Contents
- 1 TL; DR:
- 2 Tausta
- 3 Ota yhteyttä omistajaan
- 4 Ketjuanalyysi
- 5 Koodin tarkistus
- 5.1 Koodin tarkistuspäivitys 23. helmikuuta 2021
- 5.2 Tallenna HTML-generaattori tietokoneelle
- 5.3 Etsi pitkä “testausavainten” joukko, jota edustaa “eckey_test = [{…}];” ja korvaa se vain yhdellä avainparilla
- 5.4 Lataa generaattori. Se luo täsmälleen saman (ennustettavan) lompakon uudestaan ja uudestaan
- 5.5 Reaaliaikaisen koodin vertailu vs koodi Githubissa
- 5.6 Muut tiedot
- 6 Yhteydenotto pörsseihin
- 7 Johtopäätös
- 8 UKK
TL; DR:
Verkkosivustolla bitcoinpaperwallet [.] Com on käynnissä lompakon lakaistava huijaus, jossa paperilompakoita paikan päällä tuottavat käyttäjät eivät ole ainoita, joilla on yksityiset avaimet kolikoille. ÄLÄ KÄYTÄ bitcoinpaperwallet [.] Com -laitetta kaikenlaisten kolikoiden tallentamiseen.
Bitcoinpaperwallet [.] Com: n kotisivu
Tausta
Voit ohittaa tarinan taustan, jos haluat mene suoraan tutkimukseen
Kuinka teemme hakukoneoptimointia
Osana säännöllistä työskentelyämme täällä yksityisyyden suojan ammattilaisissa yksi asia mielessä on Google-ranking.
Toisin sanoen haluamme sivujemme sijoittuvan mahdollisimman korkealle, jotta voimme lisätä napsautuksia ja toivottavasti lisätä myyntiä.
Osa upeista sijoituksista on ansaita tai luoda korkealaatuisia käänteisiä linkkejä sivuillemme.
Yksi strategia, jota käytämme verkkosivustollemme menevien käänteisten linkkien lisäämiseen, on ostaa olemassa olevat verkkosivustot ja ohjata ne omille sivuillemme.
Kaksi esimerkkiä tästä käytännöstä oli hankinta bitbonkers.com ja bitcoinfees.info.
Nämä sivustot olivat molemmat ansainneet tuhansia erittäin laadukkaita käänteisiä linkkejä ja vastaanottaneet tuhansia kävijöitä kuukaudessa orgaanisessa ja suorassa liikenteessä.
Emme tee paljon (jos mitään) näistä sivuista, mutta niillä on taipumus parantaa muiden sivujemme sijoitusta, ja siksi haluamme heidät.
Liian hyvää ollakseen totta?
Löydämme verkkosivustot, jotka haluamme ostaa, useiden menetelmien avulla. Joskus käytämme työkaluja, kuten ahrefs.com. Joskus kompastumme itse sivustoihin. Joskus ystävät tuntevat omistajat.
Bitcoinpaperwallet.com-sivuston tapauksessa etsimme nimenomaan paperilompakkoa tuottavaa työkalua kumppanina sivullemme paperilompakoissa.
Tällä sivustolla oli uskomattomia mittareita.
Esimerkiksi sen käänteinen profiili oli hullu. Paljon laadukkaita asiaankuuluvia linkkejä, jotka haluamme siirtyä sivustollemme, kuten Coindesk, cointelegraph, bitcoin.com ja muut suuret uutisverkkolinkit, kuten nypost ja digitaaliset trendit.
Mutta mikä tärkeintä (ja vaarallisimpana tulisimme selville), se sijoittuu 1. sijalle “Bitcoin Paper Wallet” -kohde-avainsanallemme..
Ja kuten käy ilmi, olimme ostaneet käynnistettävän Linux-asennusohjelman sivustolta vuonna 2017, joten oletimme, että ne olivat varmasti laillista toimintaa.
Tämä riitti, jotta voimme yrittää ottaa yhteyttä sivuston omistajaan ja tehdä tarjouksen.
Ota yhteyttä omistajaan
Tehtyään jonkin verran salaa, sivusto näytti kuuluvan jollekin nimeltä Canton Becker, joka ylläpitää edelleen github-arkistoa, johon verkkosivusto näennäisesti edelleen viittaa.
READ ME -lehdessä mainittiin kuitenkin, että Canton oli myynyt verkkosivuston vuonna 2018 ja ohjata kaikki tiedustelut uuden omistajan sähköpostiosoitteeseen.
Yritimme ottaa yhteyttä uuteen omistajaan osoitteessa [email protected], mutta emme saaneet vastausta.
Joten otimme yhteyttä Cantoniin suoraan toivoen, että hänellä olisi vaihtoehtoinen tapa ottaa yhteyttä häneen.
Ja vähän edestakaisin, hän kertoi meille, että hän oli vuosien varrella saanut useita sähköposteja henkilöiltä, jotka väittivät menettäneensä varoja sivuston avulla.
Lisätutkimukset toivat tämän tweetin vastauksena BlockDX-twiittiin, jossa pyydettiin muita tunnettuja hakkereita lisäämään luetteloonsa.
Nämä olivat rohkeita väitteitä. Varsinkin kun otetaan huomioon, kuinka täynnä paperilompakoita voi olla käyttäjän virheiden suhteen.
Oliko epäpätevät käyttäjät vain tuottaneet paperilompakkojaan sattumanvaraisesti ja syyttäneet sivustoa, kun he väistämättä menettivät kolikkonsa? Tai… käyttikö uusi omistaja sivustoa vahingollisesti kanavoimaan bitcoinia omaan taskuunsa (ja ethereumia ja litecoinia paperilompakkosivustojen kautta, joita Canton myi myös uudelle omistajalle)?
Tässä vaiheessa emme enää olleet kiinnostuneita sivustosta – emme halunneet vastuuta.
Mutta halusimme tietää, pystyisimmekö todistamaan väitteet bitcoinpaperwallet.com-sivustosta ja toivottavasti käyttämään sivuston valtuutusta varoittamaan muita.
Joten aloimme tehdä sen…
Ketjuanalyysi
Ensimmäinen asia, joka meidän oli tehtävä, oli ottaa yhteyttä näihin väitettyihin uhreihin.
Canton antoi näille henkilöille sähköpostiosoitteemme, ja yksi nimeltään Kunal otti yhteyttä meihin, myös useiden muiden kanssa..
Ilmoitimme kunalille, että aiomme todella päästä tämän pohjalle, mutta meillä ei ollut halua tehdä ketään kenellekään, ennen kuin meillä oli erittäin vankka todiste huijauksen tapahtumisesta.
Loppujen lopuksi Canton oli varoittanut meitä siitä, että ehkä hän oli tehnyt virheen koodaamalla entropian muodostusprosessia ja joku, joka ei ole yhteydessä uuteen omistajaan, oli hyödyntänyt sitä.
Tarvitsimme toistaiseksi niin monta tyhjennettyä osoitetta kuin saisimme käsiimme.
Kunal toimitti, kun hän oli puhunut monien muiden uhrien kanssa ja kerännyt heiltä osoitteita.
Hän antoi meille seuraavat osoitteet:
- 14MKVLrhaBSkqbqebQMKAqyiNhK7ir68Yh
- 1JE4yb89gEHTeZ8x9TqfN3cc6dUUSH7D5d
- 1MNdw5RKRTbatWbMTqHvntg7RLRL1WxfAC
- 17rC3BHboioNxJWvVynh7agmaiYrDTjmE6
- 19LxQ1FpJwnUokcRBNA2gnwB2FG5TbY9C5
- 18SNBJsJ1MX7qkkxfX6zKbqjLpzZK8QxjA
- 1BxPiuddFh7vz83BCFM9ZKUV75jUJyvJUv
Sieltä välitimme heidät blockchain-rikosteknologiassa työskentelevälle ystävälle Tony Sanakille.
Saatat tuntea hänen youtube-kanavansa, Tutki salausta!
Sitten Tony lähetti meidät kollegalleen Blockchain Intelligence Groupiin, joka pystyi hyödyntämään QLUE-työkalua tapahtumien analysointiin. Kerroimme BIG: n rikostutkintaryhmälle siitä, mitä teimme ja kysyimme, voisivatko he auttaa meitä.
Ja poika, tekivätkö he!
Muutaman päivän kuluttua he palasivat luoksemme.
Annan heidän puhua omin sanoin:
He toimittivat myös tämän kuvan:
Jo tietäen vastauksen kysyin heiltä, oliko tämä jotenkin epäpätevyyttä.
B: n tapauksessa oli kaksi talletustapahtumaa – molemmat Binanceen.
- Tapahtuman hajautus ea348ad9acfed2881d208826a08a15335d58be223b1fa2f38c8bfbd58f357403.
- Tapahtuman hajautus 4a75df5f18290563091e29856eb433c574e5005b2c4703811def6be6b24f565a
BIG jatkaa:
Kunalin tapauksessa oli myös kaksi talletustapahtumaa.
- Tapahtuman hajautus 876f356c26526e26c77936f09165164e401ef8224deae4ede379e84cf56d1ead osaksi Poloniex.
- Tapahtuman hajautus aae921b285694be00fc88d140f49b7b93070d2c7e34c928a68532ea439cbb374 Binanceen.
Koodin tarkistus
Teemme edelleen koodiselvityksen live-sivustosta vs koodi Githubissa ja se klo Bitadress.
Aiemmat bitcoinpaperwallet [.] Com -koodiarvostelut ovat aikaisemmin paljastaneet hyödyntämisen aiemmin (kuten alla olevassa videossa on esitetty mycrypto.com-lompakon tiimin suostumuksella).
Tässä esimerkissä koodi näyttää luovan kuvan paperilompakosta (joka sisältää julkiset ja yksityiset avaimet) ja lähettää sitten kopion siitä muualle – oletettavasti asemakansioon, jota verkkosivuston omistaja hallitsee.
Tämä on hieno lanka selittää tutkimustaan vuodesta 2020.
Tätä lompakoiden tyhjentämismenetelmää ei kuitenkaan näytä enää olevan käytössä, koska näyttää siltä, ettei enää ole “ladattua” toimintoa..
Tarkistimme tämän menemällä offline-tilaan ja yritimme sitten luoda osoitteen
http: // bitcoinpaperwallet [.] fi / bitcoinpaperwallet / generoi-lompakko.html
Sitten selaimen devtools-verkko-välilehdessä tarkistimme epäonnistuneet xhr- tai hakupyynnöt, mutta emme löytäneet yhtään.
Tämä osoittaisi, että lompakot tyhjennetään eri menetelmällä kuin ne olivat toukokuussa 2020, jolloin mycrypto teki tämän videon.
Toiset verkossa teorioivat, että ehkä verkkosivusto tuotti päällekkäisiä osoitteita, mutta itse loimme yli 10000, emmekä löytäneet yhtään kopiota.
Tutkimme edelleen, onko kaksoiskappaleiden generointi vain varmuuskopio xhr-pyynnölle.
Koodin tarkistuspäivitys 23. helmikuuta 2021
Seuraa vaiheita kohdasta tämä reddit-viesti.
Tallenna HTML-generaattori tietokoneelle
Kohdassa bitcoinpaperwallet [.] Com Luo lompakko, napsauta sivua hiiren kakkospainikkeella ja valitse Näytä sivun lähde.
Tämä avaa HTML-sivun lähdekoodin uudessa välilehdessä.
Täältä voimme joko valita kaiken ja liittää sen uuteen HTML-tiedostoon tai napsauttaa hiiren kakkospainikkeella sivua ja Tallenna nimellä, joka kehottaa meitä tallentamaan sivun sisällön .html tiedosto.
Etsi pitkä “testausavainten” joukko, jota edustaa “eckey_test = [{…}];” ja korvaa se vain yhdellä avainparilla
Kun tiedosto on avattu koodilla tai tekstieditorilla, meidän on haettava sitä “Eckey_test” taulukko.
Seuraavaksi korvattiin koko eckey_test = [{…}] taulukko vain yhdellä avainparilla, kuten reddit-postiesimerkissä:
eckey_test = [{pub:"MUtDQ25Td05uQ0I0Y05ZN0hFc0hja1M4Vjk5bUxFNjJKZQ ==",yksityinen:"NUpreTZtM2lZS2FxTm1NZ2NvaEdYb2o0dXVyVTNXaXhiak54R1N4NmNlbmU3S25FWGR6"}];
Lataa generaattori. Se luo täsmälleen saman (ennustettavan) lompakon uudestaan ja uudestaan
Avasimme tiedoston paikallisesti selaimessa:
Joka kerta, kun uusi lompakko luotiin, se palautti täsmälleen saman ennustettavan tuloksen.
Uuden lompakon luominen napsauttamalla Ohita-painiketta:
Tulos:
Uuden lompakon luominen siirtämällä hiirtä ja kirjoittamalla satunnaiset näppäinpainallukset ruutuun:
Tulos:
Uuden lompakon luominen napsauttamalla GENERATE NEW WALLET -painiketta:
Tulos:
Aivan sama lompakko luotiin uudestaan ja uudestaan.
Reaaliaikaisen koodin vertailu vs koodi Githubissa
Saimme generoida lompakon HTML-lähteen GitHub-repo, ja etsittyään “eckey_test” -taulukon lähdekoodia ei löytynyt tulosta. Taulukkoa ei ole lähdekoodissa.
Halusimme verrata koodia edelleen, joten poistimme bitcoinpaperwalletista löytyvän javascriptin [.] Com Luo lompakko -sivu.
Tätä varten kopioimme kaiken komentotunnisteiden välillä, jotka sisälsivät “eckey_test”, ja liitimme sen a-tunnisteeseen javascriptin unimifier jotta käyttäjäystävällisempi tulos.
Koodin järjestys on hieman erilainen, mutta GitHub-lähteessä ei ole ”eckey_test” – tai “eckey_test” -logiikkaa..
Muut tiedot
Kun siirryt live bitcoinpaperwallet [.] Com -verkkosivustolle, joka kerta, kun sivu ladataan, uusi 60 avainarvoparia lisätään “eckey_test” -ryhmään.
Voimme nähdä, että avaamalla selaimet DevTools ja kirjoittamalla taulukon nimi:
Käyttämällä lyhyttä koodinpätkää saimme dekoodatut ns. “Testi” -avaimet ja tulostimme jokaisen avaimen ja sen dekoodatun vastineen konsolille:
eckey_test.forEach (merkintä => {const decoded_testKeys = { "dekoodattu_pubi": window.atob (entry.pub), "dekoodattu_priv": window.atob (entry.priv)}; console.log (merkintä); console.log (decoded_testKeys); });
Jokainen uusi lompakko (satunnaiset näppäinpainallukset, hiiren liike, napin painallus jne.) Palauttaa vain dekoodatun avainarvoparin luettelosta.
Lompakon luomisen logiikka vain lisää eckey_test-taulukon hakemistoa yhdellä joka kerta, kun uusi lompakko luodaan, kunnes se käy läpi kaikki matriisin kohteet. Vasta 60 lompakon luomisen jälkeen olemme saaneet sellaisen, jota ei ollut ryhmässä.
Yhteydenotto pörsseihin
Halusimme tietysti kertoa vastaanottavalle vaihdolle alustalla varastetuista kolikoista, jotta he voisivat auttaa tunnistamaan varkaan ja toivottavasti auttamaan lainvalvontaviranomaisia saattamaan heidät oikeuden eteen..
Lähetin suunnilleen saman sähköpostin Binancelle.
Polo palasi luokseni samana päivänä sanoen, että he tutkivat talletustapahtumaa ja näkevät, mitä he voisivat keksiä.
Binance oli pohjimmiltaan sama.
Ymmärrettävästi molemmissa tapauksissa meille kerrottiin, että koska nämä tilit eivät kuulu meille, ne eivät jaa meille päivityksiä tapauksen etenemisestä. He kertoivat meille tekevänsä yhteistyötä asiasta kaikkien lainvalvontaviranomaisten kanssa ja että uhrien olisi tehtävä poliisiraportti.
Uhreidemme on sittemmin toimittanut poliisiraportteja eri lainkäyttöalueillaan, mutta on epätodennäköistä, että poliisi toimisi näiden tietojen perusteella.
Johtopäätös
Tämä tutkimus on käynnissä ja päivitetään, kun jatkamme tutkimusta. Emme vielä tiedä varmasti, onko sivuston omistaja itse vastuussa näistä lompakon pyyhkäisystä vai onko joku kolmas osapuoli löytänyt hyödyn sivuston lähdekoodista.
Ottaen huomioon, kuinka monta kertaa sivuston omistajalle on ilmoitettu asiasta, ja kieltäytyminen korjaamasta sitä osoittaa varmasti, että hän voi olla vastuussa varastetuista varoista.
Lyhyesti sanottuna kukaan ei missään olosuhteissa saa käyttää bitcoinpaperwallet [.] Com -sivustolla luotuja lompakoita tallentamaan minkä tahansa määrän Bitcoiniaan. Olipa huolimattomuus tai pahantahtoisuus, sivusto ei ole luotettava, ja tällä sivulla olevien todisteiden pitäisi olla riittävät sen todistamiseksi.
UKK
Onko Bitcoinpaperwallet.com huijaus?
Kyllä, jos käytät bitcoinpaperwallet.com -sivustoa paperilompakon luomiseen, kolikkosi varastetaan. ÄLÄ käytä bitcoinpaperwallet.com-sivua paperilompakon luomiseen.