Hacker devolve 225 BTC retirados de carteiras Blockchain

Um hacker white hat que conseguiu roubar 255 BTC de carteiras Blockchain após uma falha de segurança no início desta semana devolveu os fundos.

O membro do Bitcoin Talk, 'johoe', uma conta com 1,5 anos, mas com apenas 21 postagens, sempre afirmou que ele ou ela estava pegando os fundos para custódia e os devolveria, escritano fórum:

"Houve um grande grupo de novos endereços quebrados hoje (várias centenas em um dia). Tomei a liberdade de salvar alguns fundos antes que eles fossem roubados por outros. Se você puder me convencer de que eles pertencem a você (assinar uma mensagem com o endereço obviamente não é o suficiente; a chave privada já é conhecida), enviarei os fundos de volta."

Johoe entãopostou uma página de 1.019 endereços supostamente comprometidos, e convidou os usuários a verificar se o deles era um deles. O CEO do Blockchain, Nicolas Cary, confirmou ao CoinDesk que os fundos foram recebidos.

Mesmo antes de os fundos serem devolvidos, a Blockchain admitiu que estava errada eprometeu reembolsarqualquer usuário que tenha perdido dinheiro.

Falha de número aleatório

O problema que levou à vulnerabilidade foi supostamente carteiras geradas com 'valores R' usados anteriormente em fórmulas que geram números aleatórios, o que significa que um hacker poderia usar o endereço público para calcular suas chaves privadas. Se os valores R forem únicos, isso deve ser impossível.

Para os mais técnicos, o CTO da Blockchain, Ben Reeves, apontou o erro no código na página do Blockchain no GitHubaqui.

Blockchain postado em umdeclaraçãoque o problema afetou usuários de carteiras virtuais que criaram um novo endereço de carteira ou enviaram fundos de um endereço existente durante o período em que a vulnerabilidade esteve ativa.

De acordo com Johoe

, Reeves enviou um e-mail pedindo que ele enviasse os fundos paraeste endereço, o que Johoe fez devidamente, postando umafoto de uma carteira Trezorenviando a transação.

Ainda resolvendo o problema

Os clientes do Bitcoin Talk e do Reddit, embora aliviados por terem seus fundos roubados por alguém com boas intenções, agora estão entrando em contato com a Blockchain para provar suas perdas e recuperá-las.

Neste estágio, no entanto, não está 100% confirmado que todos os fundos removidos das carteiras Blockchain estavam sob o controle de johoe. Pelo menos um usuário alegou que quase 100 BTC desaparecidos de sua carteira foram para outro lugar.

O Blockchain está no processo de examinar "milhares" de reclamações de clientes e tickets de suporte para verificar a autenticidade antes de reembolsar.

Imagem da carteira Trezor viajohoe/bitcointalk.org. Imagem do hacker via Shutterstock