Bitcoinpaperwallet.com |这是骗局吗?案例研究2021

TL; DR:

网站bitcoinpaperwallet [。] com正在运行一个钱包清扫骗局,其中在现场生成纸钱包的用户并不是唯一拥有硬币私钥的人。请勿使用bitcoinpaperwallet [。] com来存储任何种类的硬币.

bitcoinpaperwallet [。] com主页 bitcoinpaperwallet [。] com的主页

背景

如果您愿意,可以跳过此故事的背景 直接去研究

我们如何做SEO

作为我们privacypros在这里的常规工作的一部分,对我们而言,最重要的一件事就是Google排名.

也就是说,我们希望页面的排名尽可能高,以增加点击次数,并希望增加销售量.

热门排名的一部分是获得或建立指向我们页面的高质量反向链接.

我们用于增加进入我们网站的反向链接的一种策略是购买现有网站并将其重定向到我们自己的页面.

这种做法的两个例子是我们对bitbonkers.com和bitcoinfees.info的收购.

bitbonkers.com和bitcoinfees.info

这些网站都获得了数千个极高质量的反向链接,并且每月以自然和直接的流量接待成千上万的访问者.

我们在这些页面上的收益不高(如果有的话),但是它们的确可以提高我们其他页面的排名,所以这就是我们想要它们的原因.

难以置信?

我们通过多种方法找到了想要购买的网站。有时我们会使用ahrefs.com之类的工具。有时,我们自己偶然发现了这些地点。有时朋友认识主人.

就bitcoinpaperwallet.com而言,我们正在专门寻找一种纸钱包生成工具,作为我们纸钱包页面的辅助工具.

这个网站的指标令人赞叹.

Ahrefs指标

例如,其反向链接配置文件是疯狂的。我们想要去我们网站的许多高质量的相关反向链接,例如coindesk,cointelegraph,bitcoin.com,以及其他主要新闻网络链接,例如nypost和数字趋势.

比特币钱包钱包反向链接

但最重要的是(最危险的是我们会发现),它的目标关键字“ Bitcoin Paper Wallet”排名第一。.

比特币钱包排名

而且,事实证明,我们在2017年从该站点购买了可启动的Linux安装程序,因此我们假设它们肯定是合法操作.

Bryan可启动的Linux安装程序电子邮件

这足以让我们尝试与网站所有者联系并提出要约.

联系业主

经过一番侦查,该网站似乎属于一个名叫Canton Becker的人,他仍然维护着表面上仍然引用该网站的github存储库。.

但是,自述文件中的注释声称Canton已于2018年出售了该网站,并将任何疑问定向到新所有者的电子邮件地址.

GitHub自述文件

我们试图通过[email protected]与新所有者联系,但没有任何答案.

因此,我们直接与Canton联系,希望他可以通过其他方式与他或她联系.

广州电子邮件介绍

来回一番后,他告诉我们,多年来,他收到了几封电子邮件,这些人声称自称损失了使用该网站的资金.

作为对BlockDX的一条推文,进一步的研究提出了该推文,要求将任何其他已知的黑客添加到他们的列表中。.

bitcoinpaperwallet诈骗推文

这些都是大胆的主张。尤其是考虑到用户错误时,纸钱包的状况如何?.

不称职的用户只是偶然地生成了他们的纸钱包,并在他们不可避免地丢失硬币时将责任归咎于网站吗?还是……是新所有者恶意使用该网站将比特币汇入自己的口袋(以及以太坊和莱特币通过纸钱包网站出售,广州也将其出售给新所有者)?

目前,我们对网站不再感兴趣-我们不希望承担任何责任.

但是我们确实想知道我们是否可以证明有关bitcoinpaperwallet.com的声明,并希望利用我们的网站权限来警告其他人.

所以这就是我们要做的……

连锁分析

我们需要做的第一件事就是与这些被指控的受害者取得联系.

坎顿向这些人提供了我们的电子邮件地址,一个名为Kunal的人与我们联系,同时还为其他人提供了密件抄送.

Kunal电子邮件

我们告知kunal,我们确实打算深入了解此事,但在我们有确凿证据证明发生骗局之前,我们不希望打扰任何人.

毕竟,坎顿警告过我们,也许他在编码熵生成过程时犯了一些错误,并且与新所有者无关的人已经利用了它.

Bryan发电子邮件给Kunal

就目前而言,我们需要尽可能多的耗尽地址.

库纳尔(Kunal)与他与许多其他受害者交谈并从他们那里收集了地址后发表讲话.

他给我们的地址如下:

  • 14MKVLrhaBSkqbqebQMKAqyiNhK7ir68Yh
  • 1JE4yb89gEHTeZ8x9TqfN3cc6dUUSH7D5d
  • 1MNdw5RKRTbatWbMTqHvntg7RLRL1WxfAC
  • 17rC3BHboioNxJWvVynh7agmaiYrDTjmE6
  • 19LxQ1FpJwnUokcRBNA2gnwB2FG5TbY9C5
  • 18SNBJsJ1MX7qkkxfX6zKbqjLpzZK8QxjA
  • 1BxPiuddFh7vz83BCFM9ZKUV75jUJyvJUv

从这里,我们将它们传递给了从事区块链取证工作的朋友Tony Sanak.

您可能知道他的YouTube频道, 探索加密!

然后,Tony将我们介绍给了他在Blockchain Intelligence Group的同事,他能够利用他们的QLUE工具来分析交易。我们向BIG法医调查小组简要介绍了我们的工作,并询问他们是否可以帮助我们.

男孩,他们!

几天后,他们回到了我们身边.

我让他们用自己的话说:

他们还提供了以下图形:

区块链情报图

已经知道答案了,我问他们是否有这种能力不足.

在B的情况下,有两笔存款交易-都进入Binance.

大继续:

区块链情报图

就Kunal而言,也有两次存款交易.

代码审查

我们仍在对实时网站与 Github上的代码 而在 位地址.

以前对bitcoinpaperwallet [。] com的以前的代码回顾曾揭示过以前的漏洞利用方法(如下面的视频所示,由mycrypto.com钱包团队提供).

在此示例中,该代码看起来像是创建纸钱包的图像(包括公用密钥和专用密钥),然后将其副本上载到其他位置-大概是网站所有者控制的驱动器文件夹中.

这个帖子不错 解释他们从2020年开始的研究.

关于bitcoinpaperwallet后门的线程

但是,这种排空钱包的方法似乎不再使用,因为似乎不再有“ imgloaded”功能了.

我们通过离线进行检查,然后尝试在上生成地址

http:// bitcoinpaperwallet [。] com / bitcoinpaperwallet / generate-wallet.html

然后,在浏览器devtools的“网络”标签中,我们检查了所有失败的xhr或获取请求,但均未找到.

这表明钱包正在用与2020年5月mycrypto制作此视频时所用的方法不同的方法耗尽.

其他在线理论认为,该网站可能正在生成重复的地址,但是我们自己生成了10,000多个,没有发现重复.

我们仍在研究重复生成是否只是xhr请求的备份.

代码审查更新2021年2月23日

遵循以下步骤 这个reddit帖子.

关于bitcoinpaperwallet后门的线程

将HTML生成器保存到计算机

在bitcoinpaperwallet [。] com生成钱包上,右键单击页面,然后选择“查看页面来源”.

BPW查看页面源

这将在新选项卡中打开HTML页面源代码。.

在这里,我们可以选择所有内容并将其粘贴到新的HTML文件中,或者右键单击该页面,然后 另存为, 这将提示我们将页面内容另存为 .html 文件.

BPW生成电子钱包页面源

找到由“ eckey_test = [{…}];”表示的一长串“测试键”。并用一个密钥对替换它

使用代码或文本编辑器打开文件后,我们需要搜索 “ eckey_test” 大批.

BPW生成电子钱包页面源

接下来,我们将整个 eckey_test = [{…}] 仅具有单个键对的数组,例如reddit post示例中提供的键对:

eckey_test = [{pub:"MUtDQ25Td05uQ0I0Y05ZN0hFc0hja1M4Vjk5bUxFNjJKZQ ==",私人:"NUpreTZtM2lZS2FxTm1NZ2NvaEdYb2o0dXVyVTNXaXhiak54R1N4NmNlbmU3S25FWGR6"}]; 替换源代码中的测试密钥

加载发电机。它将一遍又一遍地生成完全相同(可预测)的钱包

我们在浏览器中本地打开了文件:

浏览器中的BPW本地页面

每次生成新钱包时,它都会返回完全相同的可预测结果.

通过点击“跳过”按钮生成一个新的钱包:

BPW本地钱包生成

结果:

BPW本地钱包生成

通过移动鼠标并在框中键入随机击键来生成新钱包:

BPW本地钱包生成

结果:

BPW本地钱包生成

点击“ GENERATE NEW WALLET”按钮生成一个新的钱包:

BPW本地钱包生成

结果:

BPW本地钱包生成

一遍又一遍地产生了完全相同的钱包.

实时网站与 Github上的代码

我们从 GitHub回购, 在源代码中查找“ eckey_test”数组后,未返回任何结果。该数组不存在于源代码中.

GitHub源码检查

我们想进一步比较代码,因此我们最小化了bitcoinpaperwallet [。] com生成钱包页面上的javascript。.

为此,我们在包含“ eckey_test”的脚本标签之间复制了所有内容,并将其粘贴到 javascript unminifier 产生更人性化的结果.

GitHub来源与实时站点比较 GitHub来源与实时站点比较

代码的顺序有些不同,但是GitHub源代码中没有“ eckey_test”或“ eckey_test”逻辑.

GitHub来源与实时站点比较

其他资讯

当访问实时bitcoinpaperwallet [。] com网站时,每次加载页面时,都会在“ eckey_test”数组中添加另一组60个键值对。.

通过打开浏览器DevTools并输入数组名称,我们可以看到:

实时页面检查

使用一小段代码,我们得到了解码后的所谓“测试”键,并打印了每个键,并将其与控制台进行了解码:

eckey_test.forEach(entry => {const encoded_testKeys = { "coded_pub":window.atob(entry.pub), "coded_priv":window.atob(entry.priv)}; console.log(entry); console.log(decoded_testKeys); }); 实时页面检查

生成的每个新钱包(随机击键,鼠标移动,按钮按下等)都只从列表中返回已解码的键值对.

实时页面检查

每次生成新钱包后,钱包生成逻辑只会将“ eckey_test”数组的索引增加1,直到它遍历数组中的所有项目为止。生成60个钱包后,我们得到了一个不在阵列中的钱包.

联系交易所

当然,我们希望让收款交易所知道平台上的被盗硬币,以便他们可以帮助识别小偷并希望协助执法部门将它们绳之以法。.

马球邮件

我或多或少都向Binance发送了相同的电子邮件.

Polo当天回到我身边,说他们会调查这笔存款交易,看看他们会想到什么.

币安基本相同.

可以理解,在这两种情况下,我们都被告知,由于这些帐户不属于我们,因此他们不会与我们分享有关案件进展的最新信息。他们确实告诉我们,他们将在此问题上与任何执法机构合作,受害者应提交警方报告。.

此后,我们的受害者已在各个司法管辖区提交了警方报告,但警方不太可能根据这些信息采取行动.

结论

这项调查正在进行中,并将在我们继续进行研究时进行更新。我们尚不确定网站所有者本人是否负责这些钱包清扫,还是某些第三方在网站源代码中发现了漏洞.

考虑到站点所有者已被告知该问题的次数,并且拒绝解决该问题,这肯定表明他可能对被盗资金负有责任。.

简而言之,在任何情况下,任何人都不应使用在bitcoinpaperwallet [。] com上生成的钱包来存储其任何数量的比特币。无论是由于疏忽还是恶意,该网站都不可靠,此页面上的证据应足以证明该网站.

常问问题

Bitcoinpaperwallet.com是骗局吗?

是的,如果您使用bitcoinpaperwallet.com生成纸钱包,那么您的硬币将被盗。请勿使用bitcoinpaperwallet.com生成纸钱包.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me