¿Cómo se puede hackear Bitcoin.org?

¿Cómo es esto posible? ¿Qué pasó para permitir esto?

De la misma manera que cualquier sitio web puede ser pirateado. Bitcoin.org no está alojado de una manera especial que lo haga imposible de piratear, es un sitio web, como cualquier otro sitio web. Como tal, se puede piratear de todas esas formas, incluidas, entre otras: compromiso del servidor web, compromiso del servidor DNS/cuenta, compromiso de la cuenta del registrador, etc.

Es probable que el servidor que aloja el sitio web se vio comprometido de alguna forma (contraseña débil, clave SSH comprometida, etc.) o la cuenta de Cloudflare que brinda protección DDoS se vio comprometida (contraseña débil, soporte de ingeniería social, etc.) y el la configuración cambió para apuntar al servidor del atacante.

en particular, los scripts que buscan nuevas actualizaciones de Bitcoin Core y DESCARGA/INSTALACIÓN AUTOMÁTICA

Bitcoin Core ya no se carga en bitcoin.org de todos modos, al menos no por el mantenedor de la versión. El sitio web oficial de Bitcoin Core es https://bitcoincore.org y debería obtener sus binarios desde allí. AFAIK, el propietario de bitcoin.org todavía refleja los binarios en bitcoin.org, pero ya no es el lugar oficial para los binarios de Bitcoin Core.

después de verificar las firmas que también obtiene del mismo dominio...

Siempre que las firmas se verifiquen y se hayan creado con claves en las que confíe (presumiblemente, obtuvo esas claves de otro lugar y las verificó), entonces los archivos binarios descargados deberían estar bien. Este es, después de todo, el punto de tener firmas. Un atacante que se haya apoderado del sitio web no podrá crear una firma válida con las claves de liberación a menos que también las haya comprometido.

Para 22.0+, también puede comprobar que los valores hash del binario coincidan con lo que han creado los desarrolladores de guix comprobando los valores hash y las firmas en https://github.com/bitcoin-core/guix.sigs (con el nuevo proceso guix, las firmas over the hash en realidad también proviene de los constructores de guix). Para 0.21 y versiones anteriores, puede hacer la misma verificación con las firmas gitian: https://github.com/bitcoin-core/gitian.sigs .

No hay sitios web que representen bitcoin, ya que bitcoin está descentralizado.

bitcoin.org es propiedad de una persona y es un sitio que brinda información sobre bitcoin, como lo hacen muchos otros sitios, y no existe una conexión particular entre la seguridad del nombre de dominio bitcoin.org y la seguridad de los clientes de software de bitcoin.

Estoy eliminando de inmediato todas las instancias de "bitcoin.org" en mi código, en particular los scripts que verifican nuevas actualizaciones de Bitcoin Core y las DESCARGAN/INSTALAN AUTOMÁTICAMENTE después de verificar las firmas que también obtiene del mismo dominio. .

Ninguna versión de Bitcoin Core ha tenido nunca contacto con bitcoin.org, ni verificación de versión, ni actualizaciones manuales o automáticas. Si ha creado estas herramientas usted mismo y decidió agregarlas como una fuente confiable para algo en particular, ese es su riesgo de seguridad y no el de nadie más.

Si pueden alojar un mensaje de estafa tan obvio, pueden alojar EXEs modificados y archivos de firmas criptográficas... Suspiro.

Pues no, el objetivo de las firmas criptográficas es expresamente prevenir esta situación. Alguien que reemplace los binarios no puede producir firmas válidas para las claves utilizadas anteriormente.

A veces es tan fácil como llamar al registrador o al host y pretender ser el propietario del dominio, casi como los atacantes intercambian tarjetas SIM. Con suerte, la mayoría de los hosts y registradores son mejores para protegerse contra este tipo de ataque de ingeniería social en estos días, ya que se ha vuelto más común.