Hackeo en Blockchain.info. Robo de bitcoins de una cuenta

Buenos dias,

Tengo una amiga que le han robado sus Bitcoins desde el wallet de Blockchain. Me ha pedido ayuda para investigar lo que ha pasado y lo que me he encontrado me parece tan jodidamente raro que lo quiero comentar. Al princpio pensaba que tendria un troyano, pero despues de investigar un rato me da la impresion que hay un fallo de seguridad de la web Blockchain.com y su pasarela de pagos

Os comento el tema a ver si a alguien se le ocurre algo más. y para que vayais con cuidado si guardais vuestros Btc’s allí

Explico:

Ella ha comprado BTC desde la misma web de Blockchain.com. Blockchain no tiene Exchange propio, así que utiliza una pasarela con Coinify.com para recibir las compras

El otro dia al conectarse a Blockchain.com vio una orden de envio a un wallet desconocido que ella no había realizado. Le dejaron la cuenta a 0, y lo más raro de todo es que la orden no se había ejecutado desde el propio Blockchain sino desde la cuenta de Coinify.com!

adjunto foto para que se vea:

no me digais que no es raro ese SENT con la nota de (Bought via Coinify.com)

Da toda la impresion que le han vaciado la cuenta desde la cuenta asociada de Coinify, una cuenta que ella no tenia ni idea de que tenia

Alguna idea?

No he usado Coinify pero blockchain.info no es hackeable del lado del servidor, porque las cuentas están en la blockchain, y las claves las almacena el usuario, cifrando y descifrando la wallet en su navegador.

Dicho esto el problema parece evidente: hay un troyano del lado del cliente, esto es en el PC casi con total seguridad. Y ese troyano ha sido usado para efectuar, no ya una transferencia, sino que además ha efectuado la venta de los BTC a través de la pasarela.

Si ese PC no tiene normas profilacticas claras ese debe ser el problema casi con seguridad. Yo lo formatearía.

4 Me gusta

Que crack @erizo, podrías poner un par de consejillos para evitar estos disgustos?

1 me gusta

Para entendernos: blockchain info es como Bitcoin Core, pero la enorme blockchain la soporta el servidor, en vez de pelear el usuario con ella. De entrar la clave privada se encarga un guión de javascript en el navegador del usuario.

Podría ocurrir, sí, que un hacker entrase en el servidor de blockchain.info y cambiase el código javascript que tienen que descargar los navegadores…pero entonces todos los usuarios empezarían a ser hackeados, el problema se haría evidente y se pararía. Solo afectaría a los usuarios que se hubiesen conectado desde el hackeo. Las wallets que no estuviesen en línea no tendrían problemas.

Lo mejor es usar un PC que no se use para navegar, con todas las actualizaciones, antivirus y chequeando cualquier dispositivo USB que se le acople (y desactivado el autoarranque)

También tener configurada la doble clave de seguridad para transferir fondos. Yo también uso esa wallet online y jamás he tenido problemas.

3 Me gusta

Gracias Erizo. Sé como funciona la encriptacion del wallet en el lado del cliente de blockchain.info. Y mi primera idea también fue que habían hackeado su PC. Pero mientras mas investigo menos claro lo veo

El dia del Hackeo ella se conecto desde el ordenador de su madre. Cosa que no había hecho nunca antes. Me cuesta de creer que tuviera un troyano un ordenador profano al mundo Bitcoin.

Por otro lado, he accedido a la cuenta de Coinify asociada (haciendo un recuperar contraseña) y veo que se ejecuto una orden de compra de Bitcoin de la misma cantidad robada a la misma hora del robo.
Adjunto foto

Sigo pensando que algo hay en la API con la que trabajan estos dos servicios que tiene una falla de seguridad.

No tengo ni idea de como se implementa esa pasarela con Coinify, pero

  • Si los fondos comprados estaban transferidos a tu dirección de blockchain.info con una confirmación al menos, entonces es un troyano.

(Porque una infección del servidor de Coinify no podría afectar a tu Pc (a menos que hubiese ocurrido a todo el mundo, harto improbable)

  • Si los fondos No fueron transferidos a tu dirección de blockchain.info antes de desaparecer, entonces Coinify ha sido hackeado como tantos otros intercambios.
1 me gusta

Investigo y te digo.

Gracias por la respuesta!! :heart_eyes:

Me parece mucha casualidad que le roben precisamente el mismo día que se conecta con un ordenador diferente. Lo primero sería pensar que dicho ordenador está comprometido, y que al meter sus datos de acceso, un keylogger se los ha capturado.

No tiene por qué ser un ordenador que se haya usado con criptomonedas. Basta que no esté actualizado, no tenga antivirus o firewall, o se hayan descargado archivos dudosos sin saberlo. El ordenador de mi padre está infectado cada vez que lo veo ya que le da a todo mensaje que le sale en la pantalla aunque sea un engaño evidente.

Desde luego era fundamental tener un método de acceso 2FA en su cuenta, blockchain.info admite SMS y Google authenticator.

Lo de Bought via Coinify puede ser simplemente una orden de venta con ingreso hacia una tarjeta de crédito o cuenta bancaria lanzada desde blockchain.info

De todas formas es fundamental reportar el caso a blockchain.info a ver que pueden decir, y por supuesto a la policía. Con suerte, puede que su seguro de hogar tenga alguna cláusula de robo mediante hackeo informático.

1 me gusta

Buenas!!

Gracias por responder. Me estoy volviendo loco con el hackeo este,

He hecho unas cuantas pruebas. Entiendo que si hubiera un troyano en alguno de los ordeandores que operaban se deberia volver a activar al conectarse de nuevo
Así que con dos cojones, he enviado btcs a la cuenta comprometida y me he logado desde su ordenador y desde el ordenador diferente (en el que se produjo el hackeo).
Me la he jugado con 0.007btc, y no ha pasado nada de nada…
Los pcs están igual que durante el hackeo, no se les ha pasado el antivirus, así que entiendo que no van por ahi los tiros.

A mi lo que más me extraña es el registro que guarda Blockchain.info de actividades recientes.

Si te fijas el dia 22 en que se produjo el robo, no pone “Sent” pone Bought, en rojo!!!
Si una persona, un hacker, un troyano o cualquier ser maligno se conecta a traves de un ordenador comprometido y envia btcs a otra cuenta debería poner “SENT”, pero pone “BOUGHT” y en rojo
Pero como se puede comprar en negativo? es que no tiene ningún sentido.

Fijaros el historial todas las operaciones son normales y tienen sentido menos la del 22

Seria de gran ayuda si alguien nos puede ayudar o aportar ideas. La chica ha perdido sus ahorrillos con la historia esta.
:disappointed_relieved:

Pienso que lo primero seria preguntar a blockchain.info qué significa ese “Bought BTC” en rojo, para poder hacerte una idea de lo que ha pasado.

1 me gusta

El tema está en la cuenta de Coinify asociada, puesto que esa es la que ejecutó la compra, estate seguro que no es Blockchain.info

No se como va Coinify ¿cómo se accede? ¿es una dierección aparte, se entra desde Blockchain.info? cuéntame a ver si se me ocurre que puede haber pasado

1 me gusta

Hola, soy la chica a la que le han robado.

Si no me equivoco, a Coinify se accede automaticamente desde Blockchain. Cada usuario tiene una contraseña para acceder a Coinify, pero yo no tenia ni idea de que la tenia. Paumiau, que me ha estado ayudando en todo esto ha entrado en Coinify haciendo recuperar la contraseña. Una vez en Coinify, seguimos investigando. Pero lo normal es no tener que entrar en esta pagina para nada, puedes operar desde Blockchain.info y ya está.

Por otro lado, he escrito (otra vez) a Blockchain.info para que me expliquen qué significa ese “Bought BTC” en rojo cuando en teoría lo que se hizo fue un envio el dia del robo. A ver que contestan…

Gracias por la ayuda! Os sigo contando

2 Me gusta

En resumen:

Tenías un saldo de X btc, el día 22 aparce una operación Bought BTC en rojo por 0,3565 BTC y entonces te queda un saldo de X-0,3565

¿Es así?

Si es así, entonces Coinify está hackeado o tiene un bug, me parece claro. Te tendrán que indemnizar.

Es así. Sólo que esto ocurre en el momento que entro en Blockchain.info desde el pc y en cuestion de minutos se valida la orden que yo no habia ejecutado. Pero ya hemos comprobado que no hay ningun troyano.
Que bien! Ya he escrito a Blockchain.info. En general me han dado largas, si vuelven a contestar que es un fallo de seguridad mio y que la tecnología de las criptomonedas no permite hacer contracargos, ¿alguna idea de como hacer mas presión?
También voy a denunciar a la policia, sólo que antes de denunciar quería comprobar que no habia un fallo de seguridad por mi parte.

1 me gusta

Diles que no hay ningún fallo de seguridad por tu parte y que vas a denunciar a la policía, a ver si te dicen algo más.

1 me gusta

Totalmente!! yo también creo que van por ahí los tiros

Cuando haces la primer compra o venta a través de blockchain.info, se crea una cuenta en Coinify con tu e-mail y un password aleatorio. Este proceso es transparente para el usuario, ni te avisa que has creado una cuenta en Conify ni del password que tienes allí.

Si vas a la web de Conifiy y haces un “recuperar contraseña” puedes acceder a esa cuenta creada automaticamente.
El caso es que la seguridad de esa cuenta de Coinify asociada a la de blockchain.info es cutre de cojones, no tiene ni 2-factor, ni aviso por e-mail, ni sms, por defecto.y resulta que tan solo con petar el password de esa cuenta puedes efectuar compras o ventas desde esa plataforma

Aún y así son compras o ventas asociadas a un ingreso en cuenta, por lo que no acabo de ver como se ha hecho el “bought by Coinify” para hacer un envío. Parece ser algo que permite hacer la pasarela, la API entre Coinify y Blockchain.

1 me gusta

Parece cosa de Coinify directamente. Desde tu PC no parece que hayan podido leer la contraseña, así que me temo que Coinify tiene un agujero de seguridad King-Size-

¿Por qué no lo poneis en Reddit, en inglés, para que la gente lo vea y los de Coinify reaccionen?

1 me gusta

Me han contestado esto (traducido al castellano):
"Si entiendo correctamente, tiene una transacción que envía fondos de su billetera, que no ejecutó. ¿Es eso correcto?

Si es así, siento mucho escuchar esto. Es posible que tenga algún tipo de malware en su computadora que resulte en el robo de sus fondos debido a que su información privada se obtuvo de alguna manera. Uno de los tipos más comunes de estos son las extensiones del navegador que se hacen pasar por cotizaciones de precio de bitcoin que en realidad están robando la información de su cuenta. También existe la posibilidad de que haya visitado un sitio de phishing que se hace pasar por Blockchain. También hemos oído hablar de virus informáticos que detectan cuándo se encuentra una dirección en el portapapeles y reemplazan la que desea utilizar con una dirección controlada por esta parte malintencionada.

Por diseño, Blockchain nunca tiene acceso a las cuentas o fondos de los usuarios. Si mantiene su contraseña y copias de seguridad de claves privadas seguras, entonces sus fondos estarán siempre seguros con nosotros. Como esta información se ha visto comprometida, asegúrese de no utilizar nunca esta billetera ni las direcciones que contiene. También recomendaría no usar la misma contraseña nuevamente. Lamento mucho que te hayan robado fondos. Esa ciertamente es una experiencia extremadamente frustrante."

Es lo que yo te decía desde el principio: Blockchain.info no tiene acceso a las claves, así que no puede ser culpa de Blockchain.info.

PERO, Coinify no es Blockchain.info, es un exchange de terceros, y como tal puede ser robado.

Puedes comentarselo, que el sistema de blockchain.info es seguro, pero que dudas de Coinify, que es una pieza separada.

Por otra parte podrías comprobar en el historial de tu navegador si alguna vez entraste en alguna página de pishing, similar a blockchain.info, con algún nombre muy muy parecido y/o sin https. Eso también lo explicaría, habrían capturado tu clave.

1 me gusta

Ok, gracias erizo. Ya les he contestado denuevo.
Explicaré el tema en Reddit y voy a denunciar a la policia. A ver que pasa…