Robo en jaxx # Aviso para que no os pase a vosotros #

Hola chicos, necesito ayuda ya q me han vaciado el wallet jaxx. A alguien más le ha pasado? Alguien me puede instruir como denunciarlo?

Pero lo tenias instalado y te ha desaparecido todo, o lo has reinstalado en otro ordenador o teléfono???
Tienes las 12 palabras de recuperación??

Me explico mejor, han realizado una transferencia desde mi wallet a otro, y yo no he sido.

No me jo… Menudo marrón. Y lo tenias protegido con pin??

Creo que ha sido por usar coinomi para reclamar los BTG con las palabras, es la única manera que se me ocurre en las que he usado las palabras…

Con las palabras recuperando el wallet en otro soporte podrian hacer transacciones…

Menuda p… espero que haya sido una cantidad no muy grande.
Siempre cuando hagas eso, crea una Wallet nueva con nuevas palabras y transfieres todo el saldo que tengas, así te evitas el riesgo de haber expuesto tus palabras de recuperación a ojos ajenos.
Espero que no te hayan hecho un agujero muy grande…

1 me gusta

Pues entre la mía y la de mi hermano que le ha pasado lo mismo 0,2BTC.

Espero que esto sirva de aviso a todos y sigáis los consejos no como yo…

Siguiendo las cadenas existe alguna manera de denunciarlo?

2 me gusta

Pues es un dinerillo, puedes denunciarlo, en el momento que esa dirección, o a las futuras direcciones a donde se manden, entren en un Exchange o en cualquier sitio donde hace falta registro, pues estaría localizada la persona, aunque lo mas logico es que la empiecen a marear con otras cripto mas anónimas como monero y se le termine perdiendo la pista.

lo siento

Es una putada, lo más probable es que tengáis un virus o keylogger bien en el móvil o el ordenador.

Un keylogger habría capturado las 12 palabras bien del portapapeles o al escribirlo en el teclado.

Un virus o malware (creo la teoría nada más probable) las robaria fácilmente del mismo Jaxx en el PC, ya que este guarda el archivo del wallet sin encriptar (bueno, encriptado con una clave fija y conocida que es lo mismo). Ya adverti en varias ocasiones que Jaxx no es fiable, por este fallo conocido.

Donde tenias Jaxx, en el PC o móvil? Has hecho un copia y pega de la clave de 12 palabras en ese ordenador? Si es así cuando?

Por supuesto puedes y debes denunciarlo a la policía, es un dinero y constituye un delito. Si en algún momento pillan al responsable aunque sea en otro pais, pueden seguir el rastro del dinero desde el wallet que ha usado para guardar los fondos robados. Asegúrate de incluir todos los datos posibles en la denuncia.

Siento mucho tu pérdida.

1 me gusta

El hecho de que guarde la semilla sin encriptar, sí que entiendo que un virus podría explotarlo y mandarla a algún lado para luego recuperar la cartera, pero si es un keylogger poco se puede hacer con cualquier cartera ¿no? No sería sólo es un problema de JAXX.

Leí, que decías de pasada, hace un tiempo que sueles usar máquinas virtuales para controlar la seguridad de las carteras y que ahora usas un trezor también. Creo que usas linux por tus comentarios. ¿Tienes algún protocolo de seguridad específico para poder estar tranquilo?

Tanto que nos venden la moto con la seguridad, la criptografía… y al final todo es una mierda. Mejor tener lingotes de oro bajo una baldosa.

Hombre tampoco es eso, lo único que si no se tienes determinadas cosas encuenta pues puedes sufrir un robo de credenciales. Lo que no puede impedir la tecnología es que tu expongas lo que no debes donde no debes.
Estoy seguro que a mas gente le han robado el oro de su casa que ha usuarios de criptomonedas sus credenciales.

Por eso es que las criptos dan tanto beneficio, el riesgo es altisimo de que el proyecto al que le compres monedas fracase, o que te roben, o que la barrera de entrada sea tan dificil.
Pero tu ve a ver quien te de un 100% de beneficio en 1 mes, 1 semana.
Vamos ahi tienes los bancos, ahi guardadita tu pasta por un 0.5% anual.

En esto de las criptos hay que estar en modo paranoico, tener 2 portatiles, uno exclusivo para transferir y desconectado de internet. Tener hardware wallets, etc.

1 me gusta

En efecto un keylogger podría capturar una semilla o una contraseña (passphrase) de un wallet que copiaramos en el portapapeles o escribieramos y usarla para robar los fondos. Yo no es que sea el más indicado para temas de seguridad, quizás otros usuarios puedan daros mejores consejos.

Yo lo que hago es tener un ordenador separado para instalar wallets que no sean muy fiables (y asi protegerme de posible malware) aunque también podría usarse una máquina virtual. También uso una máquina virtual Linux para usar wallets de este S.O. (suelen ser más seguros que los de Windows).

Tengo las semillas y claves privadas en un disco externo y con segunda copia en un pendrive, en un archivo Keepass encriptado. Si tengo que abrirlo y usar una de ellas no la copio entera en el portapapeles, lo hago por partes y en orden inverso, o dejo algunos caracteres sin copiar y los memorizo, y luego los escribo a ser posible en otro orden recolocanto el cursor, vamos pequeños trucos que no son la panacea pero pueden ser efectivos.

Por supuesto el ordenador principal siempre con antivirus actualizado, aunque lo ideal es usar un ordenador dedicado a las criptos donde guardemos los fondos u otra máquina virtual. Y siempre guardado copia de las claves privadas o semilla en dicho archvo Keepass por si acaso (a la hora de hacer la copia desconectarse de Internet). Por otro lado, la cuenta de Google siempre con 2FA activado para que no roben el email y también en los exchanges.

Está la opción de usar paper wallets, yo personalmente no lo he hecho aunque ahora con el Trezor que guarda mis principales fondos duermo más tranquilo (cuando tienes bastante rendimiento en criptos ya compensa gastarse un dinero en mejorar la seguridad). Pero los paper siguen siendo una excelente opción.

No se que otros consejos dar, supongo que todo tiene que hacerse con sentido común y sobre todo ser lo más paranoico posible a la hora de tratar datos sensibles como las claves privadas, contraseñas, wallets etc.

PD se me olvidaba, respecto a las contraseñas hasta ahora usaba Chrome para guardarlas, pero desde que comprobé por mi mismo que cualquier programa ejecutado en el PC puede sacar una lista de todas las contraseñas guardadas (usa encriptado fijo como Jaxx) busco alternativa, por lo pronto uso el gestor de Avast pero quiero cambiar a otro como Lastpass o 1Password. De toda formas en cuentas con 2FA que son la mayoría esto no me quita el sueño.

7 me gusta

En este mundillo que nos movemos es de vital importancia ser paranoico en la seguridad,para que no pasen casos de este tipo.
No veo nada seguro los sistemas virtuales,puesto que si el virus controla el sistema principal tambien controla los virtuales.
Para tener una seguridad aceptable yo propongo algunas medidas:

1.- No utilizar moviles,es el lugar perfecto para infectarte sobre todo con las descargas de app.
2.- Utilizar un sistema operativo linux en un usb.Descargarlo de la casa oficial y comprobar la descarga,cada operacion o lo que sea que hagamos quedara borrado para una próxima vez. (con esto evitamos tener otro ordenador y garantizamos un s.o. limpio)
3.- Teniendo claro el segundo punto esto ya no es necesario pero por aumentar la seguridad añadimos un teclado virtual y por supuesto el internet apagado cuando escribimos la clave privada y antes de conectarlo a la red borramos el historial del portapapeles.

4 me gusta

Hola, algo sé de seguridad informática y formación.
Lo que digo es por experiencia y formación, luego cada uno que haga lo que quiera.
NO hay volverse paranoicos con esto.
En Linux por ejemplo hay malware e incluso más dañino.
A ver esto es como gestionar una cuenta bancaria online.
Las propias páginas incorporan sus sistemas de seguridad, cierto que tienen que mejorar seguridad los wallets, Exchange, etc pero van por el buen camino.
Con las criptomonedas hay que tener hábitos de seguridad que se tienen con otras cosas, tampoco volvernos paranoicos.
Luego otro tema importante es el capital que movemos, lógicamente a mayor capital más medidas de seguridad

El principal problema es que esto está empezando y hay gente que intenta engañar.
Por eso es importante tener referencias antes de utilizar un wallet, Exchange, etc más que las propias medidas de seguridad que tú puedas tener.
Como te quieran crakear lo van a hacer por muchas medidas que tomes.
Saludos

Hombre y lo de guardar passwd en Chrome, hace tiempo que recomiendan no hacerlo porque con un si te las sacan todas fácil.
Borrar historial y NUNCA guardar passwds.
Es una medida de seguridad básica.

Yo creo que ese es uno de los problemas, que la gente cree que es como gestionar una cuenta bancaria y tienen unas expectativas que luego no se van a cumplir. No hay teléfono de emergencia por ejemplo, el servicio de mail puede tardar la vida, la página puede caerse en cualquier momento, el echange quebrar, desaparecer… no hay ventanilla a la que ir a llorar.

La gente tiene que entender dónde se mete.

Supongo que hay que hacer que no les salga a cuenta hacerlo poniéndoselo lo más difícil posible.

A ti te parecerá básica, pero me juego un ripple (sólo uno, que te veo) a que la mayoría de la gente de este foro no lo sabía y lo usa libremente. Sólo puedes tener criterio sobre un tema si tienes conocimientos sobre él.

Al final para esto de las criptomonedas has de hacer un máster y cada vez entra más gente que oye el canto de sirena y quiere subirse al carro, sin ver las consecuencias, ni lo que implica.