¿Cómo me han robado mis BTC?

Buenas,

Creo que he sido víctima de un robo de BTCs, os lo cuento por si alguien puede tener pistas sobre como lo han hecho y evitar más perdidas. Uso Ubuntu y como cartera Electrum (ultima version 3.0.5).

Hace dos días, envié 0,48 BTC a Bitfinex, hice un tradeo, y al cabo de un dia, hice un withdrawal con 0,481BTC de nuevo a mi wallet. Todo correcto, media hora después ya tenia un par de confirmaciones en mi wallet. (Ayer sobre las 21 de la noche). Me fui a dormir sobre las 23:30.

Ahora, mirando mi wallet, veo que tengo la misma cantida de BTC que tenia antes del withdrawal (Lo primero que he pensado es que finalmente el withdrawal estaría todavía pendiente de confirmación). Pero no. Los 0,481BTC sí habían llegado a mi cuenta. Pero tres horas más tarde, sobre las 00:28, hay otra transacción (Yo estaba ya durmiendo) justamente con el mismo importe 0,481BTC con una comision de 0,01BTC enviada a una dirección que no es mía.

Mi teoría es que tengo algún troyano que genera claves publicas en el Electrum y que alguien más las tiene (junto con su clave privada). Al detectar que he recibido BTCs a esa dirección, entiendo que se espera X tiempo y como tiene la clave privada, se los puede transferir a otra dirección…

Esta es la transacción del presunto robo: 983ea7d8420618238babb2a6f992f39a81fd54b17eada22b17885a3404775214

Me da miedo enviar lo que me queda de mi wallet a otra cartera por miedo a que me pase lo mismo. :frowning: Mi plan es crear una nueva cartera desde un ordenador limpio, y desde allí enviarme lo que me queda.

¿Alguna sugerencia?

3 Me gusta

Ledger

1 me gusta

o Trezor, pero sí, no es mala idea. Linux tampoco es invulnerable.

1 me gusta

Puede ser la vulnerabilidad de meltdown o spectre. Afecta a todo lo no parcheado, da igual que sea windows, linux, android…

Yo para largo plazo uso paper walllet

4 Me gusta

Efectivamente…como bien te han recomendado, usa un hard wallet, de hecho, es lo primero que debería hacer todo el mundo antes de comprar ni 0.1 BTC. Yo es lo primero que hice y ya tengo varios. Para mí es como salir de casa y llvarte las llaves o dejártelas piestas por fuera jeje.

Mírate los hilos de los wallets pero para mí estarían en este orden (ledger, trezor y keepkey) en este orden de más a menos prestaciones.

Hay hacks por 30$ que puedes comprar en páginas rusasy que te modifican las direcciones destino (sin darte cuenta) en las transacciones de monedas desde tus wallets. Cuando te das cuenta…los has enviado a otro diferente.

1 me gusta

Has probado a denunciar? Estaría bien saber cómo actúan en estos casos los que dirigen delitos informáticos y al igual que hacienda quiere rascar de nuestros bolsillos que cada uno haga su trabajo de la forma correcta.

Por lo que he leído, no me acuerdo donde pero en varios sitios, Electrum es vulnerable, no la aconsejan

1 me gusta

Crees que podrían hacer algo? Quizás el paripé poniéndote la denuncia en el monto de las tonto denuncias que no van a mirar ni los becarios. Yo directamente no perdía el tiempo en ver si pasaba o no algo.

@glucoso, podrías dar algo más de información sobre como tienes configurado tu sistema, para poder imaginarnos con algo de base como pudo hacerse el robo?
Por ejemplo, has dicho que usas Ubuntu: tienes el disco duro cifrado? Y la cartera de electrum? Tienes el archivo wallet.dat cifrado?
El ordenador al que haces referencia es portatil o de sobremesa? Lo utiliza alguien más? Puedes comprobar si, por ejemplo, tienes un servidor ssh instalado?

Lo primero que dirían es “mira, otro tonto que ha picado con lo de las moneditas virtuales esas” Ya sabe, reflexiones de poli listillo. (Un saludo a todos los cuerpos de seguridad del estado, que según ellos las cripto solo se usan para delinquir)

1 me gusta

Uso Ubuntu 16.04, actualizado. Solo lo uso yo, y solo para navegar y programar.

Tengo la semilla apuntada de forma física fuera del ordenador, de hecho, no suelo hacer movimientos, y una vez los he hecho borro tanto la carpeta electrum como .electrum (que es donde se guarda la info importante). Y cuando quiero volver a usar Electrum, me lo descargo de nuevo con la ultima versión, escribo la semilla y accedo de nuevo a la cartera. No pongo contraseña, ya que a los 10 minutos lo desinstalo y borro la carpeta .electrum. (quiza es aquí donde he fallado)

Es decir, el 99% del tiempo que tengo encendido el ordenador, no hay Electrum en el PC.

Lo único “raro” que he hecho, es cuando salio BCH. Y basicamente fue crearme una cartera nueva (nueva semilla) y traspasar los BTCs esta nueva, y despues reclamar los BCH con la wallet antigua (ElectrumCash). Aunque dudo que sea eso, desde ese traspaso, he hecho unas 8 o 9 transacciones, y nunca hubo problemas y muchisima gente ha hecho esto y creo que no han tenido problemas.

Estoy pensando denunciar, pero antes quiero investigar un poco mas para fundamentar mejor la denuncia.

1 me gusta

Como primera impresión, yo creo que el punto más vulnerable, más facilmente accesible, es esa semilla apuntada fuera del ordenador. Pensaría en si alguien más sabe que la tengo y donde la tengo, y quien ha podido acceder a ella.
El segundo punto seria alguien que tenga acceso físico al ordenador. Si no tienes el disco duro cifrado y cuando eliminas la carpeta .electrum no lo haces de forma segura (sobreescribiendola vaias veces), alguien con acceso físico a tu disco podría recuperarla.
La tercera posibilidad (siempre posible pero la más complicada) es un ataque mediante un keyloger u otro tipo de malware.

1 me gusta

Ummm, pues yo apuesto por tu tercera posibilidad. No creo que el ataque fuera sobre la semilla, ya que si fuera así, tendría acceso a todas mis direcciones ¿Porque no robarme entonces todos los BTCs? Solo ha podido robarme los que estaban en una address determinada. La única explicación que le veo es que cuando hice “copy” en la dirección de Electrum para recibir los BTCs, esa address estuviera comprometida previamente (A través de un troyano o similar). Y cuando envie esos BTCs de Bitfinex a esa dirección de mi wallet, el atacante solo tenia que esperar a que llegaran los BTCs para transferirlos a su cuenta.

1 me gusta

Que en la misma cartera tuvieses más BTC y que sólo te hayan robado los de una dirección, es realmente extraño.
La única forma de mover tus BTC es tener la llave privada de la dirección en que se encuentran, pero sólo se me ocurren dos formas de acceder a esa llave privada: o bien accediendo (física o telematicamente) al archivo wallet.dat (que es el que Electrum usa para leerlas), o bien accediendo (física o telematicamente) a la semilla, con la que se generan todas las llaves públicas y privadas de la cartera. Pero el caso es que en ambos casos no sólo tienes acceso a la llave privada de una dirección, sino de todas.
Al copiar la dirección para pegarla en Bitfinex, lo que copias unicamente es la llave pública de la dirección. Lo que entiendo que tú sospechas es que podrias tener una versión infectada de Electrum, que al hacer “copy” en la llave pública copiase también la privada, y la enviase al atacante. No digo que no sea posible, pero es extremadamente raro si, como dices, instalas Electrum cada vez que lo usas (lo instalas directamente de su web? Has comprobado la integridad del archivo que instalas?). Por otra parte, si tengo la capacidad de hacer un malware que al darle a “copiar” me copie y envie la dirección privada…Por qué no hacer que de paso me copie y envie todas las llaves, ya que están en el mismo sitio?
En cualquier caso, que sólo te hayan vaciado una dirección es un verdadero misterio. Dándole vueltas, me acordé de que una vez utilicé una semilla de Bisq para regenerar la cartera en Electrum. Después hice algun movimiento desde Electrum, pero en Bisq esos movimientos (y las direcciones de intercambio que se me habian generado) no aparecían. Quiero decir con esto que talvez (confieso que en este caso no tengo ni idea, sólo especulo) si alguien tuvo hace tiempo acceso a tu semilla, y regeneró la cartera con otro programa distinto que Electrum, no le aparecieron todas las direcciones que habia. Pero, al hacer un movimiento nuevo (esa transacción recibida desde Bitfinex), ésa transacción si que le apareció, y por eso movió esos 0,48 BTC. Es decir, que quizás se pueda dar el caso de que no haya movido tus otros BTC porque aún no sepa que los tienes.
En cualquier caso, yo de ti haria lo siguiente: Me descargaria inmediatamente Tails, que tiene Electrum instalado, y desde él regeneraria mi cartera con la semilla y moveria todos los BTC que te queden para una nueva cartera, generada también desde Tails.
Mucha suerte, y si descubres algo más, mantennos informados!

2 Me gusta

Muchas gracias por los consejos, Bitnos! Así lo he hecho y ahora están en el Electrum de Tails.

Cuando descargaba electrum, lo hacia desde consola, asi: “sudo pip3 install https://download.electrum.org/3.0.5/Electrum-3.0.5.tar.gz”. aunque si te digo la verdad, no comprobaba el checksum.

El ordenador, lo le formateado y vuelto a instalar todo de nuevo, ya que no me fiaba ni un pelo.

En fin, seguiré investigando quien /o que a podido quitármelos. Y descubrir el misterio de solo robarme una address.

Has reclamado Bitcoin cash o Bitcoin gold, u otras shitcoins? igual que solo accediesen a alguna puede venir por ahí?

Te han robado 5 mil euros y estás “pensando” denunciar? No entiendo por que no lo has hecho ya…

2 Me gusta

Formateando sin haber hecho una imagen del disco, complicado veo que encuentren algo.

Porque no le da la gana. Lo hara cuando quiera. ¿A ti que mas te da?.

Y a ti que más te da lo que yo escriba? Esto es un foro, la gente viene a debatir cosas, si no quieres recibir opiniones no participes en un foro, ¿Te parece?

1 me gusta