Te contamos el porqué nadie se cree el robo de 215 bitcoins a Luke Dashjr

Luke Dashjr, uno de los principales desarrolladores de Bitcoin, está siendo noticia estos días por haber sufrido un robo de 215 bitcoins. Dashrj ha contado que un hacker accedió a su servidor, a su Pretty Good Privacy (PGP), a su monedero y a sus bitcoins. Suena increíble que una de las personas que más ha aportado a la ciberseguridad del protocolo de Bitcoin haya sido hackeado de forma tan sencilla y perdido tal cantidad de dinero.

Luke Dashjr

Las palabras de Dashrj, que se define en su perfil de Twitter como católico romano, esposo y padre de ocho hijos, han dividido a la comunicad cripto. Por una parte están los que dan credibilidad a las palabras del desarrollador y, por otra, los que piensan que todo es fruto de su fantasía. Luke también apunta en su biografía de Twitter que «los pedófilos que tomaron la Ciudad del Vaticano no son católicos».

14 años del bloque génesis de Bitcoin: origen del dinero libre y sin Estados

Luke Dashjr es una persona respetada en la comunidad por ser uno de los principales contribuidores al desarrollo de Bitcoin, pero algunas cosas de su pasado no le dejan en buen lugar. En este artículo intentaremos descifrar lo que ha sucedido en el famosos hackeo de Dashjr, un suceso con demasiadas incógnitas y que el desarrollador, de momento, no parece estar dispuesto a despejar.

Conociendo a Dashjr

De la vida privada de Luke Dashjr se sabe muy poco. Tan solo que vive en Tampa, Florida, y lo que él cuenta en su perfil de Twitter. Adicional a esto podemos decir:

  1. En varias entrevistas y AMA, Dashir ha hablado abiertamente de su fervor religioso. Participa activamente en espacios religiosos dentro de foros como Reddit. Lo que le ha causado algunos problemas públicos en la comunidad cripto, por considerarlo un «extremista religioso».
  2. Tiene un claro pensamiento anti-científico, algo que sorprende para un desarrollador que tiene que usar dicho pensamiento. Contraviniendo a Nicolas Copernico, en este foro defiende que la Tierra es el centro del Sistema Solar.
  3. Tiene un alto conocimiento en ciberseguridad, hasta el punto que fue uno de los principales desarrolladores del parcheo RETPOLINE dentro de Gentoo, una distro GNU/Linux en la cual es usuario y dev reconocido.

El desastre de Gentoo

Estas son algunas de las cosas abiertamente públicas que se conocen de Luke. Pero si profundizamos un poco más, por ejemplo, en lo que se conoce como el desastre de Gentoo, las cosas cambian. En Gentoo GNU/Linux el mantenedor del paquete net-p2p/bitcoind (bitcoin-qt y bitcoin-cli) es Luke Dashjr. Algo normal si se tiene en cuenta que es un contribuidor conocido de Bitcoin.

Sin embargo, haciendo uso de su posición de poder, en octubre de 2014, Dashjr añadió un parche personal a este paquete. Dicho parche estaba diseñado para censurar una serie de direcciones de sitios de apuestas que el desarrollador no las consideraba acordes con sus pensamientos religiosos. Como respuesta, el usuario @xiando creó el reporte de bug 524512, señalando que el paquete incluía un parche que rompía el funcionamiento de Bitcoin con una lista de bloqueo.

Cuando los mercados despertaron del crack FTX, Bitcoin todavía estaba allí

La respuesta de Luke Dashjr fue desestimar el reporte, burlarse del usuario y pedir que se marcara como INVALIDO o WORKFORME. La situación derivo en una larga lucha en el reporte. Un enfrentamiento en el que Luke defendía su visión y derecho de hacer y aplicar el blacklist sobre el paquete. Lo hacía contraviniendo el reglamento de mantenimiento de paquetes de Gentoo, el cual prohíbe la aplicación por defecto de parches de terceros que afecten el funcionamiento del paquete y que no estén centrados en hacer funcionar el mismo en la distribución. Básicamente, Gentoo permite parchear el software para hacerlo funcionar en la distro, pero no se puede cambiar el comportamiento por defecto del mismo. La blacklist viola este ultimo punto y Dashjr lo sabía.

Boicot contra Dashrj en Reddit

La situación escaló y llegó a Reddit, donde empezó un boitcot contra Dashrj y Gentoo. Finalmente, Dashjr se disculpó y dijo que la situación no volvería a repetirse. Sin embargo, en diciembre del mismo año, Dashjr volvió a reaplicar el parche silenciosamente, indicando que el reporte anterior era invalido y que su solución era correcta.

Dashjr reaplicando el parche de blacklist al paquete de Bitcoin en Gentoo
Dashjr reaplicando el parche de blacklist al paquete de Bitcoin en Gentoo

La situación siguió escalando y más de 150 mil reddittors votaron en contra de esta medida, que tuvo que ser removida nuevamente del conjunto de parches. Lo más llamativo es que el parche hacia blacklist de desarrollos como Mastercoin y Counterparty, dos desarrollos enfocados en llevar un paso adelante el desarrollo de criptomonedas, agregando soporte a Bitcoin y a lo que serían los primeros smart contracts, tokens y NFTs del sector.

Eligius, el pool de minería de Dashjr

Aunque pocas personas lo sepan, lo que Dashjr hacía de forma pública en Gentoo ya lo estaba aplicando de forma privada en Eligius, el pool de minería que creó en 2011. Su nombre es fácilmente reconocible, ya que Saint Eligius es conocido como patrón de los orfebres, otros trabajadores del metal y coleccionistas de monedas.

Las razones por las que Bitcoin es el auténtico rival de Ethereum a día de hoy

Un nombre que casa perfectamente con el de un mining pool, pero que aplicaba las reglas de blacklist de forma predeterminada. En su momento, Eligius era uno de los grandes pools de minería de Bitcoin. Con poco más del 30% del poder minero en ciertas fechas, lo que afectaba a los usuarios, que eran víctimas de esta blacklist al usar los servicios de la red BTC. Dashjr se convertiría así en el primer minero en aplicar censura selectiva a transacciones, en un momento en el que la red estaba creciendo. Nuevamente, la mayoría del blacklist tenía realmente un trasfondo religioso, que no técnico, a la hora de aplicar dicha censura.

Eligius y la minería

Eligius vivió momentos extraños con minería de bloque vacíos (muchos y en forma casi consecutiva) y el hecho de estar estrechamente relacionado con actividades delictivas de un grupo de hackers conocido como FeodalCash, investigado por Krebs On Security, uno de los mayores especialistas en ciberseguridad del mundo.

Qué es Silent Payments, la nueva propuesta para mejorar la privacidad de Bitcoin

Otras críticas vertidas contra el mining pool estaban relacionadas con sus extrañas medidas de hashrate dados a los mineros, que en mucho casos eran de 1/3 o menos de la cantidad real de minería aportada a la red. Como consecuencia de lo descrito, el pool fue perdiendo hashrate hasta que cerró en 2017. Aunque aquí no termina el capítulo Eligius. Más adelante continuamos.

Eligius y su rara forma de medir el hashrate
Eligius y su rara forma de medir el hashrate

Bitcoin Knots y el intento de convertirlo en el «verdadero» Bitcoin Core

Uno de los desarrollos más grandes de Luke es Bitcoin Knots (no accedan ni descarguen nada de su página oficial porque podría estar comprometido), asociado muchas veces a una «altcoin» que seguramente no conocen: Tonal BTC (TBTC).

TBTC era una «altcoin» creada como un fork compatible de Bitcoin, la única diferencia de ambos era que BTC usa el sistema decimal para su sistema de representación de monedas, mientras que TBTC usa el sistema hexadecimal. Dashjr explica en este vídeo las razones para su creación.

Bitcoin Knots es compatible no solo con Bitcoin, también lo es con Tonal BTC. Aprovechándose de su posición como desarrollador de Bitcoin Core y de Gentoo, Dashjr intento algo prohibido: hacer ver un software distinto (Bitcoin Knots) como el verdadero paquete al que apuntaba (Bitcoin Core). Es decir, Dashjr intento hacer pasar su software como si fuese el verdadero Bitcoin Core dentro de Gentoo.

Dashjr intentando hacer ver a Bitcoin Knots como el nuevo Bitcoin Core
Dashjr intentando hacer ver a Bitcoin Knots como el nuevo Bitcoin Core

La situación nuevamente se volvió en su contra y los «trolls», a los que él se refiere en este mensaje, reaparecen para decir lo más lógico: si quieres poner tu paquete, hazlo, pero no lo hagas pasar por otro. El intento en este caso fue cerrado por los Core Dev de Gentoo, que no aceptaron el cambio. En la actualidad, el trabajo de Dashjr está bajo constante revisión y no puede hacer un commit sin que un tercero lo apruebe.

De hecho, este no era el primer intento de Dashjr. En 2017 quiso hacerlo, pero la respuesta fue bastante contundente:

Respuesta negativa a hacer por default a Bitcoin Knots
Respuesta negativa a hacer por default a Bitcoin Knots de un Core Dev de Gentoo

El primer intento de hackeo a Dashjr

Como habrán comprobado, Dashjr trata de imponer sus narrativas en todos los lugares. Lo que nos lleva al hackeo de sus 216 BTC. Todo empezó el 17 de noviembre de 2022. En ese momento, Dashjr anunció que su servidor fue interceptado de forma maliciosa. Dicho servidor es el que mantiene servicios como el de dashjr.org (no recomiendo entrar en la Web, están advertidos). Según su análisis, el servidor fue troyanizado y tenía un grupo de tres backdoor que fueron eliminados en poco más de 6 horas de análisis (11:26 am fue el momento en el que avisó sobre los troyanos y a las 6:12 pm cuando indicó que había eliminado la amenaza).

Lightning Network se consolida como red de pagos y apuntala el futuro de Bitcoin

El primer caso de alerta
El primer caso de alerta

Aquí viene lo extraño. Dashjr dice en un momento que su servidor fue tomado de forma física y que durante 5 minutos el servidor estuvo ejecutando otro sistema. Comenta que su servidor no está en la nube, por lo que está siendo ejecutado en un lugar seguro y al que solo él tiene acceso. Lo normal, si quieres algo seguro y que esté bajo tu control.

Pero luego se contradice e indica que el servidor está fuera de su alcance:

Y que está hosteado (alquilado a una empresa), además de no tener mayor seguridad, porque le resulta demasiado caro (con un servidor con más de 3 millones de dólares en BTC) .

Más allá de esto, este primer evento no trajo nada significativo, pero debió poner en alerta a Dashjr sobre sus equipos y sus BTC. Sin embargo, no prestó atención.

El segundo intento

La historia continua el 25 de diciembre, Navidad de 2022. Nuevamente, Dashjr indica que han accedido a su servidor En esta ocasión, durante dos  horas.

En esta ocasión, Dashjr indica que su servidor en realidad sí está en la nube y que está buscando otro proveedor. Algo que resulta irónico jocoso. Resulta que una de las personalidades de Bitcoin que más auspiciaba el uso de sus propios nodos personales y bajo su absoluto control, en realidad no tenía nodos personales bajo su absoluto control. Después de todo, la nube en realidad es la computadora de alguien más.

Además, un especialista en ciberseguridad de la categoría de Dashjr es atacado por segunda vez y sabiendo que tiene 216 BTC en ese computador no hace ni el más mínimo intento de proteger su patrimonio. Aquí es donde comienzan las alarmas. No solo por los saldos de Dashjr, sino por la relación de dichos saldos con su pasado.  

Matt Corallo, desarrollador de Bitcoin Core, censura el maximalismo de BTC

El exitoso ataque

El 31 de diciembre de 2022, Dashjr difunde en su perfil de Twitter que le han hackeado nuevamente y está vez se han llevado un gran botín: 216,93331465 BTC de su monedero. La dirección 1YAR6opJCfDjBNdn5bV8b5Mcu84tv92fa. La comunidad se conmociona y todos piensan que es una falla de Bitcoin, pero Dashjr dice que no es así y que solo él ha sido afectado.

Entonces, Dashjr, que siempre ha abogado por la destrucción del Estado, pide ayuda a las autoridades del Estado para que le ayuden a recuperar su BTC. A todo esto, queda claro que Dashjr cometió un grave error, porque ahora el hacker no solo tiene acceso a su PGP, sino a sus bitcoins y probablemente a data privada de los servicios que este ejecuta en su servidor. Y aquí comienzan a amontonarse más problemas para él.

Dashjr ejecuta una instancia de DNS SEED de la red Bitcoin. De hecho, usaba estos datos para indicar públicamente cuántos nodos de BTC había por el mundo, al menos de forma aproximada. Esto es posible por una razón: los DNS SEED tienen una lista de nodos completos de la red Bitcoin. Esta lista es ofrecida a nodos nuevos que inician su sincronización en la red. Es  parte del protocolo de Bitcoin. Esto es normal y seguro de usar.

Con los brazos cruzados

Lo que no es normal y mucho menos seguro es que un hacker atraviese la seguridad de tu red, se haga con tus PGP y posiblemente datos de acceso a otros servicios, como este DNS SEED, y no hagas nada para apagar el servicio, pese a  estar  comprometido y representar un riesgo de seguridad para quienes lo usan. Incluso, ni cuando tú mismo sabes si todo ha sido comprometido o no, la premisa es considerarlo todo comprometido y apagarlo. Y más, cuando se tiene información delicada para la privacidad online, como las miles de direcciones IP, versiones de BTC Core ejecutadas y más cosas que se guardan en un DNS SEED.

Esta es información delicada, que puede ser usada para detectar nodos vulnerables a alguna explotación remota, pero la  respuesta que da el desarrollador es que no importa.

Y no es la primera vez que el SEED NODE de Dashjr tiene problemas, algo a lo que restó importancia en su momento.

La realidad es que en este momento, hay 216 BTC que están siendo poco a poco trasladados a varias direcciones de BTC y a saber bajo qué control estarán.

Las incógnitas que Dashjr debe responder

Ahora la historia se pone un poco más dantesca. ¿Recuerdas Eligius, el mining pool de Dashjr? Pues bien, su historia nos lleva a una dirección muy conocida en Bitcointalk. La dirección de monedero BTC 18d3HV2bm94UyY4a9DrPfoZ17sXuiDQq2B (con un saldo total manejado de 32.341,55 BTC). Esta dirección es la offline wallet de Eligius. Esto se sabe y se ha hablado abiertamente en Bitcointalk, de hecho es reconocido por el propio @Wizkid057, el administrador de Eligius, junto a Dashjr.

A su vez, esa misma dirección es la responsable de muchos casos de estafas en BitcoinTalk. De hecho, el mismo artículo de la anterior captura ya lo dice y advierte a los usuarios del foro.

¿El mining pool de Dashjr en casos de estafas? ¿Sus direcciones comprometidas en eso? Suena increíble hasta revisar la historia y vemos que incluso el mismo Dashjr reconoce la wallet en Bitcointalk (en los buenos tiempos de Eligius). A su vez, el mismo Dashjr reconoce que el control de esa dirección está en manos de Wizkid057, porque «él hace pagos manuales usando dicha dirección».

Pero cuando reportan la estafa usa su descripción favorita hacia cualquier otra persona con la que no congenie: LIAR!

La blockchain siempre dice la verdad

Lo bueno es que Bitcoin y su blockchain siempre dicen la verdad. Uno de los origines de saldos del hackeo a Luke Dashjr es precisamente la dirección 18d3HV2bm94UyY4a9DrPfoZ17sXuiDQq2B, la misma dirección que @Wizkid057 y Dashjr reconocieron como parte del monedero de Eligius. El mismo monedero, que fue reportado por los usuarios de Bitcointalk, hasta el punto en que el administrador del foro lo marcó con la advertencia de estafa.

Para ser más precisos, la dirección 1N88ojf6DWR25oci6Fsfj4eS6ZwEqbgTnk, según se muestra en esta transacción, obtuvo sus saldos de la dirección 18d3HV2bm94UyY4a9DrPfoZ17sXuiDQq2B, tal como se muestra en la imagen.

Y la 1N88ojf6DWR25oci6Fsfj4eS6ZwEqbgTnk alimentó la dirección de la cual salieron los 216 BTC que Dashjr reporta como robados. La cosa se pone más interesante, porque otra dirección asociada a 1N88ojf6DWR25oci6Fsfj4eS6ZwEqbgTnk y 18d3HV2bm94UyY4a9DrPfoZ17sXuiDQq2B, es la dirección 1HDntXjeZZXf4F9iSxHP59F9D1DvXStZyy.

Esta dirección también recibió saldos desde 18d3HV2bm94UyY4a9DrPfoZ17sXuiDQq2B (la reportada como scam de Eligius) y también fue una de las dirección que alimentó saldos en la dirección 1YAR6opJCfDjBNdn5bV8b5Mcu84tv92fa, tal como se ve en la siguiente imagen:

¿Wizkid057 en la sombra?

La situación se pone un poco más caótica, cuando revisando la dirección de Eligius (18d3HV2bm94UyY4a9DrPfoZ17sXuiDQq2B) vemos que su ultima operación fue realizada el 10 de octubre de 2019 a las 19:45 pm. Es oscura, porque tal como Dashjr admitía era una dirección de Eligius bajo el control de Wizkid057, su antiguo operador.

Esta operación es una consolidación de saldos que va a la dirección: 397YB78n2cdn9B1xZeLviNf3e192744kmh. Una dirección que luego movería esos saldos usando un esquema 2 de 3, tal como se ve en esta otra transacción. Ese mismo día y prácticamente a la misma hora, la dirección 1BvvDzW91M3eUn8yrZDg3hkPQtsBAWYFSf también entregó saldos a la dirección 397YB78n2cdn9B1xZeLviNf3e192744kmh. Todo parece apuntar a que Wizkid057 resucitó de entre los muertos.

¿Dashjr = Wizkid057?

Eso parece hasta que recordamos que Eligius dejo de funcionar en 2017. Su ultimo bloque registrado fue el 495.555, creado el 22 de noviembre de 2017. @Wizkid057 desapareció por completo, incluso de Github. Reapareció poco después en 2018, con la idea de reiniciar Eligius, pero aduciendo problemas personales, @Wizkid057 desaparece por completo y hasta el momento nadie sabe de él.

Sin embargo, ahora resulta que sus direcciones están muy activas. De hecho, la transacción 50df1eab0bf2bd01999cea4fc531a65c17e1a285823c9ae4eab0feb7e21a11b6 nos indica que 2,5 BTC de los reportados por Dashjr como hackeados, en realidad son de Eligius y provienen de direcciones inicialmente controladas por @Wizkid057.

¿Hackearon a Dashjr o a Wizkid057? La pregunta es legitima, porque muchas de las direcciones relacionadas con la transacción son nuevas. Algunas, incluso tuvieron su ultimo movimiento (sobre todo recibiendo saldos) pocos días antes del hackeo que reporta Dashjr.

Más llama la atención que 397YB78n2cdn9B1xZeLviNf3e192744kmh, envía sus saldo a 3KkaYrdK6MdVZfNeVEngCkPPJeTwdPi1bM, una dirección de Kraken, aunque también hay direcciones de Gemini. Queda claro que @Wizkid057 está usando estos exchanges (hay saldo saliendo de sus direcciones a estos exchanges), pero el timing y la relación de saldos con el hack de Dashjr para realizar estas operaciones es como mínimo, sospechoso.

Buscando respuestas correctas

Con todo lo expuesto quedan claras varias cuestiones:

Lo primero, que a Luke Dashjr le gusta manipular la verdad a su conveniencia. Todo aquel que va en contra de su verdad es considerado un mentiroso. Incluso, después de crear pantanosas embustes difíciles de sostener, la reacción de Dashjr es la misma: llamar mentiroso, troll o insultar de alguna manera a quien cuestiona sus acciones. Esto se puede comprobar fácilmente con el hecho de que Dashjr no ejecutaba un nodo de Bitcoin en un espacio al que solo tenía acceso él (era un hosting). No usaba una cold wallet como argumenta. Accedieron al server, robaron sus PGP y con ello robaron sus monedas.  Con una cold wallet/hardware wallet esto no podría haberle pasado y Peter Todd le desmiente.

 

Peter Todd confirmando que Dashjr no usaba cold wallet, pese a que Dashjr sigue sosteniendo lo contrario (y a veces se desmiente el mismo)
Peter Todd confirma que Dashjr no usaba cold wallet, pese a que Dashjr sigue sosteniendo lo contrario y otras se desmiente a si mismo.

No existe claridad en muchas cosas de su pasado. Lo del pool de Eligius resulta alarmante. BitcoinTalk ha dicho que es scam, una etiqueta que no es gratuita.

Los movimientos de saldos atribuibles a Eligius y que están relacionados con el hack son algo que no cuadra del todo, especialmente al saberse que esas direcciones realmente estaban controladas por @Wizkid057. Algo que el mismo Dashjr acepta públicamente en BitcoinTalk. La pregunta es: ¿Luke Dashjr = Wizkid057?

Su reacción al hackeo está fuera de cualquier orden. Una de las principales cosas que debe hacerse para un análisis forense post-hackeo es obtener los logs y data viva del sistema (logs, temporales, cualquier dato útil del sistema), apagarlo y obtener una imagen en bruto del mismo, para luego dejarlo inactivo hasta que el análisis termine. De esa forma, no representa una amenaza para terceros y se mantiene la «escena del crimen» lo menos cambiada y contaminada posible.

Los servicios del servidor siguen activos

Sin embargo, los servicios del servidor de Luke Dashjr siguen activos y no hay advertencias de seguridad. Dashjr no se ha tomado el tiempo siquiera de adquirir un nuevo equipo de computación (asumiendo todo lo que tenga como comprometido) para crear nuevas claves PGP que ayuden a evitar situaciones de inseguridad en los servicios y software que desarrolla. Algo  que da mucho que pensar.

El único que puede dar las respuestas correctas es Luke Dashjr, pero, de momento, lo único que puede obtenerse de él es su silencio o un ban/bloqueo. Yo también he sido bloqueado por Dashjr, pero ningún bitcoiner de corazón debe callar y confiar si considera que algo no está lo suficientemente claro, solo porque lo diga una «autoridad».

Dashjr ha llamado la atención de muchas personas relevantes. Es el caso de Hayden Otto, SamouraiDev , el  principal desarrollador de la wallet de privacidad Samourai. Por asuntos como los relatados en este artículo, algunas de estas personas han dejado atrás su admiración por él muchas quieren conocer la verdad que esconde el hackeo a Luke Dashjr.

Esta información ha sido editada por Observatorio Blockchain

También puedes seguirnos en nuestros canales de Telegram Twitter

Por José Maldonado

Activista y bloguero de tecnología, software libre y blockchain. Liberal y pro-anarquista.

Esta web utiliza cookies. Puedes ver aquí la Política de Cookies. Si continuas navegando estás aceptándola    Ver
Privacidad