Topic: Подозрительная кража битков - page 5. (Read 1533 times)
Я сейчас прикидываю, какой удобнее вариант сделать: оффлайновый Raspberry Pi 4, или ноутбук старый задействовать. Первую придется всякий раз подключать к дисплею и клавиатуре, чтобы наколдовать транзакцию.
Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?
Через электрум или coinbin довольно удобно и безопастно. А вообще для 16 битков можно было бы и аппаратник купить
Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил?
Очень слабая вероятность. Ключевую фразу никуда не сохраняли, а копию зашифрованного кошеля я держал у себя все это время (ни разу не открывая). Ещё одна копия у него на флешке. Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
Друг очень плавает в пользовании ПК, и конкретно с этим ноутбуком все операции обслуживания только мне доверял. У меня последние пару лет большая проблема с внимательностью, из-за сосудов головы или шейного отдела, поэтому допускаю что мог через фишинговую ссылку обновиться. Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?
Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
Да непонятная история. Я только что написал огромный пост, но капля воды упавшая на тачпад решила что он недостаточно хорош. Есть короче вероятность что друг хранил пароль на том же самом устройстве, а потом как то подхватил снифер. Каспер довольно дырявый на самом деле. Лучше уж встроенный Виндовс антивирус, майрософт ессеншиал как по мне.
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.
Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается.
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.
Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается.
В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
Да фигня. Не помню конкретно в какой версии, но сначала ссылка была кликабельна, потом в версии не то 3.3.3 не то 3.3.4 ее просто сделали не кликабельной, но тело сообщения все равно выпрыгивало при попадании на подставной сервер. И люди брали, копировали ссылку и качали просто с нее
Притом автор говорит что версия кошелька старая была.
Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать). Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать). 
история остается до крайности мутной.
Пароли на кошельках стояли? Достаточно сложные? В версии 3.3.4 фишинг уже был пофиксен. Раз вы сами ее устанавливали, то эту версию можно исключить.
Остается вариант, что перед этим и была фишинговая версия. Уже не упомнить, обновлял-ли я клиент после установки программы с оригинального сайта. Однако, с учетом того что в 20-ых числах были ограблены и кошельки Bitcoin Core, история остается до крайности мутной.
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
Так в чем дело, по-вашему? А то ничего не понял...
Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
Quote
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.
Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".
Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11".https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.
Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".
Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
ВСЕ коды майнеров, когда-то использованные в вирусах, в итоге попали в базу вирусов - если какому-то вирусу был нужен код кошелька(хотя бы для того чтобы искать его в памяти, например), то скорее всего и его занесли в базу...
Ларчик кажется открылся просто:
https://github.com/spesmilo/electrum/issues/5452
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.
Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".
https://github.com/spesmilo/electrum/issues/5452
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.
Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".
а вообще... смелые вы люди, кошельки под виндой хранить!
Как отойдете - помедитируйте над этой идеей - в принципе можно сразу и насчет безопасности подумать, кому пересобрать ядро найдем, но донейты бы не помешали(потом можно будет свой коин замутить, но первое время донейты нужны, можно конвертнуть в премайновые монеты)...
https://bitcointalksearch.org/topic/m.53609043
Как отойдете - помедитируйте над этой идеей - в принципе можно сразу и насчет безопасности подумать, кому пересобрать ядро найдем, но донейты бы не помешали(потом можно будет свой коин замутить, но первое время донейты нужны, можно конвертнуть в премайновые монеты)...
https://bitcointalksearch.org/topic/m.53609043
Антивирь ничего не обнаруживает? В исключениях антивиря есть что-нибудь интересное? Винда лицензионная? Каспер лицензионный? Что раньше установили: каспера или электрум?
Увели одной транзакцией? Ключи созданы по сид фразе?
Увели одной транзакцией? Ключи созданы по сид фразе?
А провайдер случайно не ростелелком на GPON? 
Ставят тимвьювер, там командный файл чистит логи потом, ну и самого себя - причем ставят всегда свой, даже если стоял, или не стоял, пофиг (что правильно и профессионально, кстати).
В общем звони срочно в ФСБ(СОРМ) и отдел-к - там в буфере СОРМ 12 часов будут храниться IP откуда зашли...
PS не забудь записать звонок тк скорее всего это они-же и через СОРМ - будут прикидываться шлангами(типа фсб не знает что такое сорм, отдел-к начнет выяснять откуда и какие битки и тп) и тянуть время(будут требовать заявления письменного для начала расследования) - в общем всю эту байду запиши, потом подскажем что с ними делать...
Ставят тимвьювер, там командный файл чистит логи потом, ну и самого себя - причем ставят всегда свой, даже если стоял, или не стоял, пофиг (что правильно и профессионально, кстати).
В общем звони срочно в ФСБ(СОРМ) и отдел-к - там в буфере СОРМ 12 часов будут храниться IP откуда зашли...
PS не забудь записать звонок тк скорее всего это они-же и через СОРМ - будут прикидываться шлангами(типа фсб не знает что такое сорм, отдел-к начнет выяснять откуда и какие битки и тп) и тянуть время(будут требовать заявления письменного для начала расследования) - в общем всю эту байду запиши, потом подскажем что с ними делать...
Никакого удаленного доступа в помине не было. Единственная точка проникновения, это браузер Chrome и эксплойты на сайтах вроде bitcoinwisdom.io. Однако я на таком сайте постоянно сижу, через подобный браузер, и тьфу-тьфу нет проблем
к инету подключен был?
Че-нить вроде teamviewer стояло? (если нет - то поставят - точнее ставят свой всегда даже если стояло)
Че-нить вроде teamviewer стояло? (если нет - то поставят - точнее ставят свой всегда даже если стояло)
Jump to: