ثغرة في محفظة Atomic wallet

yhiaali3

legendary

Activity: 1848

Merit: 1982

Fully Regulated Crypto Casino

Quote from: OmegaStarScream on July 27, 2020, 05:59:11 AM

لا يا أخي، المنصات لا تعطيك ال private key الخاص بك و هذا يعني أنه في حال قررت المنصة فرض KYC كما حدث من قبل مع منصة Bittrex، فلن يكون بامكانك استرجاع أموالك، خاصة كونك مقيما في سوريا. يمكنك استخدام محفظة Exodus لكن لا تنسى ماسبق لي وحذرتك منه (خاصية التبادل).

بالمناسبة، أنا لم أنسى وعدي لك. في حال فزت في احدى المسابقتين[1][2] فسوف يكون جهاز Trezor T من نصيبك ان شاء الله.

ألف شكر لك أخي @OmegaStarScream
تكفيني مبادراتك الطيبة وأخلاقك العالية ولا أريد إلا أن تكون سالم غانم إن شاء الله
في الحقيقة أكبر هدية لي ما تقدمه من نصائح وخدمات للجميع هنا في القسم العربي وتساعد الجميع بخبرتك العالية وأخلاقك الطيبة
سأحاول الأخذ بنصيحتك و الانتقال إن شاء إلى محفظة Exodus قريبا
بارك الله فيك وجزاك عني وعن جميع الأخوة في القسم العربي كل خير

OmegaStarScream

staff

Activity: 3500

Merit: 6152

Quote from: yhiaali3 on July 25, 2020, 11:40:40 AM

لذلك عندي سؤال ارجو أن تساعدني فيه أخي أوميغا باي محفظة أخرى تنصحني بحيث تكون تقبل عملات متعددة وتوكنات .
أم تنصحني أن أقوم بنقلها إلى إحدى المنصات الموثوقة.

لا يا أخي، المنصات لا تعطيك ال private key الخاص بك و هذا يعني أنه في حال قررت المنصة فرض KYC كما حدث من قبل مع منصة Bittrex، فلن يكون بامكانك استرجاع أموالك، خاصة كونك مقيما في سوريا. يمكنك استخدام محفظة Exodus لكن لا تنسى ماسبق لي وحذرتك منه (خاصية التبادل).

بالمناسبة، أنا لم أنسى وعدي لك. في حال فزت في احدى المسابقتين[1][2] فسوف يكون جهاز Trezor T من نصيبك ان شاء الله.

[1] https://bitcointalksearch.org/topic/trezor-t-5263228
[2] https://bitcointalksearch.org/topic/trezor-t-5249083

Aminart

newbie

Activity: 1

Merit: 0

شكرا على التنبيه فقدت ايضا مبلغ بسيط في هده المحفظة اللعينة افكر بحدف حسابي كليا

Ulven

legendary

Activity: 1610

Merit: 1131

Quote from: OmegaStarScream on July 25, 2020, 09:47:22 AM

Quote from: yhiaali3 on July 24, 2020, 03:27:16 PM

اليوم جاءتني رسالة تحديث المحفظة إلى إصدار سطح المكتب 2.18.2 فقمت بالتحديث وخطر ببالي أن أقوم بتجربة لصق عنوان الدوج كوين مكان عنوان البيتكوين فظهرت رسالة خطأ في العنوان

بالفعل، يبدو أنهم قد قامو بحل المشكلة لكن ان قمت بالاطلاع على صفحة ال changelogs (التغييرات التي تطرأ في كل تحديت) فسوف تلاحظ، انهم لم يقومو بذكر الثغرة:

Quote from: https://atomicwallet.io/downloads

Bug fixes:
- Empty Exchange/Buy crypto screen fixed

مما يعني أنهم ليسوا على استعداد لتحمل مسؤولية أخطائهم.

و بناءا على هذا و ما سبق لي رؤيته في الماضي، فاني أرى أن فريق العمل غير جدير بالثقة. و نصيحتي لك أخي يحيي هي ان تقوم بتغيير المحفظة.

مشكور أخي أوميغا هذا ما إعتقدته أيضا أرى فريق المحفظة ليس جديرا بالثقة، لا أحب التعامل مع المحافظ الغير مفتوحة المصدر، لذا يمكن للأخ يحيى إختيار محفظة غير هذه، فالمشكلة هي أن الأخ يحيى يود تخزين الأصول في محفظة تدعم التحويل إلى عملات أخرى . لذلك أنصح الأخ يحيى على إختيار منصة موثوقة قصد التداول ، و إختيار بعض العملات التي تملك محافظ خاصة بها مثلا شراء النيو و تحويله إلى من المنصة إلى المحفظة الخاص بها و إنتظار الأرباح الكافية و هكذا

yhiaali3

legendary

Activity: 1848

Merit: 1982

Fully Regulated Crypto Casino

ألف شكر للنصيحة أخي أوميغا
أنا بالفعل بدأت أفكر في تغيير المحفظة بعدما قرأت عن هذه الثغرة وبعد محاولات التصيد على التلغرام
لذلك عندي سؤال ارجو أن تساعدني فيه أخي أوميغا باي محفظة أخرى تنصحني بحيث تكون تقبل عملات متعددة وتوكنات .
أم تنصحني أن أقوم بنقلها إلى إحدى المنصات الموثوقة.

OmegaStarScream

staff

Activity: 3500

Merit: 6152

Quote from: yhiaali3 on July 24, 2020, 03:27:16 PM

اليوم جاءتني رسالة تحديث المحفظة إلى إصدار سطح المكتب 2.18.2 فقمت بالتحديث وخطر ببالي أن أقوم بتجربة لصق عنوان الدوج كوين مكان عنوان البيتكوين فظهرت رسالة خطأ في العنوان

بالفعل، يبدو أنهم قد قامو بحل المشكلة لكن ان قمت بالاطلاع على صفحة ال changelogs (التغييرات التي تطرأ في كل تحديت) فسوف تلاحظ، انهم لم يقومو بذكر الثغرة:

Quote from: https://atomicwallet.io/downloads

Bug fixes:
- Empty Exchange/Buy crypto screen fixed

مما يعني أنهم ليسوا على استعداد لتحمل مسؤولية أخطائهم.

و بناءا على هذا و ما سبق لي رؤيته في الماضي، فاني أرى أن فريق العمل غير جدير بالثقة. و نصيحتي لك أخي يحيي هي ان تقوم بتغيير المحفظة.

yhiaali3

legendary

Activity: 1848

Merit: 1982

Fully Regulated Crypto Casino

أعتقد أنه تم حل المشكلة في محفظة Atomic Wallet
اليوم جاءتني رسالة تحديث المحفظة إلى إصدار سطح المكتب 2.18.2 فقمت بالتحديث وخطر ببالي أن أقوم بتجربة لصق عنوان الدوج كوين مكان عنوان البيتكوين فظهرت رسالة خطأ في العنوان
كما هو واضح في الصورة:

OmegaStarScream

staff

Activity: 3500

Merit: 6152

Quote from: yhiaali3 on July 22, 2020, 08:34:54 PM

بالطبع هذه العناوين ليست لي ولا أعرف لمن هي وأتمنى أن تكون لصاحب الموضوع الأساسي الذي حدثت معه المشكلة وفقد البيتكوين.
أعتقد أنهم ظنوا انني صاحب المشكلة لانني (حشرت أنفي في الموضوع) وقمت بمراسلتهم فقالوا أنهم أرسلو لي مع أنني لم أضع أي عنوان في رسالتي.

أشكرك على التواصل معهم للاستفسار عن الأمر أخي يحىى

بالنسبة للعناوين، فواحد منها ملك للصاحب الموضوع (تم تعويضه نصف المبلغ) اما الاخر، فالراجح ان يكون ملكا للشركة atomic wallet (change address)

Quote from: Ulven on July 23, 2020, 12:45:57 PM

ما رأيكم هل فريق المطور للمحفظة مخادع؟

Quote from: mikeywith on July 22, 2020, 11:38:18 PM

شكرا للاخ Omega على نقل هدا الموضوع الشيق, حاولت ايضا استخلاص نتيجة من اين اتو بعنوان البتكوين ذلك بدون جدوة, حاولت استخراج عنوان بتكوين من البرافيت كي لعنوان doge ولكن بدون فائدة.

لقد وجد العضو HCP طريقة لاسترجاع البيتكوين: https://bitcointalksearch.org/topic/m.54860249 Tongue

Ulven

legendary

Activity: 1610

Merit: 1131

السلام عليكم
لا أعرف من أين سأبذأ، كيف يتم توليد هذه العناوين الأمر معقد نوعا ما، في الأيام الماضية القليلة الماضية شهدنا إختراق حسابات توتير و التلاعب بها مع العلم شركة تويتر تحظى بحماية قوية لا يمكن إختراقها بكل سهولة، ليزداد الغموض بأن الإختراق أتى من داخل الشركة.
نفس الشيء قد يحدث مع مطوري محفظة أتوميك أعتقد هم من يقومون بإستغلال هذه الثغرة ، لقد سمعت هناك من إشتكى عن هذه الثغرة و تم إرجاع لهم نصف المبلغ، المسألة معقدة. Angry

ما رأيكم هل فريق المطور للمحفظة مخادع؟

mikeywith

legendary

Activity: 2394

Merit: 6581

be constructive or S.T.F.U

قرات المقال ويبدو ان صاحب المفحظة قد تم تعويضه بنصف القيمة التي خسرها, من وجهة نظري هدا التعويض عادل, بغض النظر عن هدا الخطاء الفادح في البرمجة الا ان الخطاء من الاساس يقع على عاتق المستخدم, فكل ماهو متعلق بالكريبتو يعتمد اساسا على حس مسئولية المستخدم, ومهما كانت البرمجة مثالية يمكن الوقوع في هده الاخطاء وقد حدث معي ذلك في الماضي عند استقبال لايتكوين على محفظة بتكوين وهدا كان خطائي وحدي وليس خطاء المحفظة.

عنواين Nested SegWit P2SH الخاصة بالبتكوين والتي تبدا ب الرقم 3 هي نفس عناوين SegWit P2SH الخاصة بالايتكوين, ففي هده الحالة تكون المحفظة مجبرة على قبول التحويل وقد تم التحويل فعلا, وكان هدا مقابل كوبونات بتماين قمت ببيعها لشخص ما وبدلا من ارسال عنوان لايت كوين قمت بارسال عنوان بتكوين وكانت هده العنواين صادرة عن محفظة Coinomi ولكن لاني كنت احتفط ب Mnemonic Seed قامو باعطائي رابط لاداة BIP39 tool وقمت باستخراج ال Private key واستعادة الايت كوين.

الملخص, يجب عليك التأكد من العنوان على الاقل 5 مرات قبل الارسال.

شكرا للاخ Omega على نقل هدا الموضوع الشيق, حاولت ايضا استخلاص نتيجة من اين اتو بعنوان البتكوين ذلك بدون جدوة, حاولت استخراج عنوان بتكوين من البرافيت كي لعنوان doge ولكن بدون فائدة.

yhiaali3

legendary

Activity: 1848

Merit: 1982

Fully Regulated Crypto Casino

أخي @OmegaStarScream بعد أن قرأت موضوعك ومن باب الفضول وحشر الأنف قمت بمراسلة دعم محفظة Atomic Wallet
وأخبرتهم عن المشكلة ووضعت رابط للموضوع الإنكليزي ورابط لموضوعك وقد استجابوا فورا.
المهم بعد رسائل أخبروني أن فريقهم يعمل على حل المشكلة ولكن المفاجئ في الرسالة أنهم أخبروني أنهم قاموا بإرسال تعويض لي مع أني لم أطلبهم منهم أي شيء ولم أضع اي عنوان وقمت بمراسلتهم عن طريق الإيميل وليس عن طريق برنامج المحفظة يعني هم لا يعرفون غير إيميلي وهذه الرسالة التي وصلتني منهم:

Quote

Hi there,

Thank you for contacting us.

We apologize for the inconvenience caused. Our team has already investigated the issue, it will be fixed in the next release. Also, we sent you a compensation, here's the txHash - https://blockchair.com/bitcoin/transaction/da60857f12592e40707edd66d4f5a9115d9b1af11c64189e5d0ad43ce08aaed6

Do stay in touch and let us know if you have any more questions.

How would you rate my reply?
Great Okay Not Good

Best wishes,
Atomic Wallet team.

عندما ذهبت إلى الرابط الذي وضعوه للتعويض وجدت عنوانين:
16AoNB8ky2KLJN8HW2uVJ1XbWPv6Q79tgp
13Zdf37ZTpdY9gfzpZpuRjm5921feMLo2p

بالطبع هذه العناوين ليست لي ولا أعرف لمن هي وأتمنى أن تكون لصاحب الموضوع الأساسي الذي حدثت معه المشكلة وفقد البيتكوين.
أعتقد أنهم ظنوا انني صاحب المشكلة لانني (حشرت أنفي في الموضوع) وقمت بمراسلتهم فقالوا أنهم أرسلو لي مع أنني لم أضع أي عنوان في رسالتي.

OmegaStarScream

staff

Activity: 3500

Merit: 6152

Quote from: yhiaali3 on July 22, 2020, 06:02:59 AM

هل تم توليده بالمحفظة عن طريق الخطأ أم ان المحفظة مهكرة وتقوم بالتحويل لعنوان الهاكر؟

لا بد أنه خطأ في البرمجة، لأنه يبدو أن محفظة البيتكوين تتغير مع تغير عنوان الدوجكوين.

Quote from: Coinoplex on July 22, 2020, 10:56:55 AM

لم استخدم Atomic Wallet
في السابق، قمت بتحميل المحفظة اليوم على جهاز يوبنتو عند اختياري ميزة ارسال بتكوين وادخالي عنوان دوجكوين لم يتم رفضه هناك ثغرة. هل ممكن تضع رابط github للمحفظة.
انا في محاولة النظر الى الكود.

هذا هو المشكل أخي، المحفظة ليست مفتوحة المصدر.

https://github.com/Atomicwallet

الرابط أعلاه يحتوي على بعض ال libraries المستعملة في المحفظة، لكن أشك أنها سوف تساعدك على ايجاد المشكل.

Coinoplex

copper member

Activity: 250

Merit: 412

Building A Crypto Empire

Quote from: OmegaStarScream on July 22, 2020, 05:07:56 AM

أردت فقط تنبيهكم لثغرة قام أحد الأعضاء بايجادها عن طريق الخطأ قبل يومين: https://bitcointalksearch.org/topic/atomic-wallet-bitcoin-sent-to-a-dogecoin-address-how-was-that-possible-5263379
لقد قمت بتجربة الأمر و ارسال مبلغ صغير الى هذه المحفظة DGkdJh3SwPJjMMEJm7bQfxUfhvcgj8WdYT فتم تحويلها الى 1CcXmS6odyQSpM3i2Xbr8CK4pntPRE3yvF

https://www.blockchain.com/btc/tx/b443ea5fedcef94712dcaee3a3eaa145505d31756dcac56565fba8e5fb7c59a9

انا الان بصدد محاولة فهم ماذا حدث لمعرفة ما اذا كان ممكنا استرجاع البيتكوين من ال private key الخاص بمحفظة الدوجكوين لكن لم أوفق بعد.

لذلك أرجو منكم توخي الحذر

السلام عليكم اخي،

لم استخدم Atomic Wallet
في السابق، قمت بتحميل المحفظة اليوم على جهاز يوبنتو عند اختياري ميزة ارسال بتكوين وادخالي عنوان دوجكوين لم يتم رفضه هناك ثغرة. هل ممكن تضع رابط github للمحفظة.
انا في محاولة النظر الى الكود.

yhiaali3

legendary

Activity: 1848

Merit: 1982

Fully Regulated Crypto Casino

Quote from: OmegaStarScream on July 22, 2020, 05:07:56 AM

لقد قمت بتجربة الأمر و ارسال مبلغ صغير الى هذه المحفظة DGkdJh3SwPJjMMEJm7bQfxUfhvcgj8WdYT فتم تحويلها الى 1CcXmS6odyQSpM3i2Xbr8CK4pntPRE3yvF

https://www.blockchain.com/btc/tx/b443ea5fedcef94712dcaee3a3eaa145505d31756dcac56565fba8e5fb7c59a9

انا الان بصدد محاولة فهم ماذا حدث لمعرفة ما اذا كان ممكنا استرجاع البيتكوين من ال private key الخاص بمحفظة الدوجكوين لكن لم أوفق بعد.

لذلك أرجو منكم توخي الحذر

شكرا لك أخي OmegaStarScream على هذا التنبيه
أنا في الحقيقة بدأت باستخدام محفظة Atomic wallet من فترة قريبة ومن الجيد أنك وضعت التنبيه حتى لا نقوم بارتكاب خطأ غير مقصود
لكن الغريب من أين أتى هذا العنوان 1CcXmS6odyQSpM3i2Xbr8CK4pntPRE3yvF
هل تم توليده بالمحفظة عن طريق الخطأ أم ان المحفظة مهكرة وتقوم بالتحويل لعنوان الهاكر؟

OmegaStarScream

staff

Activity: 3500

Merit: 6152

أردت فقط تنبيهكم لثغرة قام أحد الأعضاء بايجادها عن طريق الخطأ قبل يومين: https://bitcointalksearch.org/topic/atomic-wallet-bitcoin-sent-to-a-dogecoin-address-how-was-that-possible-5263379

كما ترون، انا الان في الواجهة التي تمكنني من ارسال البيتكوين. منطقياـ ان قمت بوضع عنوان لعملة أخرى كالاثريوم، او ليتكوين، داش، الخ لن أتمكن من ارسال البيتكوين، و سوف تظهر لي رساله كما توضحه الصورة:

لكن في حال قمنا بوضع عنوان لعملة دوجكوين... فلن تظهر لنا أي رسالة.

ليس هذا فقط، بل في حال قمت بالضغط على "Send" سوف يتم تبديل (أو تحويل) عنوان الدوجكوين الى عنوان بيتكوين

لقد قمت بتجربة الأمر و ارسال مبلغ صغير الى هذه المحفظة DGkdJh3SwPJjMMEJm7bQfxUfhvcgj8WdYT فتم تحويلها الى 1CcXmS6odyQSpM3i2Xbr8CK4pntPRE3yvF

https://www.blockchain.com/btc/tx/b443ea5fedcef94712dcaee3a3eaa145505d31756dcac56565fba8e5fb7c59a9

انا الان بصدد محاولة فهم ماذا حدث لمعرفة ما اذا كان ممكنا استرجاع البيتكوين من ال private key الخاص بمحفظة الدوجكوين لكن لم أوفق بعد.

لذلك أرجو منكم توخي الحذر

Topic: ثغرة في محفظة Atomic wallet (Read 299 times)