Dňa 7. januára 2021 tesne po polnoci „Nick Wendell“ (pseudonym) stratil pol milióna $ v bitcoinoch.
Cena BTC rástla na 40 000 $. Wendell presunul časť svojich bitcoinov do papierovej peňaženky generovanej webom BitcoinPaperWallet.com. Tieto peňaženky vám umožňujú uložiť súkromný kľúč do formátu PDF, ktorý je možné potom vytlačiť alebo uložiť ako počítačový súbor.
Za minútu od vloženia 14,5 BTC, v tom čase v hodnote viac ako 500 000 $ (a teraz v hodnote viac ako 700 000 $), bolo všetko preč. Niekto zmietol finančné prostriedky z Wendellovej peňaženky a potom, čo si zahral blockchain hopscotch na viacerých adresách, ich poslal na burzu Binance.
„Do jednej minúty som si uvedomil, čo sa stalo. Mal som pocit, že padám. Pamätám si, ako som chodil po kuchyni, akoby sa mi točila hlava,” povedal Wendell.
Wendell je jedným z mnohých používateľov, ktorí tvrdia, že prišli o závratné sumy rovnakým spôsobom. Niektorí používatelia najpopulárnejšieho generátora bitcoinových papierových peňaženiek v rebríčku vyhľadávania Google tvrdia, že za posledné dva roky hromadne stratili BTC v hodnote miliónov dolárov.
Je tragické, že niečo, čo sa nazýva „BitcoinPaperWallet” je také krehké. Aj keď by sa mohlo zdať rozumné ukladať svoje bitcoiny offline, napr. na USB, aby ste ich chránili pred hackermi.
Ak však softvér nie je čestný, potom vaša peňaženka nie je bezpečne chránená.
Podľa výskumníkov bezpečnosti BitcoinPaperWallet.com posiela kópie všetkých súkromných kľúčov, ktoré generuje v mene svojich používateľov na servery tohto webu. Ktokoľvek, kto má prístup do zadnej časti BitcoinPaperWallet, môže potom získať prístup k týmto kľúčom a ukradnúť prostriedky spojené s peňaženkami generovanými na tomto webe.
Colin a Bryan Aulds, dvaja bratia, ktorí vedú blog PrivacyPros, takmer minulý rok kúpili webovú stránku. Ale potom, čo boli počas rokovacieho procesu upozornení na sériu lúpeží, zverejnili svoje zistenia na svojom blogu.
Ak máte vo svojom počítači nainštalované rozšírenia MetaMask alebo MyEtherWallet (MEW), aplikácia vás automaticky presmeruje na stránku s upozornením, že BitcoinPaperWallet.com nie je bezpečný.
Podľa MetaMask je stránka registrovaná vo „varovnom zozname domén”, pretože „bola výslovne označená ako škodlivá stránka”.
„Keď načítate generátor peňaženky zo servera, dynamicky vloží 60 náhodných čísel, ktoré sa v HTML skryjú ako testovacie kľúče,” uviedol Curioso.
Curioso povedal, že testovací kľúč je v skutočnosti súkromný kľúč peňaženky.
Keď vygenerujete jednu z peňaženiek BitcoinPaperWallet, aby ste si vytvorili súkromný kľúč sami, musíte pohybovať myšou cez vyskakovacie okno. Tak vytvoríte „náhodnosť” potrebnú na vygenerovanie kryptograficky bezpečného kľúča.
Curioso vysvetľuje: „Ale keď generátor vytvorí peňaženku, kryptograficky bezpečné náhodné číslo, ktoré ste vytvorili pohybom myši, sa ignoruje. Namiesto toho sa tieto „testovacie kľúče“ používajú ako zárodok na generovanie predvídateľných verejných a súkromných kľúčov.”
Dôkaz: „Ak v HTML kóde vylúčite všetky testovacie kľúče okrem jedného, peňaženka jednoducho vygeneruje stále ten istý súkromný a verejný kľúč. Nie je tu žiadna náhodnosť.”
Pretože tieto kľúče sú pravdepodobne uložené na serveri BitcoinPaperWallet, ktokoľvek, kto má prístup k back-endu stránky, ich môže ľubovoľne zmiesť, uzavrel.
Zdroj:
COINDESK, 2021. BitcoinPaperWallet ‘Back Door’ Responsible for Millions in Missing Funds, Research Suggests. [cit. 2021-02-28]. [online]. Dostupné na: https://www.coindesk.com/bitcoinpaperwallet-back-door-missing-funds-research
