אתר זה נראה הכי טוב בדפדפן Chrome

איך גנבו לי 650 דולר, ולמה הגיע הזמן להתעורר

בשבוע שעבר השתתפתי בכנס בלוקצ'יין, כאן בת"א. היה זה כנס גדול ומכובד. רבים מאוד מאנשי התעשייה היו שם, אולי גם חלק מכם. הרבה דוברים, אוכל טעים, בלוקצ'יין חם ואחלה אירוע. באמת.
החלק הכי טוב של היום התרחש מבחינתי על הבוקר. האולם הכיל משהו כמו 500 אנשים והמנחה הודיע "יש לנו הפתעה. מתחת לכל כסא מודבקת מעטפה. בתוכה תמצאו ארנק נייר. שלושה מהארנקים הללו הוטענו ב 0.1 ביטקוין כל אחד. אולי זכיתם!".
חשבת לעצמי, מה הסיכוי. אבל בדקתי ואכן היתה מעטפה. בתוכה ארנק נייר מהודר, מודפס על נייר כרום עבה וצבעוני: סרקתי את הכתובת הציבורית, בדקתי ב block explorer ואכן, 0.1 ביטקוין דנדשים מופיעים כיתרה בארנק הנייר שלי. נדבק לי חיוך מאוזן לאוזן. לא כל יום זוכים ב 650 דולר בלי לקנות כרטיס הגרלה.
חשבתי לעצמי: מחר אעביר את הביט מארנק הנייר לארנק החומרה שלי, בינתיים נהנה מהכנס.
אלא שמכאן ואילך הדברים הדרדרו במהירות.
24 שעות מאוחר יותר: אני סורק את הכתובת כדי לגלות שיתרת הביטקוין בארנק הפכה לאפס. מסתבר כי כמה דקות אחרי הכנס מישהו (או מישהי) סילק מהארנק שזה עתה קיבלתי את 0.1 הביטקוין. כלומר, למישהו היה עותק של ארנק הנייר, היינו, עותק של המפתח. וכידוע, מי שמחזיק במפתח מחזיק בביטקוין.
הופ, הלכה החופשה המתוכננת ברומא.
ניחשתי שאני לא לבד.
היתה לי שיחה נעימה עם אחד מהמארגנים. ניסינו יחד להבין מה קרה.
הערכתי שאם אכן נגנב כסף מארנקים נוספים (חולקו כזכור שלושה), הרי שכל הגניבות התרחשו פחות או יותר באותו הזמן.
המארגן: בדקתי עכשיו את שלושת הארנקים. יש ארנק אחד עדיין עם הכסף בתוכו ו-2 ארנקים, שלך ושל הבחור השני שהתלונן שרוקנו ב-13:58 ו-14:24.
אני: מי שהדפיס פשוט היה צריך לצלם על ארנק ואז זה רק שאלה כמה זמן לוקח לסרוק כל כתובת... הגיוני שזה ייקח שעה לאלף ארנקים. יתכן ופשוט לתוקף לא היתה גישה לכל העותקים של הארנקים ששכפלתם אלא רק לחלק. כלומר, מי שהדפיס את הארנקים שמר עותק מכל ארנק. קל מאוד.
המארגן: לא נראה שהבית דפוס אפילו יודע מה זה ביטקוין. אז איך מדפיסים ארנקי נייר? רק הדפסה עצמית? מה הסיכוי ליפול על מדפיס שלא רק יודע מה זה ביטקוין אלא גם מספיק חכם כדי לכתוב סקריפט שבודק את כל הכתובות, מחכה שיכנס אליהם כסף ואז מרוקן אותם. אם היה כזה מישהו, הסיכוי שהוא היה עובד בדפוס שואף לאפס 😂
אני: זה יכול להיות גם השליח שהביא את הארנקים. הפקידה שארזה אותם. העובד שהכניס אותם למעטפות. זה שהדביק אותם. וכל נקודה אחרת בשרשרת. עוד אפשרות היא שמכונת הדפוס מחזיקה עותק דיגיטלי בזכרון כקובץ. מי שמטפל במערכת של הדפוס אולי יכול היה לגשת וכו'. ולא צריך שום סקריפט. צריך רק עותק נייר של כל הארנקים, וטלפון אחד. עוברים כתובת כתובת ובודקים. כאמור זה לוקח קצת זמן וכל דביל יכול לעשות את זה. מסביר את ה 25 דקות בין הריקון של הארנק שלי לארנק האחר.
המשכנו בדיאלוג, שהיה כאמור נעים וענייני.
קצת פדיחות, אבל היי, זה קורה לטובים ביותר. עובדה.

להלן המסקנות ושני הסנט שלי.
  • אם קיבלתם ארנק נייר: מתנה לחתונה, לבר מצווה, זכיתם בהגרלה בכנס, קיבלתם החזר חוב של חבר או whatever, הנחת העבודה חייבת להיות שהארנק הזה פרוץ. גם אם המקור הוא בנאדם סופר ישר ומקצוען. הוא רק בנאדם (או חברה) ויכול להיות שמישהו עקץ אותו ללא ידיעתו וצילם או השיג עותק. מאותו הרגע, הביטקוין שעל הנייר חיים על זמן שאול. 
  • אל תתעצלו: אם קיבלתם ארנק נייר, בצעו מיד swap לארנק מקומי על הטלפון שלכם. מיד. אל תמתינו רגע. אם זה עובר, אתם מוגנים והמפתחות החדשים של הארנק שלכם אינם בהישג ידו של שום תוקף. (כמובן כמובן שגם ארנק מובייל יש לגבות ועדיף לא לשמור עליו לעולם סכום משמעותי. מארנק המובייל תעבירו לארנק חומרה או לארנק אחר שאתם בטוחים בהגנתו, בהזדמנות הראשונה).
  • יש לכם ארנק נייר שאתם עשיתם בעצמכם ובטוחים בעמידותו? זיכרו: ארנק נייר טוב רק ככל שהוא נותר חסוי לחלוטין. אם יש לכם עוזרת, או חברים של הילדים, או מבקרים או כל אדם שאיננו אתם, ושהוא עלול לראות איכשהו את ארנק הנייר, ולו לרגע, והכסף יהיה אבוד. הערה: קשה מאוד לייצר ארנק נייר שבטוחים בהגנתו. עלולות להיות רוגלות במחשב, במדפסת, או אפילו על הצ'יפ של לוח האם... (תשאלו את אמזון). 
  • אם אתם חברה או מפיקי אירוע ורוצים לשמח את הקהל ולחלק ארנקי נייר, זכרו שאתם חשופים. אי אפשר עוד להניח שבית הדפוס לא מבין. כולם כבר יודעים מה זה. זה יכול להיות כל אחד. ככל שתהליך יכלול פחות ידיים (והרבה פחות עיניים), כך יש יותר סיכוי למנוע גניבה, אבל הסיכוי תמיד יהיה.
  • עשיתם זאת בכל זאת, המליצו לזוכים להעביר את הכסף מיד במעמד הזכיה.
  • החלטתם להדפיס ארנקי נייר לחלוקה, אפשר גם לעשות פעולת הגנה נוספת, והיא לייצר ארנק נייר המוגן ב BIP38 Encrypt כלומר המוגן בססמה (קל ב www.bitaddress.org). בשיטה זו יש מפתח פרטי, ובנוסף למפתח יש ססמה. במקרה כזה המארגנים יאמרו רק לזוכים מה הססמה, וגנב פשוט לא יוכל להשתמש בארנקים בלעדיה. זו כמובן לא דרך אידיאלית לאורך זמן (כי חוזק הארנק הופך לחוזק הססמה, ותוקף רציני עלול לפרוץ אותה ב brute force) אבל לסכומים קטנים, לכנס, לפרסים, זה די והותר כדי לשים קו הגנה נוסף ומשמעותי שהיה מונע להערכתי את המקרה הנוכחי.
  • שורה תחתונה: המארגנים ביקשו לעשות טוב, ועשו הגרלה ראויה ומפתיעה (באמת נחמד לגלות שיש 0.1 ביטקוין הדבוקים לך בתחתית הכסא), אבל הערכת הסכונים לא היתה מספקת.

הגיע הזמן להתבגר – כקהילה, כמשתמשים. לזכור שהעולם מלא אנשים רעים, ושאין לסמוך על איש.
ואם אין לך מפתח שהוא *רק שלך*, אז אין לך ביטקוין.
**
בתמונות:
ארנק הנייר הזוכה ברגע האושר החולף,
והביטקוין היחיד שתכלס נשאר לי מהכנס: מטבע שוקולד שאני לא אוכל.

***
את הפוסט הזה פרסמתי לראשונה דווקא בקבוצת ביטקוין ישראלי, וכן, אני יודע, הבלוג הזה עסק עד היום בעיקר בספורט, טיולים, באוכל טעים ובבריאות. אבל היי, ביטקוין הוא חלק מהעתיד וחלק ממני. אז אני מקווה שזה מעניין גם אתכם, קוראי הותיקים. 


Share/Bookmark

By Dael with No comments

0 הערות קוראים:

פרסום תגובה