código Java en el navegador del usuario, de modo que nadie más tiene conocimiento de las mismas.

Esto es "cierto", hasta que un administrador corrupto añade una línea de código y envía la llave privada (o las semillas generadoras de la llave) a algún servidor en Nigeria. Si quieres estar seguro de blockchain.info, tendrías que leer el código cada vez que entras a generar una dirección, pues el código es bajado cada vez que visitas el sitio y tu no tienes consciencia de los cambios que han hecho. A menos que uses una versión off-line del software de blockchain.info ya bastante testeada y auditada por muchos usuarios y desarrolladores, esto es perfectamente válido, pero eso ya no sería "software en linea" que era a lo que yo me refería como peligroso.

Hombre, en teoría sí que podría pasar, que algún administrador malicioso metiese ese código, pero para enviar a Nigeria, o a donde sea, algo desde tu navegador entiendo que el código debería tener o solicitar permisos, de manera que el proceso no sería completamente transparente para el usuario y teniendo en el equipo un nivel de seguridad adecuado no sería tan peligroso, pero desde luego eso sí que sería un problema de seguridad serio, como para poner el grito en el cielo, pero no me parece que sea lo que ha ocurrido con Blockchain.

[fernarios]

Hombre, en teoría sí que podría pasar, que algún administrador malicioso metiese ese código, pero para enviar a Nigeria, o a donde sea, algo desde tu navegador entiendo que el código debería tener o solicitar permisos, de manera que el proceso no sería completamente transparente para el usuario y teniendo en el equipo un nivel de seguridad adecuado no sería tan peligroso, pero desde luego eso sí que sería un problema de seguridad serio, como para poner el grito en el cielo, pero no me parece que sea lo que ha ocurrido con Blockchain.

No necesitas ningún tipo de permiso ni alertar al usuario de ninguna manera para abrir un websocket en javascript, ni para enviar un email, ni para enviar un formulario, en fin. Claro que no es lo que ha sucedido el 8 de diciembre, yo no dije eso, pero podría suceder, ese es el punto, ¿por qué arriesgarse?, lo que sí ha ocurrido esta vez es un error estúpido que se sale de tu control, y en cuanto a mi dinero se refiere, prefiero tener el control y lidiar sólo con mis propias estupideces.

[LKABSVERIGE]

Ergo a sido comprometida finalmente, no entiendo porque hay que discutir esto, es mil veces mejor que la gente desconfíe de blockchain a que una sola persona pierda sus monedas por minimizar la situación. Blockchain.info no forma parte de Bitcoin que les de por c...

Yo creo que todos abríamos agradecido que tampoco se minimizaran alertas que saltaban antes de cerrar MtGox por ejemplo como tantísimos otros casos, hoy son unas pocas claves privadas generadas en una franja horaria, mañana quien sabe.

Siento ser paternalista ya que la cosa va de economía descentralizada, libertad y tal, pero coincido contigo en que mas vale prevenir que curar, y si este tipo de avisos ayudan a que la gente ande con pies de plomo, bienvenidos sean, yo los agradezco y mucho.

Así es que gracias.

Saludos.

 

[erizo]

Si hombre, está bien alertarse, hay que ser consciente de por donde cojea cada cosa, para que cada cual determine el balance entre riesgo y facilidad de operación que más le convenga, pero tampoco hacen falta alarmas maximalistas ante cada tropiezo. Aunque nunca debe subestimarse la estupidez humana, se me hace muy dificil creer que una sola persona pueda incluir código malicioso en el javascript de Blockchain.info, para enviar datos, más allá de generar mal una clave,supongo que desplegar una nueva versión será cosa de un equipo, digo yo.

[aTg]

erizo me gustaría ver si escribirías lo mismo después de robarte 225 Bitcoins, a ver si te parecería un tropiezo palmar 78mil $

[dserrano5]

Por eso yo no actualizo mi wallet de escritorio hasta que las nuevas versiones estén bien probadas y auditadas de forma independiente por miles de usuarios y cientos o miles de desarrolladores

Esto está muy bien pero si lo hiciera todo el mundo, nadie avanzaría esperando por los demás.

[fernarios]

Esto está muy bien pero si lo hiciera todo el mundo, nadie avanzaría esperando por los demás.

xP eso es cierto, pero mejor que los demás tomen el riesgo xD, si yo tuviese tiempo de leer y evaluar cada aspecto de cada cambio en cada release.... sería el primero . Pero igual nunca voy a tener que "actualizar el software" de las wallets de papel, así que lo que tengo que proteger de un posible código malicioso en realidad no es la gran cosa....

[erizo]

erizo me gustaría ver si escribirías lo mismo después de robarte 225 Bitcoins, a ver si te parecería un tropiezo palmar 78mil $

No es para tanto, era un hacker bueno, devolvió los 225, sólo para avisar de la vulnerabilidad, y blockchain dice que devolverá las cantidades que puedan haberse sustraido a causa de su incompetencia, o al menos es lo mínimo que cabe esperar.

[jordixal]

Alucino, me decís que hay personas que buscan estrofas de canciones o frases de libros,etc y utilizan eso como dirección privada y a partir de ahí sacan la dirección bitcon pública, entonces luego se dedican a buscar transacciones en la cadena de bloques con esa dirección y cuándo encuentran movimin¡ento, zasca! En este caso parece ser que ha sido algo relacionado con generación de números aleatorios no?

[dserrano5]

Alucino, me decís que hay personas que buscan estrofas de canciones o frases de libros,etc y utilizan eso como dirección privada y a partir de ahí sacan la dirección bitcon pública, entonces luego se dedican a buscar transacciones en la cadena de bloques con esa dirección y cuándo encuentran movimin¡ento, zasca!

Sí, de toda la vida. Cualquier cosa que esté en internet o en libros no sirve.

Venga, vamos a volver a alertas .

[vgo]

Seguimos aquí que tenemos un caso del compañero vicemi, https://bitcointalk.org/index.php?topic=288179.msg9798245#msg9798245

Gracias.

[fernarios]

¿Alguien sabe qué diablos pasa?, es como otro microsoft pero sin microsoft... .

[segaklon]

¿Alguien sabe qué diablos pasa?, es como otro microsoft pero sin microsoft... .

+1 vaya tela , no acabo de hacer un movimiento que merezca la pena , al final voy a ser yo quien tiene quemado esto. 

[majamalu]

¿Alguien sabe qué diablos pasa?, es como otro microsoft pero sin microsoft... .

¿Trading en base a información privilegiada? De ser el caso, lo sabremos muy pronto.

[BitAddict]

En mi opinión, simplemente ha sido técnico. El precio estaba fuertemente comprimido en una zona de mucha resistencia y soporte, por lo que en cuanto ha roto la resistencia del canal bajista de las dos últimas semanas han saltado todos los stops, traders han empezado a cerrar sus posiciones bajistas mientras otros abrían posiciones alcistas.
A eso le añades el apalancamiento y la falta de liquidez, y ya tienes una fiesta montada en unos minutos.