Pages:
Author

Topic: Вывели с биржи BITTREX 0.5 бтк через API-keys которые не име&#1 - page 2. (Read 1183 times)

newbie
Activity: 27
Merit: 0
Цирка нет. Все, кто пользуется ботом оповещены.

Ботом пользуюсь полтора года. Возможно ключи взяли там. Но сути не меняет.

Ключи у всех были без права вывода.

http://tradebot.cf
newbie
Activity: 210
Merit: 0
цирк какой-то, откуда такая секретность, что название бота никому не говорят? чтобы и у остальных пользователей украли? Roll Eyes
newbie
Activity: 27
Merit: 0
03/20/19 07:49:23  178.45.161.121  APIKEY_SET ###################################### Query

Об этом я уже говорил – читайте ветку...

Когда наконец-то скажете какой бот пользовали?

Зачем вам сейф если дверь не закрываете? Опят замечаю, еще один потребитель заходит через динамическое IP (понимай публичную мрежу) и не закрывает потом сесию, а потом ой-ля-ля...
Про бота в личку напишу.

Возможно, ключи были похищены с бота. Но как же был произведён вывод по ключам? Ключи не имели прав на вывод.
sr. member
Activity: 1026
Merit: 280
🇧🇬 Crypto Since MMXIII
03/20/19 07:49:23  178.45.161.121  APIKEY_SET ###################################### Query

Об этом я уже говорил – читайте ветку...

Когда наконец-то скажете какой бот пользовали?

Зачем вам сейф если дверь не закрываете? Опят замечаю, еще один потребитель заходит через динамическое IP (понимай публичную мрежу) и не закрывает потом сесию, а потом ой-ля-ля...
newbie
Activity: 49
Merit: 0
Что интересно.

Я попросил друга с аккаунтом на битре изменить привилегии ключа.
Он изменил и о чем появилась запись в https://international.bittrex.com/Manage?view=myactivity

03/20/19 07:49:23  178.45.161.121  APIKEY_SET ###################################### Query

но у меня таких записей нет - все ключи без права вывода - а вывод через API ключи сделан.

Советую всем удалять ключи на биттре
jr. member
Activity: 152
Merit: 1
Та же самая проблема - вывели с Bittrex через API-ключ на котором не было права вывода.
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...

Сожалею, надеюсь что сумма была не критичная для вас. Интересно почему биржа не предпринимает никаких мер, если известна эта уязвимость?
newbie
Activity: 3
Merit: 0
Та же самая проблема - вывели с Bittrex через API-ключ на котором не было права вывода.
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...
sr. member
Activity: 1026
Merit: 280
🇧🇬 Crypto Since MMXIII
Подскажи, в какую ветку написать о BITTREX. Где будет более эффективным сообщение?

Anyway, try to move your thread to more proper section like Beginners & help or Exchanges, you probably will get more response there.

Тебе позавчера уже написали...
legendary
Activity: 2394
Merit: 1476
Помощи от биржи на форуме врядли найти. Сомневаюсь что тут есть представители биржи. Но я бы минимум в Scam Accusations создал топик и попытался бы раскачать тему, чтобы больше людей увидело.
newbie
Activity: 27
Merit: 0
Подскажи, в какую ветку написать о BITTREX. Где будет более эффективным сообщение?
sr. member
Activity: 1026
Merit: 280
🇧🇬 Crypto Since MMXIII
Бот у нас с Виталей один (не считая табтрейдера)...

А какой именно?

Сам проверить не могу - аккаунт дисаблед.

Вообще подход у вас неверный и в тикетах и сюда – надо трубить не что вас хакнули... Где ваша тема в английскую ветку? Тут мало кто торгует на Битрексе из за проблемную верификацию и наверно я единственной не русский кто обратил вам внимание.

Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...

Не только для галочки! Пример: если делаете сходный запрос с тех же параметров что и раньше, то подпись с привейт ключа будет один и тот же, а это уже дыра в коммуникациях и поддается на атак мен-ин-дъ-мидл.
newbie
Activity: 49
Merit: 0
Вот хочется узнать, может у кого еще возникла подобная проблема.
Или может ктото попробует на своих ключах без вывода - вывести средства.
Напомню те ключи по которым вывели созданы ориентировочно летом 2017.
Прецедент поможет нам как разобраться так и указать на вину биржи.

Сам проверить не могу - аккаунт дисаблед.
sr. member
Activity: 1026
Merit: 280
🇧🇬 Crypto Since MMXIII
При положение что все верно с скрийншотами, то одно ясно – Битрекс морозится и не хочет признавать свою ошибку и дыра в API систему. Ну я вам говорил – переоткривайте тот же тикет и задавайте конкретных вопросов съпорту. Даже если опубликовали ключи в открытом доступе, то вина за вывода не в вас...

Месяц назад пробовал работают ли маркет ордера и при изменение права на ключе в активити отмечается как API-key SET (что-то в том же духе – по память говорю, лень сейчас смотреть), а само изменение запрашивает 2ФА пароль. Также приходит письмо об изменениях. У вас такое нет в актив-лога и ключи без прав на вывода.

Все случилось после таго как делали ъпдейт портфелях на биржу – возможно наняли кого-то стороннего для процеса и он засунул руки где можно: https://twitter.com/BittrexExchange/status/1101609032014544896

ПС: Советую всем удалить старых ключей на Битрексе и создать новых!
newbie
Activity: 49
Merit: 0
Да 2фа включон.

И ip одинаков и на один и тотже кошель btc увели.
Увел один хацкер. Но как он это сделал без прав на вывод не пойму.
Ощущение что получив базу ключей он прошелся по ним и что смог вывести то и вывел.
По идее ключи были созданы в середине 2017года, права доступа изначально были без вывода.

Возможно обновление на стороне битры дало вощможность на тех ключах без прав вывести, хотя в интерфейсе они отображены как без права вывода.

Для смены прав нужен 2фа.

А он у вас включен?

Ну он к часам привязан,  если пинг стабилен,  то по-идее все хорошо и так должно быть

Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.

В любом случае,  ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано,  что там в моменте появлялась возможность такое повернуть.

Время когда провернули краже довольно совпадает...


newbie
Activity: 27
Merit: 0

У меня стоит убунта - 2фа на телефоне конечно.



У меня включён  2фа .

Проблема в том, что вывели по ключам без прав вывода. С биржи прекрасно все видят. Если меняли права, то когда и с какого айпи. И видят, что вывели по ключам без прав вывода.
sr. member
Activity: 1026
Merit: 280
🇧🇬 Crypto Since MMXIII
Для смены прав нужен 2фа.

А он у вас включен?

Ну он к часам привязан,  если пинг стабилен,  то по-идее все хорошо и так должно быть

Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.

В любом случае,  ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано,  что там в моменте появлялась возможность такое повернуть.

Время когда провернули краже довольно совпадает...


[


sr. member
Activity: 1918
Merit: 433
По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)
Ну он к часам привязан,  если пинг стабилен,  то по-идее все хорошо и так должно работать. У меня все пары параллельно работают. Проблема эта известная,  но мне кажется, что код кривоват в этом плане.

В любом случае,  ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано,  что там в моменте появлялась возможность такое повернуть.
sr. member
Activity: 1026
Merit: 280
🇧🇬 Crypto Since MMXIII
Что характерно, у двоих включены на ключей маркет ордера – такая функция на Битрексе пока нет. Если съпорт путается сразу спрашивайте конкретно об этом. Ничего не теряете, а там все документируется.

Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.
Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...

Я тоже на версия 1.1 работаю. а только част из запросов к 2.0 отправляю, но движок один.
newbie
Activity: 49
Merit: 0
Скриншот с телефона - сделан в тот же день что и произошел вывод

http://joxi.ru/LmGjvDkIwgKEEr - этот на текущий момент
http://joxi.ru/E2pbQgGs74bEzr - это ключи не в обрезке

По поводу 20 против 6 - Возможно Zorn запутался.

По поводу зомби - вывели бы все со всех бирж.
С другого компа/локации заходил - контент не отличается.

Опят та же песня – один скриншот с телефона, другой обрезка не зная с чего. Так никто не поможет вам – мне достало, разбирайтесь сами что напутали. От того что вы видите 20+ кея, а съпорт только 6, мне говорить что ваш комп стал зомби и проходите через какое-то прокси – то что видите на экране ложь! Зайдите с другой ком и с другое IP – примерно с комп друга. Ничего уже не теряете – баланса нет, а акаунт скомпрометирован.

Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.
На биттрексе не требуется. Там одного api ключа за глаза хватает. Это на полониксе, битфинексе есть такое...

Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.

По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)
sr. member
Activity: 1918
Merit: 433
Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.
Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...
Pages:
Jump to: