BitcoinPaperWallet ‘Back Door’ responsable de millones en – PanaTimes


Era apenas pasada la medianoche del 7 de enero de 2021, cuando “Nick Wendell” (un seudónimo) perdió medio millón de dólares en bitcoins.

El precio de Bitcoin se acercaba a los $ 40,000, y Wendell estaba moviendo parte de su bitcoin a una billetera de papel generada por BitcoinPaperWallet.com. Estas carteras le permiten almacenar su clave privada en un pdf que luego puede imprimirse o guardarse como un archivo de computadora.

Un minuto después de depositar 14.5 BTC, con un valor de más de $ 500,000 en ese momento (y ahora con un valor de más de $ 700,000), todo desapareció. Alguien había barrido los fondos de la billetera de Wendell y, después de jugar rayuela blockchain en múltiples direcciones, los envió al intercambio de Binance.

La situación hizo girar el mundo de Wendell.

“En un minuto me di cuenta de lo que pasó y sentí que me estaba cayendo, pero [wouldn’t] golpear el suelo durante varios minutos. Recuerdo caminar en círculos alrededor de la cocina como si estuviera mareado ”, le dijo Wendell a CoinDesk.

Wendell es uno de al menos media docena de usuarios que afirman haber perdido sumas vertiginosas en la billetera de papel. Una búsqueda rápida en Google revela publicaciones en Reddit, Bitcointalk y otros lugares que cuentan varias cuentas individuales de un atraco colectivo multimillonario: alguien con acceso al sitio parece estar robando fondos de los usuarios por una puerta trasera en el código que les da acceso a claves privadas.

De hecho, algunos usuarios del generador de carteras de papel bitcoin más popular en el ranking de búsqueda de Google afirman haber perdido colectivamente millones de dólares en bitcoins en los últimos dos años, según ha aprendido CoinDesk.

Es poético, aunque trágico, que algo llamado “billetera de papel” sea tan frágil. Si bien puede parecer intuitivamente sensato almacenar su bitcoin fuera de línea en una hoja de papel o una unidad USB para protegerlo de los piratas informáticos, hacerlo puede conllevar muchos riesgos.

Antes de la pérdida o degradación, hay un par de riesgos asociados con el almacenamiento de bitcoins de esta manera, la principal preocupación es la generación de claves privadas, en otras palabras, cómo está creando sus claves privadas. Si está utilizando un software de terceros para generar una billetera de papel, está confiando en que el generador crea la clave privada de forma segura.

Si el software no es honesto, entonces su billetera es vulnerable en su esencia.

La puerta trasera de BitcoinPaperWallet.com

Según los investigadores de seguridad, BitcoinPaperWallet.com envía una copia de cada clave privada que genera en nombre de sus usuarios a los servidores del sitio. Quien tenga acceso al back-end de BitcoinPaperWallet puede acceder a estas claves y robar los fondos asociados con las carteras generadas en el sitio.

Colin y Bryan Aulds, dos hermanos que dirigen el blog PrivacyPros, casi compraron el sitio web el año pasado. Pero después de que les avisaron de la serie de robos durante el proceso de negociación, comenzaron a investigarlo por fraude y publicaron sus hallazgos en su blog.

Si tiene las extensiones MetaMask o MyEtherWallet (MEW) instaladas en su computadora, la aplicación lo redireccionará automáticamente a una página que le advierte que BitcoinPaperWallet.com no es seguro. Según MetaMask, el sitio está registrado en su “lista de advertencia de dominio” porque “se ha identificado explícitamente como un sitio malicioso”.

En mayo del año pasado, el proveedor de billeteras Ethereum MyCrypto lanzó un video y un hilo de tweets advirtiendo sobre una “vulnerabilidad” en BitcoinPaperWallet que crea “una puerta trasera que lo deja en riesgo de que le roben sus fondos”.

Los hermanos Aulds mencionan que el código para este exploit en particular ya no existe en la compilación de BitcoinPaperWallet. Pero algo nuevo lo ha reemplazado y la gente sigue perdiendo dinero porque “alguien está cambiando activamente [the back door] una vez que el exploit actual se publique ampliamente ”, dijo Bryan Aulds a CoinDesk.

CoinDesk habló con algunas de las víctimas de la billetera. Uno, que pidió permanecer en el anonimato, había realizado depósitos incrementales en su billetera durante agosto de 2020. El día 21 del mes, sus fondos se habían agotado, en camino al intercambio de Binance.

“Lo confundí con otro sitio web legítimo que había usado hace años. Básicamente, busqué en Google ‘billetera de papel Bitcoin’ y esta estafa aparece primero ”, le dijeron a CoinDesk.

Otra víctima entrevistada por CoinDesk perdió 50.1 BTC en diciembre. La persona depositó fondos en una billetera generada por el sitio web, fue a obtener un COVID-19-19 prueba y regresó para encontrar una dirección de billetera vacía.

Otro, que también pidió permanecer en el anonimato, perdió 1.8 BTC en mayo de 2019. Un usuario en Reddit informó que también perdió BCH en el sitio.

.



Source link