Encore un hack : Bitpoint

[kenzawak]

C'est un exchange japonais. Il y en a pour 32 millions de dollars apparemment.

https://www.coindesk.com/japanese-exchange-bitpoint-hacked-by-32-million-worth-in-cryptocurrencies

[galaxiekyl]

woh c'est dingue cette anneé est un record j'ai l'impression, de toute façon le vent tourne pour les échanges centralisé, l'avenir est au dex et au swaping grace aux cross chain, 0 frais de transac ou tres peu pour payer les frais de réseaux.  

[asche]

En revanche ils se sont fait uniquement niquer leurs hot wallets.

Leurs fonds stockés sur cold wallet sont complètement safe. Je pense que ça ne devrait pas impacter leur fonctionnement.

@Saint-Loup, pourquoi bitcoin a pas perdu 2k suite à cette news ? Je ne pige pas. Entre ça et trump il aurait du tomber a 8k pour permettre a plaplaplatu de racheter.

[TheWolf666]

Je comprends pas comment c'est possible.
Par exemple pourquoi les exchanges n'utilisent pas des wallets modifié qui ne peuvent pas être accédé sans ajouter un mot de passe lors de chaque transaction, ce hash code étant envoyé par le site web.
Cela bloquerait les hacks de ceux qui s'introduisent en root sur la machine et qui vident le wallet en utilisant la ligne de commande.
De plus pourquoi ils bloquent pas les wallet pour limiter les transactions a par exemple 10 BTC, et si une transaction est >10 BTC alors, elle doit être approuvée manuellement?
C'est pas compliqué a faire, les exchanges ont des resources pour payer des développeurs.

[baba0000000000]

C'est beau de rêver

Je relus 3 fois ton commentaire pour être sure.
Un transaction bloqué à 10 BTC, ça veux dire que tu peux en faire 9000 à 9.99 BTC ? ---> problème non résolue.

Si tu es en root sur le sytème c'est que tu as accès à toute la machine et donc tu peux arrête l'envoie de MDP, ou autre.
Tu t'envois les MDP ou tu veux un fois que tu as l'accès root

 

[asche]

Je comprends pas comment c'est possible.
Par exemple pourquoi les exchanges n'utilisent pas des wallets modifié qui ne peuvent pas être accédé sans ajouter un mot de passe lors de chaque transaction, ce hash code étant envoyé par le site web.
Cela bloquerait les hacks de ceux qui s'introduisent en root sur la machine et qui vident le wallet en utilisant la ligne de commande.
De plus pourquoi ils bloquent pas les wallet pour limiter les transactions a par exemple 10 BTC, et si une transaction est >10 BTC alors, elle doit être approuvée manuellement?
C'est pas compliqué a faire, les exchanges ont des resources pour payer des développeurs.

Ahaha t'as rien compris à la blockchain je crois, ce n'est pas une banque.

Si tu as la clé privée tu peux l'utiliser avec n'importe quel wallet hein et faire ce que tu veux des fonds.

[TheWolf666]

Le sujet est le hack d'une exchange.

Ces Hackers n'ont pas la clef privée de BTC ou Litecoin... ils ont hacké en utilisant les wallets installés. Il faut lire l'article et l'explication de ce qui c'est passé.
Je ne vois pas l’intérêt de me troller basé sur le fait de ne pas connaitre le sujet, ni comprendre ma réponse.

Donc je répéte, bitcoin limite a 210000 BTC les transaction par default. Je ne comprends pas que les exchanges, pour empêcher les hackers de leur voler leur hot wallet ne changent pas ce chiffre a quelque chose de plus restrictif, en faisant des wallets qui ont des fonctionnalités spécifiques pour empêcher ce type de hacks.

Je comprends pas comment c'est possible.
Par exemple pourquoi les exchanges n'utilisent pas des wallets modifié qui ne peuvent pas être accédé sans ajouter un mot de passe lors de chaque transaction, ce hash code étant envoyé par le site web.
Cela bloquerait les hacks de ceux qui s'introduisent en root sur la machine et qui vident le wallet en utilisant la ligne de commande.
De plus pourquoi ils bloquent pas les wallet pour limiter les transactions a par exemple 10 BTC, et si une transaction est >10 BTC alors, elle doit être approuvée manuellement?
C'est pas compliqué a faire, les exchanges ont des resources pour payer des développeurs.

Ahaha t'as rien compris à la blockchain je crois, ce n'est pas une banque.

Si tu as la clé privée tu peux l'utiliser avec n'importe quel wallet hein et faire ce que tu veux des fonds.

[asche]

Le sujet est le hack d'une exchange.

Ces Hackers n'ont pas la clef privée de BTC ou Litecoin... ils ont hacké en utilisant les wallets installés. Il faut lire l'article et l'explication de ce qui c'est passé.
Je ne vois pas l’intérêt de me troller basé sur le fait de ne pas connaitre le sujet, ni comprendre ma réponse.

Parce que tu crois tout ce que disent les articles ? Sérieusement ? Vu le niveau de la presse crypto je préfère m'en tenir aux communiqués officiels. Et il est clair que pour des raisons de sécurité, là encore, tout n'est pas dit.

Si les serveurs de l'échange sont capable de générer des transactions c'est qu'ils ont accès à la clé privée. Un hack de l'échange peut donc passer par le contrôle des clés privées, cf cryptopia par exemple.

Et encore une fois, quand bien même ce serait limité, il suffit de fair X transactions au lieu de 1.

[TheWolf666]

Il est très facile de recompiler le wallet BTC et changer la limite des transactions de 210000 a 10 et ajouter une alerte (par exemple appeler un script pour lancer une alerte). Si une transaction est supérieure a 10 BTC alors l'exchange passerait la transaction manuellement.
Les Hacks en question sont toujours les memes.
Des hackers s'introduisent sur la machine qui hébergé les Wallet et ils utilisent la ligne de commande pour vider les wallets en envoyant le contenu sur leur adresse.

Donc limiter la taille des transaction sortantes, dans le wallet, empêcherait ces hacks.

C'est beau de rêver

Je relus 3 fois ton commentaire pour être sure.
Un transaction bloqué à 10 BTC, ça veux dire que tu peux en faire 9000 à 9.99 BTC ? ---> problème non résolue.

Si tu es en root sur le sytème c'est que tu as accès à toute la machine et donc tu peux arrête l'envoie de MDP, ou autre.
Tu t'envois les MDP ou tu veux un fois que tu as l'accès root

 

[baba0000000000]

@ TheWolf666  et trouve une réponse au poste d'Asche, bon courage.

Et tu limites 1 transaction par jour comme ça tu es sure

[TheWolf666]

Tu ne comprends pas comment cela marche. Tu n'as pas besoin de la clef privée pour envoyer de l'argent avec un wallet.

Les exchanges ont tous les wallets des monnaies qu'ils exchangent qui sont disponibles par RPC.
Donc ces wallets ne sont pas protégés par un mot de passe, car les transactions sont crées par des scripts.

Ces hot wallet sont accessible par n'importe qui loggé en root, et il est possible de vider les wallets comme tu enverrais a partir d'un wallet bitcoin standard, qui n'est pas encrypté.

C'est comme cela que les hackers font. Personne n'a la clef privée des monnaies volées sur cette exchange...
Tout le monde sait qu'il faut les private keys pour changer la blockchain, mais c'est pas ce qui se passe dans ce cas.

Ces exchanges ont des hackers qui s'introduisent sur l'ordinateur qui héberge les hot wallets qui ne peuvent pas être protegés ni encryptés, en utilise le wallet qui tourne pour envoyer le contenu sur leur adresse. Voila tout.

Donc je reviens a mes suggestions de faire des wallets spécifiques aux exchanges et qui empêchent des transactions trop importantes de s’exécuter, et si une transaction trop importante arrive, alors elle doit être vérifiée par une personne pour éviter les fraudes.

Le sujet est le hack d'une exchange.

Ces Hackers n'ont pas la clef privée de BTC ou Litecoin... ils ont hacké en utilisant les wallets installés. Il faut lire l'article et l'explication de ce qui c'est passé.
Je ne vois pas l’intérêt de me troller basé sur le fait de ne pas connaitre le sujet, ni comprendre ma réponse.

Parce que tu crois tout ce que disent les articles ? Sérieusement ? Vu le niveau de la presse crypto je préfère m'en tenir aux communiqués officiels. Et il est clair que pour des raisons de sécurité, là encore, tout n'est pas dit.

Si les serveurs de l'échange sont capable de générer des transactions c'est qu'ils ont accès à la clé privée. Un hack de l'échange peut donc passer par le contrôle des clés privées, cf cryptopia par exemple.

Et encore une fois, quand bien même ce serait limité, il suffit de fair X transactions au lieu de 1.

[asche]

Renseigne toi sur le hack cryptopia par exemple où les hackeurs avaient bien accès aux clé privées.

Comme tu le dis les transactions sont générées via API ou RPC, et le wallet, sa clé privée sont sur un autre serveur, qui est tout autant hackable que le serveur où se situe le site web.

Mais je comprends rien

[TheWolf666]

On ne parle pas de la meme clef privé. Chaque transaction a une clef privée et publique.
Et les wallets encrypté ont eux aussi une clef privée et publique.

Je parlais de la clef privée de la blockchain, que personne n'a.
Ca m’intéresse  d'avoir le lien qui parle de clef privée car le communiqué officiel une fois traduit ne parle pas de ce genre de detail: https://www.release.tdnet.info/inbs/140120190712471249.pdf

Ce que j'explique c'est par mon experience. Les hackers n'ont pas besoin de clef pour transférer l'argent. Les exchanges ont ce point faible d'avoir des wallets non protégés pour faire les transactions immédiates et rapides.
ils vident régulièrement ces "hot wallets" vers des "cold wallets" qui sont eux protégé et pas connecté a l'Internet. Dans leur communiqué ils expliquent bien que seuls leurs "hot wallets" ont été vidé.

Ce qui m’étonne c'est que ces hack arrivent régulièrement, et que personne ne fait des hot wallet qui limitent les transactions, pour éviter que 300 Millions sortent d'un coup.
Etant Bitcoin dev, c'est très simple de limiter la taille des transactions et de recompiler le wallet.

Si cette exchange le voulait, ils pourraient embaucher un type qui s'y connait et donc limiter les sorties a par exemple 10 BTC. Et si une transaction importante arrive recevoir une alerte pour que la transaction soit faite manuellement après verification qu'elle vient d'un client de l'exchange.

Dans le cas de cette exchange, les wallets ont été vidés par des hackers, donc pas de traçabilité et certainement pas des clients de l'exchange. C'est dingue que manipulant autant d'argent, ils laissent les wallets ouvert avec la possibilité de vider le contenu du wallet. Meme avec une clef privé si tu limites la taille des transactions alors tu limites les pertes possible. Une limite a 10 BTC aurait sauvé beaucoup d'argent.

 

Renseigne toi sur le hack cryptopia par exemple où les hackeurs avaient bien accès aux clé privées.

Comme tu le dis les transactions sont générées via API ou RPC, et le wallet, sa clé privée sont sur un autre serveur, qui est tout autant hackable que le serveur où se situe le site web.

Mais je comprends rien

[asche]

On ne parle pas de la meme clef privé. Chaque transaction a une clef privée et publique.

Non.

Et les wallets encrypté ont eux aussi une clef privée et publique.

Déjà on dit chiffré, ensuite ils ont une passphrashe, qui permet de dechiffrer la clé privée de la blockchain.

Je parlais de la clef privée de la blockchain, que personne n'a.

Sans cette clé privée impossible de signer une transaction.

ils vident ces "hot wallets" vers des "cold wallets" qui sont eux protégé régulièrement. Dans leur communiqué ils expliquent bien que seuls leurs "hot wallets" ont été vidé.

Hot wallet veut dire que justement la clé privée est "on line" et accessible.

[TheWolf666]

Tu te rends comptes que tu ne comprends rien en crypto? Et t'essaye de me donner des leçons?

Déjà on dit chiffré, ensuite ils ont une passphrashe, qui permet de dechiffrer la clé privée de la blockchain.

Sérieux? Ils ont la clef privé qui peut décrypter la blockchain? Et j'utilise décrypter si j'ai envie https://www.larousse.fr/dictionnaires/francais/d%C3%A9crypter/22482
J'hallucine.

Si quelqu'un list ce thread qu'il lise mes post, il apprendra quelque chose. Se faire troller alors qu'on essaye d'expliquer quelque chose: je vois pas l’intérêt.

On ne parle pas de la meme clef privé. Chaque transaction a une clef privée et publique.

Non.

Et les wallets encrypté ont eux aussi une clef privée et publique.

Déjà on dit chiffré, ensuite ils ont une passphrashe, qui permet de dechiffrer la clé privée de la blockchain.

Je parlais de la clef privée de la blockchain, que personne n'a.

Sans cette clé privée impossible de signer une transaction.

ils vident ces "hot wallets" vers des "cold wallets" qui sont eux protégé régulièrement. Dans leur communiqué ils expliquent bien que seuls leurs "hot wallets" ont été vidé.

Hot wallet veut dire que justement la clé privée est "on line" et accessible.

[asche]

Sérieux? Ils ont la clef privé qui peut décrypter la blockchain? hahaha.

Je n'ai jamais dit ça. Relis.

Decrypter n'est pas déchiffrer.

https://blog.cellenza.com/formation/decrypter-nest-pas-dechiffrer/
http://www.ryfe.fr/2011/08/les-mots-crypter-et-cryptage-n%E2%80%99existent-pas/
https://www.bortzmeyer.org/cryptage-n-existe-pas.html

nous avons la clé, dans ce cas nous pouvons DECHIFFRER le message.
nous n’avons pas la clé, dans ce cas il va falloir DECRYPTER le message.

Si tu n'as aucune notion en cryptographie, ne rejette pas la faute sur moi.

La clé privée d'un wallet est une suite de caractère, que tu chiffre à l'aide d'une passphrase via une application (le wallet windows/android/ce que tu veux).

Taper cette passphrase revient concrètement à déchiffrer la clé privée stockée sous forme chiffrée par l'application en question.

Si tu es si sur de moi explique moi donc ce qui est faux.

Ou alors tu peux continuer à croire que déchiffrer ta clé privée revient à déchiffrer la blockchain.

[baba0000000000]

Je parlais de la clef privée de la blockchain, que personne n'a.
Ca m’intéresse  d'avoir le lien qui parle de clef privée car le communiqué officiel une fois traduit ne parle pas de ce genre de detail: https://www.release.tdnet.info/inbs/140120190712471249.pdf

Tu peux être plus précis sur ça ?

[Yaplatu]

En revanche ils se sont fait uniquement niquer leurs hot wallets.

Leurs fonds stockés sur cold wallet sont complètement safe. Je pense que ça ne devrait pas impacter leur fonctionnement.

@Saint-Loup, pourquoi bitcoin a pas perdu 2k suite à cette news ? Je ne pige pas. Entre ça et trump il aurait du tomber a 8k pour permettre a plaplaplatu de racheter.

Vous faites une fixette sur les Hack, mais en vrai les mecs ne sell off pas leur " butin " instantanément, donc dans le fond un hack permet de retirer les crypto' de la vente. Surtout qu'au pire nous ne parlons pas d'un hack de BTC dans une grande majorité du temps, alors il y a moyen qu'ils essayaient d'échanger leur ALT contre du BTC et non des FIAT.

Conclusion je ne suis pas vraiment sûr qu'un Hack soit réellement très négatif, par-contre je suis surpris que les tweet de Trump n'est pas réellement d'impact visible.

[yogg]

Donc limiter la taille des transaction sortantes, dans le wallet, empêcherait ces hacks.

En fait, que tu limites la "taille des transactions"*  sortantes du hot wallet, il faudrait le faire en amont en contrôlant le total de BTC dans la hot wallet. (BTC attribués à l'adresse publique correspondant à la clé privée contenue dans le wallet)
Mais là, si tu limites le client à ne pas faire des transactions de plus qu'une certaine taille, ça changera rien au fait que les pirates accèdent à la clé privée qui stocke les fonds et ils peuvent les dépenser en l'important dans un autre wallet qui n'a pas ces limitations là, par exemple.

* : on parle d'unités de BTC hein, pas du nombre d'octets qu'occupe la transaction

On ne parle pas de la meme clef privé. Chaque transaction a une clef privée et publique.
Et les wallets encrypté ont eux aussi une clef privée et publique.

Je ne pense pas que cela fonctionne ainsi.
Une transaction n'a pas de clé privée ni publique. En tout cas, pas à ma connaissance.

Peut tu m'en dire un peu plus sur le rôle de la clé privée d'une transaction ?

A mon avis oui il y'a un souci de connaissances et de compréhension de TheWolf666 mais ce n'est pas quelque chose qui peut être critiquable.
Il faut lui expliquer comment ça fonctionne.

Fondamentalement, TheWolf, je ne sais pas comment tu t'expliques le fonctionnement de bitcoin ni comment tu vois bitcoin a une échelle plus large, mais je ne pense vraiment pas que ça fonctionne comme tu le dis.  

[galaxiekyl]

C'est beau de rêver

Je relus 3 fois ton commentaire pour être sure.
Un transaction bloqué à 10 BTC, ça veux dire que tu peux en faire 9000 à 9.99 BTC ? ---> problème non résolue.

Si tu es en root sur le sytème c'est que tu as accès à toute la machine et donc tu peux arrête l'envoie de MDP, ou autre.
Tu t'envois les MDP ou tu veux un fois que tu as l'accès root

 

et qui te dit que c'est pas une back door d'un des dev planqué derriere un rdp.  


tout ces hack..tout ces pigeons oui, il existe des DEX qui résout ce genre de probleme sauf que les gens prefere ce faire dépossédé par des gens qu'ils ont pris pour leur mère, à croire que c'est une compétition à celui qui perdra le plus d'argent.