Bitcoinpaperwallet.com | Ist es ein Betrug? Fallstudie 2021

TL; DR:

Auf der Website bitcoinpaperwallet [.] Com wird ein Wallet Sweeping-Betrug ausgeführt, bei dem Benutzer, die vor Ort Papiergeldbörsen erstellen, nicht die einzigen sind, die über einen privaten Schlüssel für die Münzen verfügen. Verwenden Sie bitcoinpaperwallet [.] Com NICHT, um Münzen jeglicher Art aufzubewahren.

bitcoinpaperwallet [.] com Homepage Die Homepage von bitcoinpaperwallet [.] Com

Hintergrund

Sie können den Hintergrund dieser Geschichte überspringen, wenn Sie möchten Gehe direkt zur Forschung

Wie wir SEO machen

Im Rahmen unserer regulären Arbeit hier bei privacypros steht uns das Google-Ranking im Vordergrund.

Das heißt, wir möchten, dass unsere Seiten einen möglichst hohen Rang haben, um die Klicks zu steigern und hoffentlich den Umsatz zu steigern.

Ein Teil der guten Platzierungen ist das Sammeln oder Erstellen hochwertiger Backlinks zu unseren Seiten.

Eine Strategie, mit der wir die Backlinks zu unserer Website erhöhen, besteht darin, vorhandene Websites zu kaufen und auf unsere eigenen Seiten umzuleiten.

Zwei Beispiele für diese Praxis waren die Übernahme von bitbonkers.com und bitcoinfees.info.

bitbonkers.com und bitcoinfees.info

Beide Websites hatten Tausende von Backlinks von extrem hoher Qualität erhalten und monatlich Tausende von Besuchern im organischen und direkten Verkehr empfangen.

Wir machen nicht viel (wenn überhaupt) aus diesen Seiten, aber sie verbessern tendenziell das Ranking unserer anderen Seiten, und deshalb wollen wir sie.

Zu schön um wahr zu sein?

Wir finden die Websites, die wir kaufen möchten, mit einer Vielzahl von Methoden. Manchmal verwenden wir Tools wie ahrefs.com. Manchmal stolpern wir selbst über die Websites. Manchmal kennen Freunde die Besitzer.

Im Fall von bitcoinpaperwallet.com suchten wir speziell nach einem Tool zum Generieren von Papiergeldbörsen als Begleiter für unsere Seite über Papiergeldbörsen.

Diese Seite hatte erstaunliche Metriken.

Ahrefs Metriken

Zum Beispiel war sein Backlink-Profil verrückt. Viele relevante Backlinks von hoher Qualität, die wir auf unsere Website bringen möchten, wie z. B. coindesk, cointelegraph, bitcoin.com und andere wichtige Links zu Nachrichtennetzwerken wie Nypost und digitale Trends.

Bitcoinpaperwallet Backlinks

Vor allem aber (und am gefährlichsten, wenn wir es herausfinden würden) ist es die Nummer 1 für unser Ziel-Keyword “Bitcoin Paper Wallet”..

Bitcoinpaperwallet Rang

Und wie sich herausstellte, hatten wir 2017 ein bootfähiges Linux-Installationsprogramm von der Site gekauft, sodass wir davon ausgegangen sind, dass es sich sicherlich um eine legitime Operation handelt.

Bryan bootfähige Linux Installer E-Mail

Dies war genug für uns, um zu versuchen, den Eigentümer der Website zu erreichen und ein Angebot zu machen.

Kontaktaufnahme mit dem Eigentümer

Nach einigen Ermittlungen schien die Website jemandem namens Canton Becker zu gehören, der immer noch das Github-Repository unterhält, auf das die Website angeblich noch verweist.

In einem Hinweis auf READ ME wurde jedoch behauptet, Canton habe die Website im Jahr 2018 verkauft und alle Anfragen an die E-Mail-Adresse des neuen Eigentümers gerichtet.

GitHub ReadMe

Wir haben versucht, den neuen Eigentümer unter [email protected] zu erreichen, aber ohne Antwort.

Also haben wir uns direkt an Canton gewandt, in der Hoffnung, dass er eine andere Möglichkeit hat, ihn oder sie zu kontaktieren.

E-Mail-Intro des Kantons

Und nach einigem Hin und Her erzählte er uns, dass er im Laufe der Jahre mehrere E-Mails von Personen erhalten hatte, die behaupteten, über die Website Geld verloren zu haben.

Weitere Untersuchungen haben diesen Tweet als Antwort auf einen BlockDX-Tweet hervorgebracht, in dem nach anderen bekannten Hacks gefragt wurde, die zu ihrer Liste hinzugefügt werden sollen.

Bitcoinpaperwallet Betrug Tweet

Dies waren kühne Behauptungen. Vor allem, wenn man bedenkt, wie voll Papiergeldbörsen in Bezug auf Benutzerfehler sein können.

Haben inkompetente Benutzer ihre Papiergeldbörsen nur willkürlich generiert und die Website beschuldigt, als sie unweigerlich ihre Münzen verloren haben? Oder… benutzte der neue Eigentümer die Website böswillig, um Bitcoin in seine eigene Tasche zu leiten (und Ethereum und Litecoin über Brieftaschen-Websites, die Canton ebenfalls an den neuen Eigentümer verkaufte)??

Zu diesem Zeitpunkt waren wir nicht mehr an der Website interessiert – wir wollten keine Haftung.

Wir wollten jedoch wissen, ob wir die Behauptungen über bitcoinpaperwallet.com beweisen und hoffentlich unsere Website-Autorität nutzen können, um andere zu warnen.

Das ist es, was wir uns vorgenommen haben …

Die Kettenanalyse

Als erstes mussten wir uns mit diesen mutmaßlichen Opfern in Verbindung setzen.

Canton gab diesen Personen unsere E-Mail-Adresse, und einer namens Kunal wandte sich an uns, zusammen mit einem BCC von mehreren anderen.

Kunal E-Mail

Wir informierten kunal, dass wir tatsächlich beabsichtigten, dem auf den Grund zu gehen, aber wir hatten keine Lust, irgendjemanden zu doxen, bis wir einen sehr soliden Beweis dafür hatten, dass Betrug stattgefunden hatte.

Immerhin hatte Canton uns gewarnt, dass er möglicherweise einen Fehler beim Codieren des Entropieerzeugungsprozesses gemacht hatte und dass jemand, der nichts mit dem neuen Eigentümer zu tun hatte, ihn ausgenutzt hatte.

Bryan E-Mail an Kunal

Im Moment brauchten wir so viele leere Adressen, wie wir in die Hände bekommen konnten.

Kunal lieferte, als er mit vielen anderen Opfern gesprochen und Adressen von ihnen gesammelt hatte.

Die Adressen, die er uns gegeben hat, lauten wie folgt:

  • 14MKVLrhaBSkqbqebQMKAqyiNhK7ir68Yh
  • 1JE4yb89gEHTeZ8x9TqfN3cc6dUUSH7D5d
  • 1MNdw5RKRTbatWbMTqHvntg7RLRL1WxfAC
  • 17rC3BHboioNxJWvVynh7agmaiYrDTjmE6
  • 19LxQ1FpJwnUokcRBNA2gnwB2FG5TbY9C5
  • 18SNBJsJ1MX7qkkxfX6zKbqjLpzZK8QxjA
  • 1BxPiuddFh7vz83BCFM9ZKUV75jUJyvJUv

Von hier aus haben wir sie an einen Freund weitergegeben, der in der Blockchain-Forensik arbeitet, Tony Sanak.

Sie kennen vielleicht seinen Youtube-Kanal, Entdecken Sie Crypto!

Tony verwies uns dann an seinen Kollegen von der Blockchain Intelligence Group, der sein QLUE-Tool zur Analyse der Transaktionen verwenden konnte. Wir informierten das forensische Untersuchungsteam von BIG über unsere Aktivitäten und fragten, ob sie uns helfen könnten.

Und Junge, haben sie!

Nach ein paar Tagen meldeten sie sich wieder bei uns.

Ich werde sie in ihren eigenen Worten sprechen lassen:

Sie lieferten auch diese Grafik:

Blockchain Intelligence Graph

Da ich die Antwort bereits kannte, fragte ich sie, ob dies in irgendeiner Weise inkompetent sei.

Im Fall von B gab es zwei Einzahlungstransaktionen – beide in Binance.

BIG fährt fort:

Blockchain Intelligence Graph

Im Fall von Kunal gab es ebenfalls zwei Einzahlungstransaktionen.

Code-Review

Wir führen noch eine Codeüberprüfung der Live-Site im Vergleich zu der durch Code auf Github und das bei Bitadresse.

Frühere Codeüberprüfungen von bitcoinpaperwallet [.] Com in der Vergangenheit haben bereits Exploits ergeben (wie im folgenden Video mit freundlicher Genehmigung des mycrypto.com-Brieftaschenteams gezeigt)..

In diesem Beispiel scheint der Code ein Bild der Papiergeldbörse zu erstellen (einschließlich der öffentlichen und privaten Schlüssel) und lädt dann eine Kopie davon an eine andere Stelle hoch – vermutlich in einen Laufwerksordner, den der Eigentümer der Website kontrolliert.

Dies ist ein großartiger Thread Erklärung ihrer Forschung ab 2020.

Thread über Bitcoinpaperwallet Backdoor

Diese Methode zum Entleeren von Brieftaschen scheint jedoch nicht mehr verwendet zu werden, da es anscheinend keine Funktion mehr gibt, die nicht mehr geladen ist.

Wir haben dies überprüft, indem wir offline gegangen sind, und dann versucht, eine Adresse für zu generieren

http: // bitcoinpaperwallet [.] com / bitcoinpaperwallet / generate-wallet.html

Dann haben wir auf der Registerkarte “Netzwerk” des Browser-Devtools nach fehlgeschlagenen xhr- oder Abrufanforderungen gesucht, konnten jedoch keine finden.

Dies würde darauf hinweisen, dass Brieftaschen jetzt mit einer anderen Methode entleert werden als im Mai 2020, als mycrypto dieses Video drehte.

Andere Online-Theoretiker vermuteten, dass die Website möglicherweise doppelte Adressen generiert. Wir haben jedoch selbst über 10.000 Adressen generiert und keine doppelten gefunden.

Wir untersuchen noch, ob die Duplikaterzeugung nur ein Backup für die xhr-Anforderung ist.

Code Review Update 23. Februar 2021

Folgen Sie den Schritten von dieser reddit Beitrag.

Thread über Bitcoinpaperwallet Backdoor

Speichern Sie den HTML-Generator auf dem Computer

Klicken Sie auf bitcoinpaperwallet [.] Com Generate Wallet mit der rechten Maustaste auf die Seite und wählen Sie “Seitenquelle anzeigen”..

Seitenquelle der BPW-Ansicht

Dadurch wird der Quellcode der HTML-Seite in einer neuen Registerkarte geöffnet.

Von hier aus können wir entweder alles auswählen und in eine neue HTML-Datei einfügen oder mit der rechten Maustaste auf die Seite und klicken Speichern als, Dadurch werden wir aufgefordert, den Seiteninhalt als zu speichern .html Datei.

BPW Generate Wallet-Seitenquelle

Suchen Sie den langen Satz von “Testschlüsseln”, dargestellt durch “eckey_test = [{…}];” und ersetzen Sie es durch nur ein einziges Schlüsselpaar

Nachdem Sie die Datei mit einem Code- oder Texteditor geöffnet haben, müssen Sie nach dem suchen “Eckey_test” Array.

BPW Generate Wallet-Seitenquelle

Als nächstes haben wir das gesamte ersetzt eckey_test = [{…}] Array mit nur einem einzigen Schlüsselpaar, wie im Beispiel für den reddit-Beitrag angegeben:

eckey_test = [{pub:"MUtDQ25Td05uQ0I0Y05ZN0hFc0hja1M4Vjk5bUxFNjJKZQ ==",priv:"NUpreTZtM2lZS2FxTm1NZ2NvaEdYb2o0dXVyVTNXaXhiak54R1N4NmNlbmU3S25FWGR6"}]; Ersetzen des Testschlüssels im Quellcode

Laden Sie den Generator auf. Es wird immer wieder genau die gleiche (vorhersehbare) Brieftasche generiert

Wir haben die Datei lokal in einem Browser geöffnet:

BPW lokale Seite im Browser

Jedes Mal, wenn eine neue Brieftasche generiert wurde, wurde genau das gleiche vorhersehbare Ergebnis zurückgegeben.

Generieren einer neuen Brieftasche durch Klicken auf die Schaltfläche “Überspringen”:

Generierung der BPW-Geldbörse

Ergebnis:

Generierung der BPW-Geldbörse

Generieren einer neuen Brieftasche durch Bewegen der Maus und Eingeben zufälliger Tastenanschläge in das Feld:

Generierung der BPW-Geldbörse

Ergebnis:

Generierung der BPW-Geldbörse

Generieren einer neuen Brieftasche durch Klicken auf die Schaltfläche “NEUE Brieftasche generieren”:

Generierung der BPW-Geldbörse

Ergebnis:

Generierung der BPW-Geldbörse

Die exakt gleiche Brieftasche wurde immer wieder generiert.

Codevergleich der Live-Site mit dem Code auf Github

Wir haben die Generate-Wallet-HTML-Quelle von der GitHub Repo, und nachdem im Quellcode nach dem Array “eckey_test” gesucht wurde, gab es kein Ergebnis zurück. Das Array ist im Quellcode nicht vorhanden.

GitHub-Quellcodeprüfung

Wir wollten den Code weiter vergleichen, deshalb haben wir das auf bitcoinpaperwallet [.] Com Generate Wallet page gefundene Javascript aufgehoben.

Dazu haben wir alles zwischen den Skript-Tags, die “eckey_test” enthielten, kopiert und in ein eingefügt Javascript Unminifier um ein benutzerfreundlicheres Ergebnis zu erzielen.

GitHub-Quelle mit Live-Site-Vergleich GitHub-Quelle mit Live-Site-Vergleich

Die Reihenfolge des Codes ist etwas anders, aber es gibt keine “eckey_test” – oder “eckey_test” -Logik in der GitHub-Quelle.

GitHub-Quelle mit Live-Site-Vergleich

Andere Information

Beim Aufrufen der Live-Website bitcoinpaperwallet [.] Com wird jedes Mal, wenn die Seite geladen wird, ein weiterer Satz von 60 Schlüssel-Wert-Paaren zum Array „eckey_test“ hinzugefügt.

Wir können dies sehen, indem wir die DevTools des Browsers öffnen und den Arraynamen eingeben:

Live-Seitenprüfung

Unter Verwendung eines gekürzten Funktionscodes erhielten wir die dekodierten sogenannten “Test” -Tasten und druckten jede Taste und das dekodierte Gegenstück zur Konsole:

eckey_test.forEach (Eintrag => {const decoded_testKeys = { "decoded_pub": window.atob (entry.pub), "decoded_priv": window.atob (entry.priv)}; console.log (Eintrag); console.log (decoded_testKeys); }); Live-Seitenprüfung

Jede neu generierte Brieftasche (zufällige Tastenanschläge, Mausbewegung, Tastendruck usw.) gibt nur das dekodierte Schlüssel-Wert-Paar aus der Liste zurück.

Live-Seitenprüfung

Die Wallet-Generierungslogik erhöht den Index des Arrays “eckey_test” jedes Mal um 1, wenn eine neue Wallet generiert wird, bis alle Elemente im Array durchlaufen sind. Erst nach 60 Brieftaschen, die wir generiert haben, haben wir eine erhalten, die nicht im Array enthalten war.

Kontaktaufnahme mit den Börsen

Natürlich wollten wir die empfangenden Börsen über die gestohlenen Münzen auf der Plattform informieren, damit sie bei der Identifizierung des Diebes helfen und hoffentlich die Strafverfolgung bei der Strafverfolgung unterstützen können.

Polo E-Mail

Ich habe mehr oder weniger dieselbe E-Mail an Binance gesendet.

Polo meldete sich am selben Tag bei mir und sagte, sie würden die Einzahlungstransaktion prüfen und herausfinden, was sie sich einfallen lassen könnten.

Binance war im Grunde das gleiche.

Verständlicherweise wurde uns in beiden Fällen mitgeteilt, dass diese Konten, da sie uns nicht gehören, keine Aktualisierungen über den Fortschritt in diesem Fall an uns weitergeben würden. Sie sagten uns, dass sie in dieser Angelegenheit mit allen Strafverfolgungsbehörden zusammenarbeiten würden und dass die Opfer einen Polizeibericht einreichen sollten.

Unsere Opfer haben seitdem Polizeiberichte in ihren verschiedenen Gerichtsbarkeiten eingereicht, aber es ist unwahrscheinlich, dass die Polizei auf diese Informationen reagiert.

Fazit

Diese Untersuchung ist noch nicht abgeschlossen und wird aktualisiert, sobald wir unsere Forschung fortsetzen. Wir wissen noch nicht genau, ob der Websitebesitzer selbst für diese Brieftaschen-Sweeps verantwortlich ist oder ob ein Dritter einen Exploit im Quellcode der Website gefunden hat.

Angesichts der Häufigkeit, mit der der Websitebesitzer über das Problem informiert wurde, und seiner Weigerung, es zu beheben, deutet dies sicherlich darauf hin, dass er möglicherweise für die gestohlenen Gelder verantwortlich ist.

Kurz gesagt, unter keinen Umständen sollte jemand Brieftaschen verwenden, die auf bitcoinpaperwallet [.] Com generiert wurden, um eine beliebige Menge seiner Bitcoin zu speichern. Ob fahrlässig oder böswillig, die Website ist nicht zuverlässig und die Beweise auf dieser Seite sollten ausreichen, um dies zu beweisen.

FAQ

Ist Bitcoinpaperwallet.com ein Betrug??

Ja, wenn Sie bitcoinpaperwallet.com verwenden, um eine Papiergeldbörse zu erstellen, werden Ihre Münzen gestohlen. Verwenden Sie NICHT bitcoinpaperwallet.com, um eine Papiergeldbörse zu erstellen.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map