Возможная история одной пропажи

[sankopolo]

Иногда я пытаюсь разобраться, каким же образом были украдены те или иные монеты (раз два). Конечно, установить причину на 100% не удаётся, но на 90% - вполне. Хотя в этом случае я уверен ещё меньше и точно выяснить вряд ли получится, я решил это опубликовать хотя бы для того, чтобы такая история не повторилась. Я никого не обвиняю (хотя бы потому, что могло быть по-другому), все имена изменены. Самое главное выделил красным цветом и вынес в заключение.

 

В этот раз опять надо было выяснить, как могли пропасть монеты. Почему надо? Потому, что пропали они у человека (назовем его Антон - имя изменено), который обращался ко мне за помощью в восстановлении доступа к его кошельку на blockchain.com. Подозревал он меня :(.

Ликбез: в отличие от почтовых сервисов, форумов, социальных сетей и бирж, blockchain.com не только не хранит пароли пользвателей, но и не может их поменять или сбросить, так как шифрует приватные ключи этими паролями. Если вы забываете свой пароль от кошелька, техподдержка вам ничем не поможет.

 

Итак, что известно:

1. У Антона давно есть кошелек на blockchain.com. Установлена 2ФА авторизация, установлен второй пароль (кто не знает - первый пароль для входа в аккаунт, второй для траты монет). Второй пароль Антон помнит, первый нет. 12 слов не сохранены (кстати, большая ошибка).
2. Он обращается за помощью к двум людям - ко мне и затем почему-то к Борису (имя изменено, он вроде бы специализируется на других вещах). Для восстановления я прошу Антона авторизовать меня вторым фактором и скачиваю дважды зашифрованный бекап кошелька. Затем пытаюсь его частично расшифровать. Восстановить пароль у меня (как и у Бориса, который действовал аналогично) не получается, но Антону очень везёт и через несколько дней он находит запись своего пароля!
3. Проходит ещё 2 недели и монеты с кошелька внезапно уходят. Со слов Антона, он ничего не делал сам, в логах почты - ничего плохого, 2ФА авторизация не отключалась.

 

Себя я не подозревал (хотя бы потому, что это глупо восстанавливал суммы гораздо больше и всё возвращал), взлом себя - тоже (хотя бы потому, что тогда потери были бы у меня и бОльшие по размеру).

 

Узнав о том, что Антон обращался к Борису, пишу ему и спрашиваю подробности. Бориса я тоже не подозреваю, так как сумма не так уж велика, а репутация ему должна быть важна, хоть он и занимается другим. Выясняется, что у него есть партнер, которому он иногда передает хеши файлов. А ещё выясняется другое: Борис (и, возможно, партнер) не знает одной тонкой особенности.

 

Ликбез-отступление: Логично, что бекап кошелька blockchain.com + пароли от него дают доступ к монетам. Однако для подбора пароля сам бекап не нужен: достаточно его хеша (длинная текстовая строка). То есть из бекапа кошелька можно получить хеш и отправить его. Обычно хеш устроен так, что проверить правильность пароля можно, а получить из него приватные ключи - нет. Но не всегда ?. Для бекапов blockchain.com при генерации хеша самым популярным скриптом (blockchain2john.py) итоговый хеш содержит в себе зашифрованные приватные ключи!

 

Борис этого не знал и (как минимум иногда) выкладывал хеши на хакерские форумы, чтобы другие пользователи тоже могли попробовать подобрать пароль за вознаграждение (хотя про конкретно этот хеш Борис выкладывание отрицает). Если один из посетителей эту особенность знает и подобрав пароль уже после того, как Антон нашел свою запись, он запускает у себя подбор второго пароля, то потом (Антон говорит, что второй пароль был довольно простым) находит его, расшифровывает файл, достаёт приватные ключи и выводит монеты.

 

Заключение и выводы:

1. Могли ли монеты уйти другим путем? Конечно, могли (например, при вводе Антоном логина и первого пароля на фишинговом сайте, который по принципу MITM выкачивает бекап кошелька, а затем подбирает второй). Хотя описанный вариант мне кажется вполне возможным,  это не значит, что именно так и было.
2. Даже вроде бы понятные инструменты часто ведут себя неожиданным образом. Не зная особенностей, вы рискуете.

 

[estsovest]

Уже не первая история с одним началом  - "12 слов не сохранили ".

Простой вопрос - какого ....?????

[scopus]

1 час назад, estsovest сказал:

Простой вопрос - какого ....?????

 

В феврале 2015 года и у меня такое было. Что тут поделаешь, когда только начинаешь..

Вот так и болтаются сейчас https://www.blockchain.com/ru/btc/address/1PgBjWEvzvhen2Ng48MLUnJr69nfwUjbJz 0.00249305 BTC

[estsovest]

28 минут назад, scopus сказал:

 

0.00249305 BTC

Думаю многие позавидуют очень недорогому обучению .

 Биткеш поменяли на биток по какому соотношению ?