Plötzlich:
Die Bitcoin Foundation gibt der Community etwas zurück! Wir möchten unsere Benutzer unterstützen, die uns im Laufe der Jahre geholfen haben. Senden Sie Bitcoin an diese Adresse und wir senden Ihnen den doppelten Betrag zurück!
Offensichtlicher Betrug. Die Haupt-Bitcoin-Website wurde kompromittiert.
Ich entferne sofort jede einzelne Instanz von „bitcoin.org“ in meinem Code, insbesondere die Skripte, die nach neuen Updates von Bitcoin Core suchen und diese AUTOMATISCH HERUNTERLADEN/INSTALLIEREN, nachdem sie die Signaturen überprüft haben, die sie auch von derselben Domäne erhält. .
Tut mir leid, aber das ist wie eine kalte Dusche. Ich hätte nie gedacht, dass ausgerechnet diese Seite kompromittiert werden würde. Jetzt kann ich nichts und niemandem mehr vertrauen. Wenn sie eine so offensichtliche Betrugsnachricht hosten können, können sie modifizierte EXE-Dateien und kryptografische Signaturdateien hosten ... Seufz.
Wie ist das möglich? Was geschah, um dies zu ermöglichen?
Wie ist das möglich? Was geschah, um dies zu ermöglichen?
Genauso wie jede Website gehackt werden kann. Bitcoin.org wird nicht auf eine spezielle Weise gehostet, die es unhackbar macht, es ist eine Website, wie jede andere Website. Als solches kann es auf all diese Arten gehackt werden, einschließlich, aber nicht beschränkt auf: Kompromittierung des Webservers, Kompromittierung des DNS-Servers/Kontos, Kompromittierung des Registrierungskontos usw.
Es ist wahrscheinlich, dass entweder der Server, auf dem die Website gehostet wird, in irgendeiner Form kompromittiert wurde (schwaches Passwort, kompromittierter SSH-Schlüssel usw.) oder das Cloudflare-Konto, das DDoS-Schutz bietet, kompromittiert wurde (schwaches Passwort, Unterstützung für Social Engineering usw.) und das Einstellungen geändert, um auf den Server des Angreifers zu verweisen.
insbesondere die Skripte, die nach neuen Updates von Bitcoin Core und AUTO DOWNLOAD/INSTALL suchen
Bitcoin Core wird sowieso nicht mehr auf bitcoin.org hochgeladen, zumindest nicht vom Release-Maintainer. Die offizielle Website von Bitcoin Core ist https://bitcoincore.org und Sie sollten Ihre Binärdateien von dort erhalten. AFAIK, der Eigentümer von bitcoin.org, spiegelt immer noch die Binärdateien auf bitcoin.org, aber es ist nicht mehr der offizielle Ort für Bitcoin Core-Binärdateien.
sie nach Überprüfung der Signaturen, die es auch von derselben Domäne erhält ...
Solange die Signaturen überprüft werden und mit Schlüsseln erstellt wurden, denen Sie vertrauen (vermutlich haben Sie diese Schlüssel von woanders bekommen und einige Überprüfungen durchgeführt), sollten die heruntergeladenen Binärdateien in Ordnung sein. Das ist schließlich der Sinn von Unterschriften. Ein Angreifer, der die Website übernommen hat, kann mit dem/den Freigabeschlüssel(n) keine gültige Signatur erstellen, es sei denn, er hat diese ebenfalls kompromittiert.
Für 22.0+ können Sie auch überprüfen, ob die Hashes der Binärdatei mit dem übereinstimmen, was die guix-Ersteller erstellt haben, indem Sie die Hashes und Signaturen in https://github.com/bitcoin-core/guix.sigs überprüfen (mit dem neuen guix-Prozess werden die Signaturen über die Hashes kommt eigentlich auch von den Guix Buildern). Für 0.21 und früher können Sie die gleiche Überprüfung mit den Gitian-Signaturen durchführen: https://github.com/bitcoin-core/gitian.sigs .
Es gibt keine Websites, die Bitcoin repräsentieren, da Bitcoin dezentralisiert ist.
bitcoin.org gehört einer Person und ist eine Website, die Informationen über Bitcoin bereitstellt, wie es viele andere Websites tun, und es besteht keine besondere Verbindung zwischen der Sicherheit des Domänennamens bitcoin.org und der Sicherheit von Bitcoin-Software-Clients.
Ich entferne sofort jede einzelne Instanz von „bitcoin.org“ in meinem Code, insbesondere die Skripte, die nach neuen Updates von Bitcoin Core suchen und diese AUTOMATISCH HERUNTERLADEN/INSTALLIEREN, nachdem sie die Signaturen überprüft haben, die sie auch von derselben Domäne erhält. .
Keine Version von Bitcoin Core hat jemals Kontakt mit bitcoin.org gehabt, keine Versionsprüfung, keine manuellen oder automatischen Updates. Wenn Sie diese Tools selbst erstellt und sich entschieden haben, sie als vertrauenswürdige Quelle für etwas Bestimmtes hinzuzufügen, ist dies Ihr Sicherheitsrisiko, mit dem Sie sich befassen müssen, und das von niemand anderem.
Wenn sie eine so offensichtliche Betrugsnachricht hosten können, können sie modifizierte EXE-Dateien und kryptografische Signaturdateien hosten ... Seufz.
Nun nein, kryptografische Signaturen sollen dies ausdrücklich verhindern. Jemand, der die Binärdateien ersetzt, kann keine gültigen Signaturen für die zuvor verwendeten Schlüssel erzeugen.
Manchmal ist es so einfach, den Registrar oder Host anzurufen und vorzugeben, der Eigentümer der Domain zu sein, fast so, wie Angreifer SIM-Swaps durchführen. Hoffentlich können sich die meisten Hosts und Registrare heutzutage besser vor dieser Art von Social-Engineering-Angriffen schützen, da sie immer häufiger vorkommen.
Peter Kordes
akostadinow
Nat
Nat
Boann
Fett
Andreas T.