L'hacker restituisce 225 BTC sottratti dai portafogli Blockchain

Un hacker white-hat che all'inizio di questa settimana è riuscito a sottrarre 255 BTC dai portafogli Blockchain a seguito di una falla di sicurezza, ha restituito i fondi.

Il membro Bitcoin Talk 'johoe', un account vecchio di 1,5 anni ma con solo 21 post, aveva sempre dichiarato che stava prendendo i fondi in custodia e che li avrebbe restituiti, scriveresul forum:

"Oggi c'erano un bel po' di nuovi indirizzi non funzionanti (diverse centinaia in ONE giorno). Mi sono preso la libertà di risparmiare un po' di soldi prima che venissero rubati da altri. Se riesci a convincermi che appartengono a te (firmare un messaggio con l'indirizzo ovviamente non è sufficiente; la chiave privata è già nota), ti rispedirò i soldi."

Johoe alloraha pubblicato una pagina di 1.019 indirizzi ritenuti compromessi, e ha invitato gli utenti a controllare se il loro fosse ONE di questi. Il CEO di Blockchain Nicolas Cary ha confermato a CoinDesk che i fondi erano stati ricevuti.

Anche prima che i fondi venissero restituiti, Blockchain aveva ammesso di essere in colpa eha promesso di rimborsaretutti gli utenti che hanno perso soldi.

Difetto nei numeri casuali

Il problema che ha portato alla vulnerabilità è stato segnalato nei wallet generati con 'R-values' precedentemente utilizzati in formule che generano numeri casuali, il che significa che un hacker potrebbe usare l'indirizzo pubblico per calcolare le sue chiavi private. Se i R-values sono univoci, questo dovrebbe essere impossibile.

Per gli amanti della tecnologia, il CTO di Blockchain Ben Reeves ha segnalato l'errore nel codice sulla pagina GitHub di BlockchainQui.

Blockchain pubblicata in undichiarazioneche il problema riguardava gli utenti di portafogli web che avevano creato un nuovo indirizzo portafoglio o inviato fondi da un indirizzo esistente durante il periodo in cui la vulnerabilità era attiva.

Secondo Johoe

, Reeves ha inviato un'e-mail chiedendogli di inviare i fondi aquesto indirizzo, cosa che Johoe ha puntualmente fatto, postando unfoto di un portafoglio Trezorinvio della transazione.

Risolvendo ancora il problema

I clienti di Bitcoin Talk e Reddit, pur essendo sollevati dal fatto che i loro fondi siano stati rubati da qualcuno con buone intenzioni, ora stanno contattando Blockchain per dimostrare le loro perdite e ottenerne la restituzione.

In questa fase, tuttavia, non è confermato al 100% che tutti i fondi rimossi dai wallet Blockchain fossero sotto il controllo di johoe. Almeno ONE utente ha affermato che quasi 100 BTC mancanti dal suo wallet sono andati altrove.

Blockchain sta esaminando "migliaia" di reclami dei clienti e ticket di supporto per verificarne l'autenticità prima di procedere al rimborso.

Immagine del portafoglio Trezor tramitegiovanotto/bitcointalk.org. Immagine dell'hacker tramite Shutterstock