Техника Apple за биткоины без комиссий с гарантией 100%
Close
Участник криптомарафона, брокер
Цюрих, Швейцария
Дата публикации: 23 июля 2018
Как у меня биткоины украли
На второй неделе челленджа #выЖитьЗаКрипту, объявленного площадкой Fatcats.market и принятого мною в июне, я воспользовался автоматом для конвертации наличных в биткоин.
Автомат Wärdex в Цуге, Швейцария
Процедура несложная:

  • автомат генерирует новый биткоин-адрес и распечатывает его в вместе с соответствующим приватным ключом простым текстом и QR-кодом — это называется «бумажный кошелек»;
  • пользователь скармливает автомату купюры, на сумму которых (за удержанием комиссии автомата) покупается биткоин по текущему курсу и отправляется на сгенерированный на первом этапе адрес;
  • автомат печатает квитанцию для подтверждения оплаты с указанием места, времени и суммы операции в фиате.
На свой бумажный кошелек я положил 20 франков, что на момент покупки 9 июня 2018 года составляло 0.002335 BTC.

Во время съемки видео я не случайно несколько раз помахал кошельком перед камерой: мне было интересно проверить, попробует ли кто-нибудь из зрителей себя в роли «кулхацкера», решившего завладеть приватным ключом и увести эту сумму. Видео было опубликовано 18 июня и с того дня я регулярно проверял адрес 1GBj6ngtRr8LDRU69ReWc8H42aVAw5GtUe. Но видимо я был плохого мнения о зрителях: за месяц никто так и не заморочился распознать публичный ключ. Крипта лежала нетронутой, как мёртвый камень в степи.

Бумажный кошелек — ненадёжный носитель
17 июня моё терпение лопнуло: я так и не смог найти подходящего случая использовать бумажный кошелёк, а доверять криптовалюту и дальше клочку бумаги было глупо. Я решил перевести их в свой расходный кошелек BitPay, чтобы использовать для оплаты хостинга. Каково же было моё удивление, когда я увидел, во что превратился бумажный кошелек спустя месяц после генерации:
PRIVATE KEY: L1vGvW4FVoDxC5fDgmLqBwyKCMsi3Fu23n… — а дальше?
Дело в том, что кошелек напечатан на термопринтере—эта технология печати не предполагает долговременного хранения. Поэтому даже сложенная вчетверо и хранившаяся «в сухом и тёмном месте» бумажка за месяц существенно выцвела, причём как назло в самой важной своей части: вторая строка приватного ключа стала совершенно невидимой (вы её тоже не видите? а она есть! вернее, была), равно как и соответствующий ей QR-код. Мне удалось распознать первые 36 символов приватного ключа, но оставшиеся 18, казалось, были утрачены навсегда. И тут я решил сам попробовать себя в роли хакера и вытащить оставшиеся символы с видеозаписи.
Сам себе кулхацкер
Потратив около получаса на бесплодные попытки прочитать символы, я перешел к экспериментам со считыванием QR-кода. Вот с этого кадра мне удалось сосканировать код и получить полный ключ:
Желающие могут повторить в Фотошопе: увеличить, развернуть, пошарпить
По стечению обстоятельств я сканировал QR-код не подключенным к интернету телефоном супруги, а потому отсканированный код пришлось отправить на свой телефон в SMS. Увы, но сразу же воспользоваться ключом не удалось: на моём телефоне не оказалось приложения, позволяющего импортировать приватный ключ, а разбираться, как сделать это на компе, на ночь глядя было уже лень. Поэтому я решил отложить собственно перевод биткоинов на завтра. И зря.

Представьте себе моё удивление, когда 18 июля (на следующий день после вышеописанных событий) я обнаружил такую картину:
18.07.2018 в 12:47 кошелек был опустошен. Final balance: 0 BTC
Буквально за несколько часов до того, как я собрался опустошить бумажный кошелек, это сделал кто-то другой: 0.002335 BTC «переехали» с моего адреса 1GBj6ngtRr8LDRU69ReWc8H42aVAw5GtUeна 1J6ZxrKz1ZKLvfo4iWskUR3hp6b9h7Qrs6. Но как, Карл?!
Кто виноват?
Равновероятными кажутся два варианта:

  1. кто-то из зрителей всё-таки заморочился и получил публичный ключ точно так же, как это сделал я — сосканировав QR-код в видео, но оказался расторопнее меня в плане применения результатов своего труда;
  2. кто-то из сотрудников моего мобильного оператора мониторит, возможно автоматически, все SMS в их сети и, найдя в них приватный ключ от биткоин-адреса, крадёт монеты.

Ещё позавчера я бы склонялся в пользу первого варианта, но мне сложно поверить в простое совпадение между отправкой ключа в SMS и опустошением адреса спустя 12 часов.

Вероятно, я никогда не узнаю правды, да и не сильно хочу её знать: я не сожалею о потере, ведь ценность извлечённого урока для меня намного превышает его стоимость. И вот почему: все сервисы и криптобиржи наперебой твердят о ненадёжности двухфакторной авторизации через SMS, но почти все её поддерживают. Давайте вместе подумаем, к каким последствиям это может привести, если предположить, что среди сотрудников вашего мобильного оператора есть злоумышленник, способный перехватывать SMS.

  • При помощи grep или regexp он элементарно выявит клиентов, увлекающихся криптой: биткоин-адреса и приватные ключи имеют стандартный легко узнаваемый формат и само число этих форматов — конечное.
  • Почти все известные мне криптобиржи включают в SMS с кодом доступа своё название: «Coinbase: … is your verification code», что дает злоумышленнику однозначные указания о том, в каких сервисах у вас есть аккаунты.
  • Скорее всего злоумышленник знает ваш емейл — ведь при оформлении договора с мобильным оператором вы для удобства получения счетов оставили свой реальный адрес. Вероятно вы, как и я, при регистрации в важных сервисах пользуетесь своим основным емейлом. Во многих сервисах емейл одновременно является логином, причём его нельзя изменить. Значит, злоумышленник знает и ваш логин.
  • Зная емейл и двухфакторную авторизацию, можно проверить, а не используете ли вы один и тот же пароль для входа в личный кабинет мобильного оператора и свою почту, или какой-либо другой сервис. Злоумышленнику на стороне оператора не составит труда получит ваш пароль от личного кабинета: кто сказал, что оператор хеширует пароли и не пишет в лог изменения пароля? Даже если вы используете разные пароли для всех сервисов, зная логин и получая SMS с кодами доступа можно попробовать восстановить «забытый» пароль в одном из ваших сервисов (некоторые всё ещё присылают новые пароли в SMS).
Удалось ли мне напугать вас? Если да — хорошо. Теперь самое время улучшить безопасность своих аккаунтов.

И что делать?
Вот как можно обезопасить свои цифровые активы, если вы перестали доверять всем вокруг, но не самому себе. Самое главное:
Не используйте двухфакторную авторизацию через SMS. Если сервис поддерживает HOTP/TOTP-авторизацию (потребуется приложение типа Google Authenticator) — активируйте её. Рекомендую сделать бэкап настроек и хранить их в надёжном месте — это позволит вам восстановить доступ к Google Authenticator в случае потери смартфона.
Если этого мало и вы одержимы некоторым градусом паранои, вот ещё несколько советов.
1
Если сервис позволяет отделить логин от емейла — воспользуйтесь этой возможностью. Придумайте случайный логин, не являющийся частью вашего адреса до @. Тут я снимаю шляпу перед командой Кракена, настаивающей на старомодных логинах
2
Заведите отдельный емейл на каком-нибудь почтовике с ответственным отношением к вопросам безопасности. Для себя я уже давно выбрал ProtonMail. В адресе лучше отказаться от привычного формата имя_фамилия. Безличный bomberman666 будет в самый раз, если только это не ваш ник на Reddit или Habr.
3
Используйте новый адрес только для регистрации в критически важных сервисах — например, только для работы с криптой. Или для регистрации доменов и хостинга. Или для PayPal и Yandex.Money. Можете задать его в качестве дополнительного емейла в Google или Yandex для восстановления доступа к ним.
4
Никогда не светите этот адрес своему мобильному оператору, не используйте для переписки (кроме обращения в техподдержку зарегистрированного на этот адресом сервиса), не создавайте на него аккаунты на сомнительных сайтах (например, ради совершения одной операции на малоизвестной криптобирже), форумах и маркетплейсах, не оформляйте заказы в интернет-магазинах.
5
И, главное, не оставайтесь залогиненными в этот почтовый ящик на своём компе и телефоне, не сохраняйте пароль от него в браузере— иначе при потере девайса все усилия по защите будут тщетны.

Разумеется, эти советы скорее из области «security through obscurity», так как для полноценной защиты потребуется использовать комплекс методов, вплоть до аппаратных кошельков для крипты и аппаратных ключей для остальных сервисов. Приобрести несгораемый сейф для хранения seed-фраз и бэкапов тоже неповредит. Но это уже совсем другая история, где я вам не советчик —ведь только что меня обули на 0.002335 BTC.
Захар решил проверить, можно ли выжить за одни только криптовалюты в Цюрихе?
Можно ли выжить в Европе без денег?
Отлично очутиться в Европе, выпить бокал редкого винтажного вина, взглянуть на Альпы... Стоп, а если у тебя в кармани ни копейки денег? Криптоэнтузиаст Захар делиться секретами правильной жизни в Европе без денег... Может он просто купил биткойн на 500 рублей в 2009?

Наш герой купит палочки для скандинавской ходьбы
Наш герой купит винтажное, редкое вино
Следи за историей Захара в Телеграме
— Эксклюзивы
— Новости из первых рук
— Видео, фото и текстовые отчеты