Pages:
Author

Topic: Подозрительная кража битков - page 5. (Read 1613 times)

legendary
Activity: 1912
Merit: 1020
Я сейчас прикидываю, какой удобнее вариант сделать: оффлайновый Raspberry Pi 4, или ноутбук старый задействовать. Первую придется всякий раз подключать к дисплею и клавиатуре, чтобы наколдовать транзакцию.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?

Через электрум или coinbin довольно удобно и безопастно. А вообще для 16 битков можно было бы и аппаратник купить
legendary
Activity: 1912
Merit: 1020
Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил?
Очень слабая вероятность. Ключевую фразу никуда не сохраняли, а копию зашифрованного кошеля я держал у себя все это время (ни разу не открывая). Ещё одна копия у него на флешке.

Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
Друг очень плавает в пользовании ПК, и конкретно с этим ноутбуком все операции обслуживания только мне доверял. У меня последние пару лет большая проблема с внимательностью, из-за сосудов головы или шейного отдела, поэтому допускаю что мог через фишинговую ссылку обновиться.


Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?

Да непонятная история. Я только что написал огромный пост, но капля воды упавшая на тачпад решила что он недостаточно хорош. Есть короче вероятность что друг хранил пароль на том же самом устройстве, а потом как то подхватил снифер. Каспер довольно дырявый на самом деле. Лучше уж встроенный Виндовс антивирус, майрософт ессеншиал как по мне.
hero member
Activity: 1204
Merit: 518
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.


Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается.
Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.


Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается.

В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.

Да фигня. Не помню конкретно в какой версии, но сначала ссылка была кликабельна, потом в версии не то 3.3.3 не то 3.3.4 ее просто сделали не кликабельной, но тело сообщения все равно выпрыгивало при попадании на подставной сервер. И люди брали, копировали ссылку и качали просто с нее  Smiley

Притом автор говорит что версия кошелька старая была.
hero member
Activity: 1204
Merit: 518
Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать).
Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил?
legendary
Activity: 1912
Merit: 1020
Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать).
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
история остается до крайности мутной.
Пароли на кошельках стояли? Достаточно сложные?
legendary
Activity: 1912
Merit: 1020
В версии 3.3.4 фишинг уже был пофиксен. Раз вы сами ее устанавливали, то эту версию можно исключить.
Остается вариант, что перед этим и была фишинговая версия. Уже не упомнить, обновлял-ли я клиент после установки программы с оригинального сайта.
Однако, с учетом того что в 20-ых числах были ограблены и кошельки Bitcoin Core, история остается до крайности мутной.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
legendary
Activity: 1912
Merit: 1020
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Ларчик кажется открылся просто:

https://github.com/spesmilo/electrum/issues/5452
Так в чем дело, по-вашему? А то ничего не понял...
Quote
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.

Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".
Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11".
Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
full member
Activity: 644
Merit: 135
Проверил файл кошелька:
https://www.virustotal.com/

ВСЕ коды майнеров, когда-то использованные в вирусах, в итоге попали в базу вирусов - если какому-то вирусу был нужен код кошелька(хотя бы для того чтобы искать его в памяти, например), то скорее всего и его занесли в базу...
legendary
Activity: 1912
Merit: 1020
Ларчик кажется открылся просто:

https://github.com/spesmilo/electrum/issues/5452
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.

Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".



full member
Activity: 644
Merit: 135
а вообще...  смелые вы люди, кошельки под виндой хранить!

Как отойдете - помедитируйте над этой идеей - в принципе можно сразу и насчет безопасности подумать, кому пересобрать ядро найдем, но донейты бы не помешали(потом можно будет свой коин замутить, но первое время донейты нужны, можно конвертнуть в премайновые монеты)...

https://bitcointalksearch.org/topic/m.53609043
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Антивирь ничего не обнаруживает? В исключениях антивиря есть что-нибудь интересное? Винда лицензионная? Каспер лицензионный? Что раньше установили: каспера или электрум?
Увели одной транзакцией? Ключи созданы по сид фразе?
full member
Activity: 644
Merit: 135
А провайдер случайно не ростелелком на GPON? Wink

Ставят тимвьювер, там командный файл чистит логи потом, ну и самого себя - причем ставят всегда свой, даже если стоял, или не стоял, пофиг (что правильно и профессионально, кстати).


В общем звони срочно в ФСБ(СОРМ) и отдел-к - там в буфере СОРМ 12 часов будут храниться IP откуда зашли...


PS  не забудь записать звонок тк скорее всего это они-же и через СОРМ - будут прикидываться шлангами(типа фсб не знает что такое сорм, отдел-к начнет выяснять откуда и какие битки и тп) и тянуть время(будут требовать заявления письменного для начала расследования) - в общем всю эту байду запиши, потом подскажем что с ними делать...
legendary
Activity: 1912
Merit: 1020
Никакого удаленного доступа в помине не было. Единственная точка проникновения, это браузер  Chrome  и эксплойты на сайтах вроде bitcoinwisdom.io. Однако я на таком сайте постоянно сижу, через подобный браузер, и тьфу-тьфу нет проблем
full member
Activity: 644
Merit: 135
к инету подключен был?

Че-нить вроде teamviewer стояло?   (если нет - то поставят - точнее ставят свой всегда даже если стояло)
Pages:
Jump to: