Пользователи BitcoinPaperWallet заявляют о потере крупных сумм из-за уязвимого бумажного кошелька

Бумажные кошельки считаются достаточно защищенным способом хранения биткоина. Такой кошелек не подключен к интернету, а значит, однажды распечатав пару публичного и приватного ключа, пользователь в дальнейшем сможет использовать ее, чтобы спокойно переводить криптовалюту для холодного хранения. Это так, если на этапе создания ключей их не узнает кто-то еще, как произошло с пользователями сервиса BitcoinPaperWallet.com.

Ник Венделл (псевдоним) потерял полмиллиона долларов в биткоине 7 января. Курс криптовалюты приближался к $40 000, и Венделл решил перевести часть своих активов в бумажный кошелек. Не прошло и минуты с момента зачисления 14,5 BTC на созданный с помощью сервиса адрес, как они ушли в неизвестном направлении. После нескольких перемещений криптовалюта нашла пристанище на Binance.

«В течение минуты я осознал произошедшее. Несколько минут мне казалось, что я падаю, что не достигаю земли. Помню, ходил кругами по кухне, как будто у меня помутилось в голове», – заявил Венделл в разговоре с CoinDesk.

По сведениям портала, таких жертв насчитывается по крайней мере около полудюжины. Все они утверждают, что потеряли крупные суммы, после того как воспользовались сервисом. Предположительно, счет убытков за последние два года идет на миллионы долларов.

Специалисты выяснили, что BitcoinPaperWallet отправляет копию каждого создаваемого приватного ключа на сервер, то есть непосредственно в руки злоумышленников. Братья Брайан и Колин Олдсы, ведущие блог PrivacyPros, сообщили, что были готовы купить сайт в прошлом году, однако наткнулись на свидетельства мошенничества.

Если в браузере установлены расширения кошельков MetaMask или MyEtherWallet (MEW), они автоматически определяют BitcoinPaperWallet.com как фишинговый ресурс и предупреждают об этом пользователя. В мае 2020 года сервис MyCrypto также сообщал об «уязвимости» данного бумажного кошелька, создающей «бэкдор, который подвергает активы риску кражи».

Олдсы заявляют, что описанный MyCrypto бэкдор в BitcoinPaperWallet больше не присутствует, но «кто-то активно меняет устройство сайта после публикации информации об уязвимостях», а пользователи продолжают терять деньги.


Пример созданного с помощью BitcoinPaperWallet кошелька

Один из пострадавших сообщил, что вносил активы по нарастающей в кошелек BitcoinPaperWallet на протяжении августа 2020 года, пока 21-го числа они не были выведены на Binance посторонним. «Я спутал его с другим полноценным сайтом, которым пользовался несколько лет назад. По сути, я просто ввел в Google “бумажный биткоин-кошелек”, и этот скам вылез первым», – заявил он.

Другой утверждает, что в декабре потерял 50,1 BTC. Он отправил криптовалюту на предложенный адрес, пошел проверяться на коронавирус, а когда вернулся, ее уже не было. Еще один пользователь в мае 2019 года потерял 1,8 BTC, а на Reddit пишут о краже Bitcoin Cash из кошельков, созданных через тот же сайт.

Пользователям BitcoinPaperWallet предлагается перемещать курсор по экрану, якобы для обеспечения случайности в процессе создания кошелька, но это не влияет на конечный результат. Что еще более любопытно, в оригинальном коде на Github такого бэкдора нет. До 2018 года BitcoinPaperWallet принадлежал Кантону Беккеру, пока он не продал его некоему Саркису Саркисяну в апреле того же года. До этого времени никто не заявлял о пропаже средств, а сам BitcoinPaperWallet пользовался доверием в сообществе. Саркисян утверждает, что деньги теряют пользователи, «изначально не управлявшие ключами должным образом».

«Действительно, мы получаем жалобы от пользователей, утверждающих, что они потеряли биткоины после использования нашего сайта. Эти жалобы всегда решаются за исключением отдельных случаев, когда пользователи не могут осознать собственную ошибку и перекладывают вину на нас, – заявил он. – Мы изучили исходный код на наличие в нем проблем и не смогли добиться тех же результатов. Сервера и исходный код были проверены на чистоту нашим экспертом по безопасности Джонелом Ричардом. Он все еще ведет расследование, пытаясь воспроизвести проблему, о которой сообщают другие».

Неладное с BitcoinPaperWallet происходит по крайней мере с середины 2018 года, однако пользователи долгое время не били тревогу. Предположительно, опустошаются только крупные кошельки, содержащие как минимум 1 BTC. Согласно имеющимся сообщениям, пользователи таких кошельков потеряли по крайней мере 124,85 BTC стоимостью $6,2 млн по текущему курсу.

Отметим, что это уже не первый подобный инцидент с бумажными кошельками. С середины 2018 года уязвимыми оставались кошельки, созданные через сервис WalletGenerator. В его случае рандомизация производимых пар ключей также оказалась фикцией.

«Критически важно, чтобы ключи генерировал пользующийся доверием поставщик в полном отсутствии подключения к интернету. Воспринимайте веб-сайты, свой компьютер и интернет в целом как вуайеристов, пытающихся подсмотреть ваши данные. Потому что иногда именно так они и поступают. Они могут опустошить весь баланс, если преуспеют в этом», – заявил независимый биткоин-разработчик и исследователь Дастин Деттмер.