DdmrDdmr (OP)
Legendary
 Offline
Activity: 2296
Merit: 10748
There are lies, damned lies and statistics. MTwain
|
 |
January 02, 2023, 01:45:23 PM |
|
Esta es de las noticias que desalientan un tanto. Luke Dashjr (¿ Cobra?), uno de los desarrolladores de bitcoin, quien por tanto debe estar al tanto de todas las medidas de seguridad en la autocustodia de los mismos, ha visto como le han robado al menos 217 BTCs de un plumazo. Según cita en sus Tweets, recogidos en el artículo abajo referenciado, Luke afirma que unos hackers lograron dar con su clave privada PGP, y aunque no tiene la certeza de cómo llegaron a dar con dicha clave, sí hubo un hackeo previo a su servidor a mediados de noviembre del año pasado. No he visto claramente la relación entre la clave PGP y el robo de los BTCs. Los BTCs estaban resguardados por claves privadas de direcciones (no una semilla), y puede que las tuvuese guardadas en algún archivo encriptado por PGP. No obstante, aún no he visto esta parte (clave) del relato bien explicada. Ver: https://es.cointelegraph.com/news/bitcoin-core-developer-claims-to-have-lost-200-btc-in-hack |
|
|
|
|
|
|
|
|
|
There are several different types of Bitcoin clients. The most secure are full nodes like Bitcoin Core, but full nodes are more resource-heavy, and they must do a lengthy initial syncing process. As a result, lightweight clients with somewhat less security are commonly used.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
Don Pedro Dinero
Legendary
Offline
Activity: 1288
Merit: 1501
The first decentralized crypto betting platform
|
|
January 02, 2023, 04:30:42 PM |
|
Me suena haber visto la noticia pero yo tampoco la he acabado de entender muy bien. Espero que los 217 fuera una pequeña parte de los bitcoins que tenía. Al menos yo lo haría así: si tengo 217 bitcoins en un sitio, es porque tengo al menos 800 en al menos otros cuatro sitios. Y con sitio me refiero con HW principalmente pero con las semillas en diferentes sitios físicos, como casa y casa de vacaciones, caja de seguridad de un banco o lo que sea, y al menos un par en multisig.
|
|
|
|
Artemis3
Legendary
Offline
Activity: 2016
Merit: 1563
CLEAN non GPL infringing code made in Rust lang
|
Por necio, no movió los ahorros a una wallet segura en todos estos años y tenía copias en electrónico de la llave privada, etc.
Haces la wallet, escribes a mano las frases semilla, mueves los fondos, borras la wallet. Simple, le haces otra copia a mano y las guardas en lugares físicos distintos. Sin decirle a nadie, y sin que el papel sea visto por medios electrónicos.
Aprendan del error de los demás. No deben tener frases/llaves detrás de una contraseña o en medio electrónico alguno. Un papel y palabras escritas es "hardware" y además "frío".
Memorias flash, pierden los datos con el tiempo. No se compren una trezor para tirarla en una bóveda, perderá los datos. Y de todos modos les va pedir escribir las frases semilla en un papel...
La idea no es aumentar los vectores de ataque, es reducirlos. No es igual proteger un par de papeles que además un dispositivo, una pc, unos respaldos tras una contraseña, unos pendrive... todo eso da oportunidad a los perpetradores.
¿Para qué tenía LukeJr eso disponible de forma electrónica? Esa montaña de dinero era para dejarlo en una (o varias) wallet en frío, léase, arriba los papeles con las frases escritas a mano, nada mas.
Entiendan esto para que no les pase a ustedes nunca algo así.
¿Tienen wallet comprometidas? Están a tiempo, creen bien una wallet nueva y muevan los fondos, primero practiquen con pequeñas cantidades, todo el proceso de crear la wallet anotar la frase y borrar esa wallet, luego como se recupera para un futuro lejano, y cuando tengan el proceso bien asentado en sus mentes, muevan sus ahorros ahí, borren la wallet y protejan esos papeles.
Gente con mas paranoia aprende a realizar el proceso en una PC sin conectividad a internet con un sistema operativo seguro corriendo desde un dispositivo óptico, de manera que al finalizar el proceso se apaga la PC y desaparece la wallet, solo quedan las frases semilla, que es lo único que importa. Esas frases no deben ser captadas nunca por medios electrónicos.
|
█████████████████████████
██████████████████████████
██████████████████████████
███████████████████████████ | BRAIINS OS+| | AUTOTUNING
MINING FIRMWARE| | Increase hashrate on your Bitcoin ASICs,
improve efficiency as much as 25%, and
get 0% pool fees on Braiins Pool | |
|
|
|
seoincorporation
Legendary
Offline
Activity: 3136
Merit: 2916
Top Crypto Casino
|
|
January 02, 2023, 05:10:37 PM |
|
Moraleja: No pongan todas las manzanas en la misma canasta.
Es una lástima que pase esto a los desarrolladores, segur ha de ser algo que los desmotiva, ellos trabajando duro para mejorar el código de bitcoin mientras que los hackers solo buscan la manera de quitarles sus ahorros.
Seguiré pendiente del caso para entender cual fue el error o la brecha de seguridad, ya que esta es una lección de 217 BTC, por lo menos que nos deje buen conocimiento.
|
|
|
|
|
darxiaomi
|
|
January 02, 2023, 05:57:05 PM |
|
Muy interesante noticia la que traes Ddmr. La verdad que si no queda claro como paso todo, y de mi parte creo que debe tener facil mas de 1000 BTC en su poder si es uno de los desarrolladores y hace tantos años esta en esto.
Gracias Artemis por la explicacion, se que tenes razon pero es duro para el ser humano no poder ver que esten ahi, asi sea una estupidez ver solo un numero en una pantalla, hay algo psicologico como que genera seguridad. Igual creo que tu procedimiento es correcto y muy seguro si uno tiene mucho que resguardar.
|
| .
.Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄
███░░░░███░░░░███
▀░░░▀░░▀░░░▀░░▀░░░▀
▄░░░░░░░░░░░░
▀██████████
░░░░░███░░░░▀
░░█░░░███▄█░░░█
░░██▌░░███░▀░░██▌
░█░██░░███░░░█░██
░█▀▀▀█▌░███░░█▀▀▀█▌
▄█▄░░░██▄███▄█▄░░▄██▄
▄███▄
░░░░▀██▄▀ | .
REGIONAL
SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██
██░▀░██░█░███░▀██░███▄█
█▄███▄██▄████▄████▄▄▄██
██▀ ▀███▀▀░▀██▀▀▀██████
███▄███░▄▀██████▀█▀█▀▀█
████▀▀██▄▀█████▄█▀███▄█
███▄▄▄████████▄█▄▀█████
███▀▀▀████████████▄▀███
███▄░▄█▀▀▀██████▀▀▀▄███
███████▄██▄▌████▀▀█████
▀██▄███▀██▄█▄▄▄██▄████▀
▀▀██████████▄▄███▀▀
▀▀▀▀█▀▀▀▀ | .
EUROPEAN
BETTING
PARTNER | |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2296
Merit: 10748
There are lies, damned lies and statistics. MTwain
|
|
January 02, 2023, 06:31:08 PM |
|
A mí me extrañó la simpleza de los Tweets que realizó la persona en cuestión, como este por ejemplo. No obstante, según he leído, diversas personas de renombre que le conocen dan credibilidad al asunto, por lo que entiendo que los términos simples elegidos son más frutos del nerviosismo que de otra cosa (parece descartarse que su cuenta de Twitter estuviese comprometida). En cierto momento, da a entender que lo del hackeo del servidor de hace algunas semanas no debería tener nada que ver con el asunto, dado que no tenía los datos precisos para la custodia de los bitcoins allí, sino una Workstation local: https://twitter.com/LukeDashjr/status/1609781709851041798Pero luego también indica algo que no me cuadra de entrada (fuera de un asalto físico), dado que indica que también accedieron a su cartera fría: https://twitter.com/LukeDashjr/status/1609826735369125888Al indicarle un usuario que lo anterior no parece consistente, responde que, de alguna manera, no debería ser cierto que su cartera fría no estuviese conectada a internet: https://twitter.com/LukeDashjr/status/1609864852104675333Podría ser que crease una cartera fría en un equipo, lo conectase a internet en algún momento dado, y le entrase malware, para luego volver a conectarse a internet y dar cabida al hackeo de la cartera fría que cita antes, pero bueno, si él no sabe dominar la gestión de una wallet fría, ya me dirás. También puede que hubiese bajado la guardia con el tiempo, y la conectase a internet para lo que fuese. Da la sensación de que la cartera fría era realmente un pc sin conexión a internet. Lo malo es que uno puede luego llegar a conectarse cuando no debiera, como parecería ser (parte del) caso. |
|
|
|
|
Hispo
Legendary
Offline
Activity: 1190
Merit: 2101
Leading Crypto Sports Betting & Casino Platform
|
|
January 03, 2023, 01:02:20 AM |
|
-snip-
Si quieres saber mi opinión del asunto, al principio pensé que se trataba de un hijacking a su cuenta de Twitter por la forma en que el relato se estaba desarrollando, aunado a que hace unas horas no habían podido contactar con él en otras de sus cuentas de redes sociales o incluso por mensaje privado en Telegram. Se me pasó por la cabeza incluso la posibilidad de un secuestro o algo parecido. Aún estoy esperando información más precisa, porque que yo sepa, una cosa es que se comprometa tu llave privada de PGP, otra muy distinta es que te roben Bitcoins. Les prevengo que se preparen a para posibles noticias de FUD a raíz de esto. Veremos que pasa... |
| ..Stake.com.. | | | ▄████████████████████████████████████▄
██ ▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ ██ ▄████▄
██ ▀▀▀▀▀▀▀▀▀▀ ██████████ ▀▀▀▀▀▀▀▀▀▀ ██ ██████
██ ██████████ ██ ██ ██████████ ██ ▀██▀
██ ██ ██ ██████ ██ ██ ██ ██ ██
██ ██████ ██ █████ ███ ██████ ██ ████▄ ██
██ █████ ███ ████ ████ █████ ███ ████████
██ ████ ████ ██████████ ████ ████ ████▀
██ ██████████ ▄▄▄▄▄▄▄▄▄▄ ██████████ ██
██ ▀▀▀▀▀▀▀▀▀▀ ██
▀█████████▀ ▄████████████▄ ▀█████████▀
▄▄▄▄▄▄▄▄▄▄▄▄███ ██ ██ ███▄▄▄▄▄▄▄▄▄▄▄▄
██████████████████████████████████████████ | | | | | | ▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ ▄▀▄ █▀▀█▀▄▄
█ █▀█ █ ▐ ▐▌
█ ▄██▄ █ ▌ █
█ ▄██████▄ █ ▌ ▐▌
█ ██████████ █ ▐ █
█ ▐██████████▌ █ ▐ ▐▌
█ ▀▀██████▀▀ █ ▌ █
█ ▄▄▄██▄▄▄ █ ▌▐▌
█ █▐ █
█ █▐▐▌
█ █▐█
▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀█ | | | | | | ▄▄█████████▄▄
▄██▀▀▀▀█████▀▀▀▀██▄
▄█▀ ▐█▌ ▀█▄
██ ▐█▌ ██
████▄ ▄█████▄ ▄████
████████▄███████████▄████████
███▀ █████████████ ▀███
██ ███████████ ██
▀█▄ █████████ ▄█▀
▀█▄ ▄██▀▀▀▀▀▀▀██▄ ▄▄▄█▀
▀███████ ███████▀
▀█████▄ ▄█████▀
▀▀▀███▄▄▄███▀▀▀ | | | ..PLAY NOW.. |
|
|
|
|
|
|
darxiaomi
|
|
January 03, 2023, 02:42:04 PM Merited by womanderful (1) |
|
Por lo pronto lo unico que veo es como diria mi madre:
"no aclares que oscurece"
En vez de brindar luz al asunto solo hace seguir abriendo incognitas cuanto mas habla.
La verdad es que no soy un super entendido en la materia y sin poder ver todo el panorama no se puede decir que sucedio.
|
| .
.Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄
███░░░░███░░░░███
▀░░░▀░░▀░░░▀░░▀░░░▀
▄░░░░░░░░░░░░
▀██████████
░░░░░███░░░░▀
░░█░░░███▄█░░░█
░░██▌░░███░▀░░██▌
░█░██░░███░░░█░██
░█▀▀▀█▌░███░░█▀▀▀█▌
▄█▄░░░██▄███▄█▄░░▄██▄
▄███▄
░░░░▀██▄▀ | .
REGIONAL
SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██
██░▀░██░█░███░▀██░███▄█
█▄███▄██▄████▄████▄▄▄██
██▀ ▀███▀▀░▀██▀▀▀██████
███▄███░▄▀██████▀█▀█▀▀█
████▀▀██▄▀█████▄█▀███▄█
███▄▄▄████████▄█▄▀█████
███▀▀▀████████████▄▀███
███▄░▄█▀▀▀██████▀▀▀▄███
███████▄██▄▌████▀▀█████
▀██▄███▀██▄█▄▄▄██▄████▀
▀▀██████████▄▄███▀▀
▀▀▀▀█▀▀▀▀ | .
EUROPEAN
BETTING
PARTNER | |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2296
Merit: 10748
There are lies, damned lies and statistics. MTwain
|
|
January 03, 2023, 03:00:48 PM
Last edit: January 04, 2023, 02:28:19 PM by DdmrDdmr |
|
No sé yo. Sigo viendo muchas incógnitas en el caso, y aunque hay personas con reconocimiento que han dado por veraz el caso, la manera de responder en Twitter no me parece demasiado convincente, y en ocasiones, un tanto contradictoria. Por ejemplo, antes vimos como aludía a que las hardware wallets las consideraba de mayor riesgo que realizar su propia gestión como venía haciendo hasta el momento. Pero poco más tarde, en respuesta a otro usuario, indica que las hardware wallets son, probablemente, la única alternativa que le queda por probar. |
|
|
|
|
Hispo
Legendary
Offline
Activity: 1190
Merit: 2101
Leading Crypto Sports Betting & Casino Platform
|
|
January 03, 2023, 07:11:47 PM |
|
No sé yo. Sigo viendo muchas incógnitas en el caso, y aunque hay personas con reconocimiento que han dado por veraz el caso, la manera de responder en Twitter no me parece demasiado convincente, y en ocasiones, un tanto contradictoria. Por ejemplo, antes vimos como aludía a que las hardware wallets las consideraba de mayor riesgo que realizar su propia gestión como venía haciendo hasta el momento. Pero poco más tarde, en respuesta a otro usuario, indica que las hardware wallets son, probablemente, la única alternativa que le queda por probar. En el hilo al respecto de este caso hice la pregunta sobre la tenencia de las billeteras frias sobre el desarrollador y un usurio (Franky1), me aseguro que en realidad hay un problema de nomenclatura en este caso. Supuestamente, las personas que adoptaron Bitcoin en los primeros días le dicen a las wallet no custodial "frias" ya las frias "airgapped". Puede que sea por eso que se está sembrando más miedo del que se debería, en mi opinion, dejo el post en el cual me respondieron. OG people call hot wallets a wallet that is active on a server where the public have access to it..(exchanges and service providers) a cold wallet is one thats independent and less accessible(such as home PC that may/may not go online..) EG your home full node is deemed a cold wallet compared to CEX deposit&withdrawal nodes/bitnodes.com/bitDNSseed nodes which are hot offline wallets are deemed 'airgapped' / hardware wallets |
| ..Stake.com.. | | | ▄████████████████████████████████████▄
██ ▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ ██ ▄████▄
██ ▀▀▀▀▀▀▀▀▀▀ ██████████ ▀▀▀▀▀▀▀▀▀▀ ██ ██████
██ ██████████ ██ ██ ██████████ ██ ▀██▀
██ ██ ██ ██████ ██ ██ ██ ██ ██
██ ██████ ██ █████ ███ ██████ ██ ████▄ ██
██ █████ ███ ████ ████ █████ ███ ████████
██ ████ ████ ██████████ ████ ████ ████▀
██ ██████████ ▄▄▄▄▄▄▄▄▄▄ ██████████ ██
██ ▀▀▀▀▀▀▀▀▀▀ ██
▀█████████▀ ▄████████████▄ ▀█████████▀
▄▄▄▄▄▄▄▄▄▄▄▄███ ██ ██ ███▄▄▄▄▄▄▄▄▄▄▄▄
██████████████████████████████████████████ | | | | | | ▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ ▄▀▄ █▀▀█▀▄▄
█ █▀█ █ ▐ ▐▌
█ ▄██▄ █ ▌ █
█ ▄██████▄ █ ▌ ▐▌
█ ██████████ █ ▐ █
█ ▐██████████▌ █ ▐ ▐▌
█ ▀▀██████▀▀ █ ▌ █
█ ▄▄▄██▄▄▄ █ ▌▐▌
█ █▐ █
█ █▐▐▌
█ █▐█
▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀█ | | | | | | ▄▄█████████▄▄
▄██▀▀▀▀█████▀▀▀▀██▄
▄█▀ ▐█▌ ▀█▄
██ ▐█▌ ██
████▄ ▄█████▄ ▄████
████████▄███████████▄████████
███▀ █████████████ ▀███
██ ███████████ ██
▀█▄ █████████ ▄█▀
▀█▄ ▄██▀▀▀▀▀▀▀██▄ ▄▄▄█▀
▀███████ ███████▀
▀█████▄ ▄█████▀
▀▀▀███▄▄▄███▀▀▀ | | | ..PLAY NOW.. |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2296
Merit: 10748
There are lies, damned lies and statistics. MTwain
|
|
January 04, 2023, 12:13:10 PM |
|
No obstante, en la conversación de este hilo en Twitter, Luke indica que de alguna manera llegaron a acceder a su wallet fría. Al indicarle otro usuario que no parece que los tuviese en una wallet fría si el escenario es el de tener las claves (privadas) almacenadas en un ordenador conectado a internet, Luke responde que no deberían (haber estado en contacto con internet se entiende), pero que de alguna manera debieron estarlo. Es decir, da la impresión de que su uso del concepto de un cold wallet contempla un dispositivo que no estuviese en contacto nunca con internet. |
|
|
|
|
|
darxiaomi
|
|
January 04, 2023, 01:54:31 PM |
|
No tiene demasiado que ver con el tema, pero tambien es un "hackeo" y es increible lo vulnerable que se es si realmente nos entraron por asi decirlo. https://www.youtube.com/watch?v=tdvp1CgRa_8&ab_channel=SfdxShowEn ese video muestra como, le entraron a la computadora y le robaron cierta informacion y con eso solo al toque le levantaron todas sus cuentas. Si obviamente que cometio errores groseros como descargar algo y que te entre semejante virus, pero se ve la vulnerabilidad de los sistemas. Cierro OT. |
| .
.Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄
███░░░░███░░░░███
▀░░░▀░░▀░░░▀░░▀░░░▀
▄░░░░░░░░░░░░
▀██████████
░░░░░███░░░░▀
░░█░░░███▄█░░░█
░░██▌░░███░▀░░██▌
░█░██░░███░░░█░██
░█▀▀▀█▌░███░░█▀▀▀█▌
▄█▄░░░██▄███▄█▄░░▄██▄
▄███▄
░░░░▀██▄▀ | .
REGIONAL
SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██
██░▀░██░█░███░▀██░███▄█
█▄███▄██▄████▄████▄▄▄██
██▀ ▀███▀▀░▀██▀▀▀██████
███▄███░▄▀██████▀█▀█▀▀█
████▀▀██▄▀█████▄█▀███▄█
███▄▄▄████████▄█▄▀█████
███▀▀▀████████████▄▀███
███▄░▄█▀▀▀██████▀▀▀▄███
███████▄██▄▌████▀▀█████
▀██▄███▀██▄█▄▄▄██▄████▀
▀▀██████████▄▄███▀▀
▀▀▀▀█▀▀▀▀ | .
EUROPEAN
BETTING
PARTNER | |
|
|
|
Artemis3
Legendary
Offline
Activity: 2016
Merit: 1563
CLEAN non GPL infringing code made in Rust lang
|
|
January 05, 2023, 02:25:55 PM |
|
Eso choca con la definición que yo conozco de "frío" que es previa a la existencia de Bitcoin:
Un respaldo/almacenamiento en "frío" es copiar datos por ejemplo a un disco duro que luego desenchufas. Si no está energizado, está frío (o si no es energizable en primer lugar, como un papel).
Si cabe la posibilidad de que se robaron el físico de las llaves privadas (que da la impresión las tenía en pendrive o algo así cifrado con esa llave pgp) es porque aumentó los vectores de penetración, con tanto artilugio.
Los fulanos OG han tenido tiempo de sobra de modernizarse. Se comenta que algunos no lo hacen simplemente para mostrar cuan vieja es la procedencia de sus fondos...
Alguien dirá "si no lo mueves tu, lo muevo yo". Pues no sería raro que el crimen organizado los ataque uno por uno. Otra razón mas por la cual la privacidad es tan pero tan importante. Si, Bitcoin permite revelar quien eres, ¿pero deberías? Satoshi demostró que no...
|
█████████████████████████
██████████████████████████
██████████████████████████
███████████████████████████ | BRAIINS OS+| | AUTOTUNING
MINING FIRMWARE| | Increase hashrate on your Bitcoin ASICs,
improve efficiency as much as 25%, and
get 0% pool fees on Braiins Pool | |
|
|
|
|
|
Porfirii
Legendary
Offline
Activity: 1764
Merit: 2052
The Alliance Of Bitcointalk Translators - ENG>SPA
|
|
January 06, 2023, 08:06:59 PM |
|
... Al menos yo lo haría así: si tengo 217 bitcoins en un sitio, es porque tengo al menos 800 en al menos otros cuatro sitios. Y con sitio me refiero con HW principalmente pero con las semillas en diferentes sitios físicos, como casa y casa de vacaciones, caja de seguridad de un banco o lo que sea, y al menos un par en multisig.
Esto ya lo hacía así con las reliquias de la muerte aquél que no debe ser nombrado (disculpad la frikada). ... La verdad es que leyéndolo, mezcla cosas, el columnista lia la traca comparando el caso con uno "supuestamente" sucedido Wright, y exalta la regularización como algo preciso para mitigar estos casos (entre otros).
No me he leído todavía los artículos porque he descubierto hoy el hilo y bueno, ya sabéis el día de compromisos que es, pero mañana los leo porque parece que el tema se está poniendo interesante. Tengo curiosidad, especialmente, en cómo cree el periodista que la regulación va a evitar que te hackeen una PGP  |
|
|
|
seoincorporation
Legendary
Offline
Activity: 3136
Merit: 2916
Top Crypto Casino
|
|
January 07, 2023, 08:23:42 PM |
|
Un respaldo/almacenamiento en "frío" es copiar datos por ejemplo a un disco duro que luego desenchufas. Si no está energizado, está frío (o si no es energizable en primer lugar, como un papel).
Si cabe la posibilidad de que se robaron el físico de las llaves privadas (que da la impresión las tenía en pendrive o algo así cifrado con esa llave pgp) es porque aumentó los vectores de penetración, con tanto artilugio.
Y esto es lo que mas ruido me hace, una cosa es que accedieran al respaldo de la cartera fria, pero el como accedieron al la llave PGP es otra historia, son dos cosas totalmente diferentes. Desde mi pundo de viesta para que puediera el atacante hacer esto en pocas palabras se metió hasta la cosina. Así que no solo los BTC fueron vulnerados, sino que toda su información, archivos y contraseñas de seguro también fuero hackeadas. El caso está muy raro y con eso de que le prohibieron develar información sobre el ataque simplemente nos dejarán con la duda de que fue lo que realmente pasó. |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2296
Merit: 10748
There are lies, damned lies and statistics. MTwain
|
|
January 08, 2023, 04:31:46 PM |
|
De vez en cuando voy buscando si hay alguna noticia nueva al respect, pero no suelta prenda, y de hecho, bastantes de los Tweets de Luke ya no tienen nada que ver con el caso. De lo poco nuevo que hay: Indica que desveló el caso en Twitter para ver si la gente le podría ayudar: https://twitter.com/LukeDashjr/status/1611970419241656320El común de los mortales poco podrá hacer, y me imagino que la ayuda cae del lado de los que sigan la traza de los movimientos de los BTCs, de los puntos de conversión de los mismos a otras monedas o a fiat, y de alguna autoridad competente (?). Como no hay un protocolo para estos casos (ni nada parecido), la esperanza recae en hacer ruido y tener a la gente encima del caso. En solitario, poco va a hacer uno. Dijo que tuvo que desvelar que accedieron a su cold wallet para defender su reputación: https://twitter.com/LukeDashjr/status/1611971456300191744?cxt=HHwWgMC8jfff794sAAAANo sé si el efecto es el contrario … |
|
|
|
|
Silberman
Legendary
Offline
Activity: 2492
Merit: 1332
|
|
January 08, 2023, 08:26:52 PM |
|
Y esto es lo que mas ruido me hace, una cosa es que accedieran al respaldo de la cartera fria, pero el como accedieron al la llave PGP es otra historia, son dos cosas totalmente diferentes. Desde mi pundo de viesta para que puediera el atacante hacer esto en pocas palabras se metió hasta la cosina. Así que no solo los BTC fueron vulnerados, sino que toda su información, archivos y contraseñas de seguro también fuero hackeadas.
El caso está muy raro y con eso de que le prohibieron develar información sobre el ataque simplemente nos dejarán con la duda de que fue lo que realmente pasó.
Aunque un poco fuera del hilo a mi lo que me preocupa no es la perdida de BTC sino de su llave PGP. Cualquiera que se haya bajado alguna distribución Linux, una cartera de bitcoin o una cartera de alguna altcoin sabe que para verificar que se ha bajado la versión correcta, y no una modificada por algún hacker, hay que verificarla con el uso de la llave pública del desarrollador, es un proceso que puede ser molesto, pero hay que hacerlo. Ahora bien, sin saber nada de las medidas de seguridad tomadas por los desarrolladores para compartir información entre ellos, me parecería que una medida básica sería el uso de PGP, y así verificar que efectivamente han sido ellos quienes han mandado ese email o una modificación al código, así que esto me trae a la mente algunas preguntas difíciles ¿Desde cuándo se perdió acceso a esa llave PGP? ¿Es la misma que usa para su comunicación con otros desarrolladores? ¿Y si no es así está esa llave PGP segura? ¿Cómo estar seguro de ello si como dice seoincorporation “se metieron hasta la cocina”? En fin, para mí eso es lo mas delicado, porque un hack de ese tamaño a un desarrollador sin lugar a dudas genera mucho ruido, pero en el largo plazo no es la gran cosa, sin embargo, la posibilidad de hackers introduciendo código malicioso a bitcoin directamente sería bastante delicado. |
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2296
Merit: 10748
There are lies, damned lies and statistics. MTwain
|
|
January 09, 2023, 09:03:08 AM |
|
<...>
Entiendo que los ficheros de firmas de bitcoin core son multifirma, y por ende, aunque alguien compilase una versión maliciosa con su clave PGP (La de Luke), la versión maliciosa sólo podría contar con la validación de esa única firma, y no la del resto de los desarrolladores que firman cada versión. No obstante, tengo bastante oxidado el proceso de verificiación de la versión de bitcoin core, y no he logrado ver el número de firmantes habituales de cada versión, para tener un referente de cuántas firmas es habitual ver como validadoras. Nota: Me da que Luke aún lo la ha revocado. No sé si alguien ha logrado ver la revocación. |
|
|
|
|
|
