Bitcoinpaperwallet.com | Er det en fidus? Casestudie 2021
TL; DR:
Hjemmesiden bitcoinpaperwallet [.] Com kører en tegnebog fejende fidus, hvor brugere, der genererer papir tegnebøger på stedet, ikke er de eneste med private nøgler til mønterne. BRUG IKKE bitcoinpaperwallet [.] Com til opbevaring af mønter af enhver art.
Hjemmesiden for bitcoinpaperwallet [.] Com
Baggrund
Du kan springe baggrunden over denne historie over, hvis du vil gå direkte til forskningen
Hvordan vi laver SEO
Som en del af vores regelmæssige arbejde her på privacypros er en ting, der er mest i tankerne for os, google placeringer.
Det vil sige, at vi ønsker, at vores sider skal rangere så højt som muligt for at øge antallet af klik og forhåbentlig øge salget.
En del af gode placeringer er at tjene eller oprette backlinks af høj kvalitet til vores sider.
En strategi, vi bruger til at øge de backlinks, der går til vores websted, er at købe eksisterende hjemmesider og omdirigere dem til vores egne sider.
To eksempler på denne praksis var vores erhvervelse af bitbonkers.com og bitcoinfees.info.
Disse sider havde begge tjent tusinder af backlinks af ekstremt høj kvalitet og modtaget tusindvis af besøgende om måneden i organisk og direkte trafik.
Vi laver ikke meget (hvis noget) ud af disse sider, men de har en tendens til at øge placeringen af vores andre sider, og det er derfor, vi vil have dem.
For godt til at være sandt?
Vi finder de websteder, vi ønsker at købe, gennem en række forskellige metoder. Nogle gange bruger vi værktøjer som ahrefs.com. Nogle gange snubler vi selv over siderne. Nogle gange kender venner ejerne.
I tilfældet med bitcoinpaperwallet.com ledte vi specifikt efter et papirfremstillingsværktøj som ledsager til vores side om papirbøger.
Dette websted havde fantastiske metrics.
For eksempel var dens backlink-profil sindssyg. Masser af relevante backlinks af høj kvalitet, vi ønsker at gå til vores websted, såsom coindesk, cointelegraph, bitcoin.com og andre store nyhedsnetværkslinks som nypost og digitale trends.
Men vigtigst af alt (og mest farligt ville vi komme til at finde ud af det), det rangerer nr. 1 for vores målnøgleord “Bitcoin Paper Wallet”.
Og som det viser sig, havde vi købt et bootbar linux-installationsprogram fra webstedet i 2017, så vi antog, at de helt sikkert var en legit operation.
Dette var nok for os at prøve at nå ud til ejeren af webstedet og komme med et tilbud.
Kontakt ejeren
Efter at have foretaget noget slør syntes webstedet at tilhøre en person ved navn Canton Becker, der stadig vedligeholder det github-lager, som webstedet tilsyneladende stadig refererer til.
Imidlertid hævdede en note om LÆS MIG, at Canton havde solgt hjemmesiden i 2018 og til at henvende sig til den nye ejers e-mail-adresse.
Vi forsøgte at nå ud til den nye ejer på [email protected], men uden svar.
Så vi nåede ud til Canton direkte i håb om, at han måske havde en alternativ måde at kontakte ham eller hende på.
Og efter lidt frem og tilbage fortalte han os, at han gennem årene havde modtaget flere e-mails fra enkeltpersoner, der hævdede at have mistet penge ved at bruge siden.
Yderligere forskning frembragte denne tweet som svar på en BlockDX-tweet, der beder om andre kendte hacks, der skal tilføjes til deres liste.
Disse var dristige påstande. Især i betragtning af hvor fyldt papirpunge kan være med hensyn til brugerfejl.
Var inkompetente brugere bare ved at generere deres papirpunge tilfældigt og bebrejde webstedet, da de uundgåeligt mistede deres mønter? Eller … brugte den nye ejer skadeligt webstedet til at trække bitcoin i sin egen lomme (og ethereum og litecoin via papirbøger, der også blev solgt af Canton til den nye ejer)?
På dette tidspunkt var vi ikke længere interesserede i webstedet – vi ønskede ikke ansvaret.
Men vi ønskede at vide, om vi kunne bevise påstandene om bitcoinpaperwallet.com og forhåbentlig bruge vores webstedsmyndighed til at advare andre.
Så det er det, vi satte os for at gøre …
Kædeanalysen
Den første ting, vi havde brug for, var at komme i kontakt med disse påståede ofre.
Canton gav disse personer vores e-mail-adresse, og en ved navn Kunal nåede ud til os med en BCC af flere andre også.
Vi informerede kunal om, at vi faktisk havde til hensigt at komme til bunds i dette, men vi havde ikke noget ønske om at gøre noget, før vi havde et meget solidt bevis for, at der var sket svindel.
Canton havde trods alt advaret os om, at han måske havde lavet en fejl ved kodning af entropi-genereringsprocessen, og nogen, der ikke var relateret til den nye ejer, havde udnyttet den.
For nu havde vi brug for så mange drænede adresser, som vi kunne få fat i.
Kunal leverede, da han havde talt med mange andre ofre og havde samlet adresser fra dem.
Adresserne, han gav os, er som følger:
- 14MKVLrhaBSkqbqebQMKAqyiNhK7ir68Yh
- 1JE4yb89gEHTeZ8x9TqfN3cc6dUUSH7D5d
- 1MNdw5RKRTbatWbMTqHvntg7RLRL1WxfAC
- 17rC3BHboioNxJWvVynh7agmaiYrDTjmE6
- 19LxQ1FpJwnUokcRBNA2gnwB2FG5TbY9C5
- 18SNBJsJ1MX7qkkxfX6zKbqjLpzZK8QxjA
- 1BxPiuddFh7vz83BCFM9ZKUV75jUJyvJUv
Herfra overgav vi dem til en ven, der arbejder i blockchain-retsmedicin, Tony Sanak.
Du kender muligvis hans youtube-kanal, Udforsk Crypto!
Tony henviste os derefter til sin kollega hos Blockchain Intelligence Group, som var i stand til at bruge deres QLUE-værktøj til at analysere transaktionerne. Vi orienterede BIG’s retsmedicinske efterforskningsteam om, hvad vi gik på, og spurgte, om de kunne hjælpe os.
Og dreng, gjorde de!
Efter et par dage kom de tilbage til os.
Jeg vil lade dem tale med deres egne ord:
De leverede også denne grafik:
Jeg vidste allerede svaret og spurgte dem, om der var nogen måde, det var inkompetent.
I tilfælde af B var der to deponeringstransaktioner – begge i Binance.
- Transaktion hash ea348ad9acfed2881d208826a08a15335d58be223b1fa2f38c8bfbd58f357403.
- Transaktion hash 4a75df5f18290563091e29856eb433c574e5005b2c4703811def6be6b24f565a
BIG fortsætter:
I tilfælde af Kunal var der også to deponeringstransaktioner.
- Transaktion hash 876f356c26526e26c77936f09165164e401ef8224deae4ede379e84cf56d1ead ind i Poloniex.
- Transaktion hash aae921b285694be00fc88d140f49b7b93070d2c7e34c928a68532ea439cbb374 ind i Binance.
Kodegennemgang
Vi foretager stadig en kodegennemgang af livewebstedet vs kode på Github og det ved Bitadresse.
Tidligere kodevurderinger af bitcoinpaperwallet [.] Com tidligere har afsløret udnyttelser før (som vist i videoen nedenfor med tilladelse fra mycrypto.com tegnebogsteam).
I dette eksempel ser koden ud til at skabe et billede af papirpungen (som inkluderer de offentlige og private nøgler) og uploader derefter en kopi af den et andet sted – formodentlig til en drevmappe, som ejeren af hjemmesiden kontrollerer.
Dette er en god tråd forklarer deres forskning fra 2020.
Denne metode til dræning af tegnebøger ser ud til ikke længere at være i brug, da der ikke længere synes at være mere ‘imgloaded’ -funktion.
Vi kontrollerede dette ved at gå offline og forsøgte derefter at generere en adresse
http: // bitcoinpaperwallet [.] com / bitcoinpaperwallet / generer-tegnebog.html
Derefter kontrollerede vi i browseren devtools netværksfane for eventuelle mislykkede xhr- eller henteanmodninger, men kunne ikke finde nogen.
Dette vil indikere, at tegnebøger drænes ved hjælp af en anden metode nu, end de var i maj 2020, da mycrypto lavede denne video.
Andre online teoretiserede, at webstedet måske genererede duplikatadresser, men vi genererede over 10.000 selv og fandt ingen dubletter.
Vi undersøger stadig, om duplikatgenerering kun er en sikkerhedskopi til xhr-anmodningen.
Opdatering af kodeoversigt 23. februar 2021
Følg trinene fra dette reddit-indlæg.
Gem HTML-generatoren på computeren
På bitcoinpaperwallet [.] Com Generér tegnebog, højreklik på siden og vælg “Vis sidekilde”.
Dette åbner kildekoden til HTML-siden i en ny fane.
Herfra kan vi enten vælge alt og indsætte det i en ny HTML-fil eller højreklikke på siden og Gem som, hvilket vil bede os om at gemme sideindholdet som en .html fil.
Find det lange sæt “testtaster” repræsenteret af “eckey_test = [{…}];” og udskift det med kun et enkelt tastatur
Efter at have åbnet filen med en kode eller en teksteditor, skal vi søge efter filen “Eckey_test” array.
Dernæst udskiftede vi hele eckey_test = [{…}] array med kun et enkelt tastatur, som det, der er angivet i reddit post-eksemplet:
eckey_test = [{pub:"MUtDQ25Td05uQ0I0Y05ZN0hFc0hja1M4Vjk5bUxFNjJKZQ ==",priv:"NUpreTZtM2lZS2FxTm1NZ2NvaEdYb2o0dXVyVTNXaXhiak54R1N4NmNlbmU3S25FWGR6"}];
Læg generatoren op. Det genererer nøjagtigt den samme (forudsigelige) tegnebog igen og igen
Vi åbnede filen lokalt i en browser:
Hver gang en ny tegnebog blev genereret, returnerede den nøjagtigt det samme forudsigelige resultat.
Generering af en ny tegnebog ved at trykke på knappen “Spring over”:
Resultat:
Generering af en ny tegnebog ved at flytte musen og skrive tilfældige tastetryk i boksen:
Resultat:
Generering af en ny tegnebog ved at trykke på knappen “GENERER NY PAKKE”:
Resultat:
Den nøjagtige samme tegnebog blev genereret igen og igen.
Kodesammenligning af live site vs kode på Github
Vi fik generere-tegnebogen HTML-kilde fra GitHub repo, og efter at have kigget i kildekoden for “eckey_test” -arrayet, var der intet resultat. Arrayet findes ikke i kildekoden.
Vi ønskede at sammenligne koden yderligere, så vi afkæmpede javascriptet, der blev fundet på bitcoinpaperwallet [.] Com Generate Wallet page.
Til dette kopierede vi alt mellem script-tags, der indeholdt “eckey_test”, og indsatte det i en afkobling af javascript for at give et mere brugervenligt resultat.
Kodens rækkefølge er lidt anderledes, men der er ingen “eckey_test” eller “eckey_test” -logik i GitHub-kilden.
Anden info
Når du går til webstedet live bitcoinpaperwallet [.] Com, tilføjes et nyt sæt på 60 nøgleværdipar i “eckey_test” array hver gang siden indlæses..
Vi kan se det ved at åbne browserne DevTools og indtaste arraynavnet:
Ved hjælp af en kort kode, der blev klippet, fik vi de dekodede såkaldte “test” -taster og udskrev hver tast, og den blev afkodet modstykke til konsollen:
eckey_test.forEach (post => {const decoded_testKeys = { "afkodet_pub": window.atob (entry.pub), "afkodet_priv": window.atob (entry.priv)}; console.log (post); console.log (afkodet_testKeys); });
Hver genereret ny tegnebog (tilfældige tastetryk, musebevægelse, knaptryk osv.) Returnerer bare det dekodede nøgleværdipar fra listen.
Logikken til generering af tegnebogen øger bare indekset for “eckey_test” -arrayet med 1, hver gang en ny tegnebog genereres, indtil den går gennem alle elementerne i arrayet. Først efter 60 tegnebøger, vi genererer, fik vi en, der ikke var i matrixen.
Kontakt udvekslingerne
Selvfølgelig ville vi fortælle de modtagende børser om de stjålne mønter på platformen, så de kunne hjælpe med at identificere tyven og forhåbentlig hjælpe politiet med at bringe dem for retten.
Jeg sendte mere eller mindre den samme e-mail til Binance.
Polo kom tilbage til mig samme dag og sagde, at de ville se på indbetalingstransaktionen og se, hvad de kunne komme med.
Binance var dybest set den samme.
I begge tilfælde fik vi forståeligt at vide, at da disse konti ikke tilhører os, ville de ikke dele opdateringer med os vedrørende fremskridt i sagen. De fortalte os, at de ville samarbejde med ethvert retshåndhævende organ angående sagen, og at ofrene skulle indgive en politirapport.
Vores ofre har siden indgivet politirapporter i deres forskellige jurisdiktioner, men det er usandsynligt, at politiet vil reagere på disse oplysninger.
Konklusion
Denne undersøgelse er i gang og vil blive opdateret, når vi fortsætter vores forskning. Vi ved endnu ikke med sikkerhed, om ejeren af webstedet selv er ansvarlig for disse tegnebogsfejninger, eller om en tredjepart har fundet en udnyttelse i webstedets kildekode.
I betragtning af hvor mange gange webstedejeren er blevet informeret om problemet, og hans afvisning af at rette det angiver bestemt, at han kan være ansvarlig for de stjålne midler.
Kort sagt, under ingen omstændigheder skal nogen bruge tegnebøger genereret på bitcoinpaperwallet [.] Com til at gemme nogen mængde af deres Bitcoin. Uanset om det er uagtsomt eller ondskabsfuldt, er webstedet ikke pålideligt, og beviset på denne side skal være tilstrækkeligt til at bevise det.
FAQ
Er Bitcoinpaperwallet.com en fidus?
Ja, hvis du bruger bitcoinpaperwallet.com til at generere en papirpung, får du dine mønter stjålet. Brug IKKE bitcoinpaperwallet.com til at generere en papirpung.