Bitcoinpaperwallet.com | És una estafa? Estudi de cas 2021

TL; DR:

El lloc web bitcoinpaperwallet [.] Com està executant una estafa amb una cartera on els usuaris que generen carteres de paper al lloc no són els únics amb claus privades de les monedes. NO USEU bitcoinpaperwallet [.] Com per emmagatzemar cap moneda de cap tipus.

pàgina d'inici bitcoinpaperwallet [.] com La pàgina principal de bitcoinpaperwallet [.] Com

Antecedents

Si voleu, podeu ometre el fons d’aquesta història aneu directament a la investigació

Com fem SEO


Com a part del nostre treball habitual aquí a privacypros, una cosa important per a nosaltres és la classificació de Google.

És a dir, volem que les nostres pàgines es classifiquin el més alt possible per augmentar els clics i, amb sort, augmentar les vendes.

Part dels grans rànquings és obtenir o crear enllaços d’entrada d’alta qualitat a les nostres pàgines.

Una de les estratègies que fem servir per augmentar els enllaços d’entrada al nostre lloc web és comprar llocs web existents i redirigir-los a les nostres pàgines.

Dos exemples d’aquesta pràctica van ser la nostra adquisició de bitbonkers.com i bitcoinfees.info.

bitbonkers.com i bitcoinfees.info

Tots dos llocs havien obtingut milers de backlinks d’alta qualitat i havien rebut milers de visitants al mes en trànsit orgànic i directe.

No fem gaire (si de cas) d’aquestes pàgines, però tendeixen a augmentar el rànquing de les nostres altres pàgines, i per això les volem.

Massa bo per ser veritat?

Trobem els llocs web que volem comprar mitjançant multitud de mètodes. De vegades fem servir eines com ahrefs.com. De vegades ens topem amb els llocs nosaltres mateixos. De vegades els amics coneixen els propietaris.

En el cas de bitcoinpaperwallet.com, buscàvem específicament una eina de generació de carteres de paper com a acompanyant de la nostra pàgina sobre carteres de paper..

Aquest lloc tenia mètriques increïbles.

Mètriques Ahrefs

Per exemple, el seu perfil d’enllaços de retrocés era boig. Hi ha molts enllaços de retrocés rellevants d’alta qualitat que volem anar al nostre lloc, com ara coindesk, cointelegraph, bitcoin.com i altres enllaços importants de la xarxa de notícies, com nypost i tendències digitals..

enllaços enrere bitcoinpaperwallet

Però el més important de tot (i el més perillós que arribaria a esbrinar-ho) és el número 1 de la nostra paraula clau objectiu de “Bitlleter de paper Bitcoin”..

rang bitcoinwallwallet

I, com resulta, havíem comprat un instal·lador de Linux arrencable del lloc el 2017, així que vam suposar que segur que eren una operació legítima.

Correu electrònic d’instal·lació de Linux arrencable per Bryan

Això va ser suficient per intentar contactar amb el propietari del lloc i fer una oferta.

Contactant amb el propietari

Després de fer una mica de retard, el lloc semblava pertànyer a algú anomenat Canton Becker, que encara manté el dipòsit de github al qual encara sembla que el lloc web fa referència.

Tot i això, una nota a READ ME afirmava que Canton havia venut el lloc web el 2018 i que dirigia qualsevol consulta a l’adreça electrònica del nou propietari.

ReadMe de GitHub

Vam intentar contactar amb el nou propietari a [email protected], però sense resposta.

Així que vam contactar directament amb Canton, amb l’esperança que pogués tenir una forma alternativa de posar-se en contacte amb ell o ella.

Introducció al correu electrònic de Canton

I després d’una mica d’anada i tornada, ens va dir que havia rebut diversos correus electrònics al llarg dels anys de persones que afirmaven haver perdut fons mitjançant el lloc.

Més investigacions van generar aquest tuit, en resposta a un tuit de BlockDX, que demanava que s’afegissin a la seva llista qualsevol altre hacking conegut..

tweet d'estafa bitcoinpaperwallet

Aquestes eren afirmacions audaces. Especialment donat el grau d’error de les carteres de paper en termes d’errors d’usuari.

Els usuaris incompetents només havien generat les seves carteres de paper de manera fortuïta i van culpar el lloc quan inevitablement van perdre les seves monedes? O … el nou propietari utilitzava maliciosament el lloc per embutir Bitcoin a la seva butxaca (i ethereum i litecoin a través de llocs de cartera de paper que Canton també venia al nou propietari)?

En aquest moment, ja no ens interessava el lloc, ja que no volíem la responsabilitat.

Però volíem saber si podíem demostrar les afirmacions sobre bitcoinpaperwallet.com i esperem que utilitzem l’autoritat del nostre lloc per advertir a altres.

Per tant, això és el que ens proposem fer …

L’anàlisi de la cadena

El primer que havíem de fer era posar-nos en contacte amb aquestes presumptes víctimes.

Canton va proporcionar a aquestes persones la nostra adreça de correu electrònic, i un de nom Kunal va contactar amb nosaltres, amb un BCC de diversos altres.

Correu electrònic de Kunal

Vam informar a kunal que realment teníem la intenció d’arribar al fons, però no teníem ganes de fer ningú fins que no teníem proves molt sòlides que s’havia produït una estafa..

Al cap i a la fi, Canton ens havia advertit que potser s’havia equivocat en codificar el procés de generació d’entropia i que algú aliè al nou propietari l’havia explotat..

Correu electrònic de Bryan a Kunal

De moment, necessitàvem tantes adreces esgotades com podíem aconseguir.

Kunal va lliurar, ja que havia parlat amb moltes altres víctimes i els havia recollit adreces.

Les adreces que ens va donar són les següents:

  • 14MKVLrhaBSkqbqebQMKAqyiNhK7ir68Yh
  • 1JE4yb89gEHTeZ8x9TqfN3cc6dUUSH7D5d
  • 1MNdw5RKRTbatWbMTqHvntg7RLRL1WxfAC
  • 17rC3BHboioNxJWvVynh7agmaiYrDTjmE6
  • 19LxQ1FpJwnUokcRBNA2gnwB2FG5TbY9C5
  • 18SNBJsJ1MX7qkkxfX6zKbqjLpzZK8QxjA
  • 1BxPiuddFh7vz83BCFM9ZKUV75jUJyvJUv

A partir d’aquí, els vam passar a un amic que treballa en forenses de blockchain, Tony Sanak.

Potser coneixeu el seu canal de youtube, Exploreu Crypto!

Tony ens va remetre al seu company de Blockchain Intelligence Group, que va poder utilitzar la seva eina QLUE per analitzar les transaccions. Vam informar l’equip d’investigació forense de BIG sobre què estàvem fent i vam preguntar si ens podrien ajudar.

I noi, sí!

Al cap d’uns dies, ens van tornar.

Els deixaré parlar amb les seves pròpies paraules:

També han proporcionat aquest gràfic:

Gràfic d’intel·ligència Blockchain

Ja sabent la resposta, els vaig preguntar si hi havia alguna manera que fos incompetència.

En el cas de B, hi havia dues transaccions de dipòsit, totes dues a Binance.

BIG continua:

Gràfic d’intel·ligència Blockchain

En el cas de Kunal, també hi va haver dues transaccions de dipòsit.

Revisió del codi

Encara estem fent una revisió de codi del lloc en directe i del codi a Github i això a Bitaddress.

Anteriorment, les ressenyes de codis anteriors de bitcoinpaperwallet [.] Com han revelat gestes abans (com es mostra al vídeo següent per gentilesa de l’equip de cartera mycrypto.com).

En aquest exemple, apareix el codi per crear una imatge de la cartera de paper (que inclou les claus públiques i privades) i després penjar-ne una còpia en un altre lloc, probablement a una carpeta de la unitat que el propietari del lloc web controla..

Aquest és un gran fil conductor explicant les seves investigacions a partir del 2020.

Fil sobre la porta posterior bitcoinpaperwallet

Tanmateix, sembla que aquest mètode de drenatge de carteres ja no s’utilitza, ja que sembla que ja no hi ha cap funció ‘imgloaded’.

Ho hem comprovat desconnectant-nos i després hem intentat generar una adreça activada

http: // bitcoinpaperwallet [.] com / bitcoinpaperwallet / generate-wallet.html

A continuació, a la pestanya de xarxa de programes de navegació, hem comprovat si hi ha cap petició de recuperació o xhr fallida, però no n’hem trobat cap.

Això indicaria que les carteres s’estan esgotant amb un mètode diferent al que es feia al maig del 2020, quan Mycrypto va fer aquest vídeo..

Altres en línia van teoritzar que potser el lloc web generava adreces duplicades, però nosaltres mateixos en vam generar més de 10.000 i no en vam trobar cap.

Encara estem investigant si la generació de duplicats és només una còpia de seguretat de la sol·licitud xhr.

Actualització de revisió de codi el 23 de febrer de 2021

Seguint els passos de aquesta publicació de reddit.

Fil sobre la porta posterior bitcoinpaperwallet

Deseu el generador HTML a l’ordinador

A bitcoinpaperwallet [.] Com Generate Wallet, feu clic amb el botó dret a la pàgina i seleccioneu “Veure font de la pàgina”.

Font de la pàgina de visualització BPW

Això obrirà el codi font de la pàgina HTML en una pestanya nova.

A partir d’aquí, podem seleccionar-ho tot i enganxar-lo en un fitxer HTML nou o bé fer clic amb el botó dret a la pàgina i Guardar com, que ens demanarà que desem el contingut de la pàgina com a .html dossier.

BPW Genera la font de la pàgina Wallet

Cerqueu el conjunt llarg de “claus de prova” representat per “eckey_test = [{…}];” i substituïu-lo per un sol parell de claus

Després d’obrir el fitxer amb un editor de codi o text, haurem de cercar el fitxer “Eckey_test” matriu.

BPW Genera la font de la pàgina Wallet

A continuació, substituïm la totalitat eckey_test = [{…}] array amb només un sol parell de claus, com el que es proporciona a l’exemple de publicació de reddit:

eckey_test = [{pub:"MUtDQ25Td05uQ0I0Y05ZN0hFc0hja1M4Vjk5bUxFNjJKZQ ==",priv:"NUpreTZtM2lZS2FxTm1NZ2NvaEdYb2o0dXVyVTNXaXhiak54R1N4NmNlbmU3S25FWGR6"}]; Substitució de la clau de prova al codi font

Carregueu el generador. Generarà exactament la mateixa cartera (previsible) una vegada i una altra

Hem obert el fitxer localment en un navegador:

Pàgina local de BPW al navegador

Cada vegada que es generava una cartera nova, retornava el mateix resultat previsible.

Per generar una cartera nova, premeu el botó “Omet”:

Generació de carteres locals BPW

Resultat:

Generació de carteres locals BPW

Per generar una cartera nova, moveu el ratolí i escriviu pulsacions aleatòries al quadre:

Generació de carteres locals BPW

Resultat:

Generació de carteres locals BPW

Per generar una cartera nova, feu clic al botó “GENERA NOU CARRETERA”:

Generació de carteres locals BPW

Resultat:

Generació de carteres locals BPW

La mateixa cartera es va generar una vegada i una altra.

Comparació de codis del lloc en directe i del codi a Github

Hem obtingut la font HTML de generar cartera de Reposició de GitHub, i després de buscar el codi font de la matriu “eckey_test”, no es va retornar cap resultat. La matriu no està present al codi font.

Comprovació de la font de GitHub

Volíem comparar encara més el codi, de manera que hem eliminat el javascript que es troba a bitcoinpaperwallet [.] Com Genera la pàgina Wallet.

Per a això, vam copiar tot entre les etiquetes de script que contenien “eckey_test” i el vam enganxar en un fitxer unminifier de javascript per obtenir un resultat més fàcil d’utilitzar.

Font de GitHub amb comparació de llocs en directe Font de GitHub amb comparació de llocs en directe

L’ordre del codi és una mica diferent, però no hi ha cap lògica “eckey_test” ni “eckey_test” a la font de GitHub.

Font de GitHub amb comparació de llocs en directe

Altra informació

Quan aneu al lloc web en viu bitcoinpaperwallet [.] Com, cada vegada que es carrega la pàgina, s’afegeix un altre conjunt de 60 parells clau-valor a la matriu “eckey_test”.

Ho podem veure obrint els navegadors DevTools i introduint el nom de la matriu:

Revisió de la pàgina en directe

Mitjançant un breu codi retallat, hem obtingut les tecles descodificades anomenades “prova” i hem imprès cada tecla i la seva contraparte decodificada a la consola:

eckey_test.forEach (entrada => {const decoded_testKeys = { "descodificat_pub": window.atob (entry.pub), "descodificat_priv": window.atob (entry.priv)}; console.log (entrada); console.log (decoded_testKeys); }); Revisió de la pàgina en directe

Cada nova cartera generada (pulsacions aleatòries, moviment del ratolí, pulsació de botó, etc.) només retorna el parell clau-valor descodificat de la llista.

Revisió de la pàgina en directe

La lògica de generació de carteres augmenta 1 l’índex de la matriu “eckey_test” cada vegada que es genera una cartera nova, fins que passa per tots els elements de la matriu. Només després de generar 60 carteres, obtenim una que no estava a la matriu.

Contacte amb els borses

Per descomptat, volíem informar els intercanvis receptors de les monedes robades a la plataforma perquè poguessin ajudar a identificar el lladre i esperem que ajudessin les forces de l’ordre a portar-les a la justícia.

Correu electrònic de polo

He enviat més o menys el mateix correu electrònic a Binance.

Polo em va respondre el mateix dia dient que analitzarien la transacció de dipòsit i veurien què podrien arribar a fer.

Binance era bàsicament el mateix.

Comprensiblement, en ambdós casos, se’ns va dir que, atès que aquests comptes no ens pertanyen, no compartirien amb nosaltres actualitzacions sobre l’evolució del cas. Ens van dir que cooperarien amb qualsevol organisme policial en relació amb el tema i que les víctimes havien de presentar un informe de la policia.

Des de llavors, les nostres víctimes han presentat informes policials a les seves diferents jurisdiccions, però és poc probable que la policia actuï sobre aquesta informació.

Conclusió

Aquesta investigació està en curs i s’actualitzarà a mesura que continuem la nostra investigació. Encara no sabem amb certesa si el propietari del lloc és responsable o no d’aquestes carteres o si algun tercer ha trobat un exploit al codi font del lloc.

Tenint en compte quantes vegades el propietari del lloc ha estat informat del problema i la seva negativa a solucionar-ho, certament indica que pot ser responsable dels fons robats..

En resum, en cap cas ningú no hauria d’utilitzar carteres generades a bitcoinpaperwallet [.] Com per emmagatzemar cap quantitat del seu Bitcoin. Ja sigui per negligència o perversió, el lloc no és fiable i les proves d’aquesta pàgina haurien de ser suficients per demostrar-ho.

Preguntes freqüents

Bitcoinpaperwallet.com és una estafa?

Sí, si utilitzeu bitcoinpaperwallet.com per generar una cartera de paper, us robaran les monedes. NO utilitzeu bitcoinpaperwallet.com per generar una cartera de paper.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me