Цирка нет. Все, кто пользуется ботом оповещены.
Ботом пользуюсь полтора года. Возможно ключи взяли там. Но сути не меняет.
Ключи у всех были без права вывода.
http://tradebot.cf
Topic: Вывели с биржи BITTREX 0.5 бтк через API-keys которые не име - page 2. (Read 1117 times)
цирк какой-то, откуда такая секретность, что название бота никому не говорят? чтобы и у остальных пользователей украли? 
03/20/19 07:49:23 178.45.161.121 APIKEY_SET ###################################### Query
Об этом я уже говорил – читайте ветку...
Когда наконец-то скажете какой бот пользовали?
Зачем вам сейф если дверь не закрываете? Опят замечаю, еще один потребитель заходит через динамическое IP (понимай публичную мрежу) и не закрывает потом сесию, а потом ой-ля-ля...
Возможно, ключи были похищены с бота. Но как же был произведён вывод по ключам? Ключи не имели прав на вывод.
03/20/19 07:49:23 178.45.161.121 APIKEY_SET ###################################### Query
Об этом я уже говорил – читайте ветку...
Когда наконец-то скажете какой бот пользовали?
Зачем вам сейф если дверь не закрываете? Опят замечаю, еще один потребитель заходит через динамическое IP (понимай публичную мрежу) и не закрывает потом сесию, а потом ой-ля-ля...
Что интересно.
Я попросил друга с аккаунтом на битре изменить привилегии ключа.
Он изменил и о чем появилась запись в https://international.bittrex.com/Manage?view=myactivity
03/20/19 07:49:23 178.45.161.121 APIKEY_SET ###################################### Query
но у меня таких записей нет - все ключи без права вывода - а вывод через API ключи сделан.
Советую всем удалять ключи на биттре
Я попросил друга с аккаунтом на битре изменить привилегии ключа.
Он изменил и о чем появилась запись в https://international.bittrex.com/Manage?view=myactivity
03/20/19 07:49:23 178.45.161.121 APIKEY_SET ###################################### Query
но у меня таких записей нет - все ключи без права вывода - а вывод через API ключи сделан.
Советую всем удалять ключи на биттре
Та же самая проблема - вывели с Bittrex через API-ключ на котором не было права вывода.
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...
Сожалею, надеюсь что сумма была не критичная для вас. Интересно почему биржа не предпринимает никаких мер, если известна эта уязвимость? И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...
Та же самая проблема - вывели с Bittrex через API-ключ на котором не было права вывода.
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...
Подскажи, в какую ветку написать о BITTREX. Где будет более эффективным сообщение?
Anyway, try to move your thread to more proper section like Beginners & help or Exchanges, you probably will get more response there.
Тебе позавчера уже написали...
Помощи от биржи на форуме врядли найти. Сомневаюсь что тут есть представители биржи. Но я бы минимум в Scam Accusations создал топик и попытался бы раскачать тему, чтобы больше людей увидело.
Подскажи, в какую ветку написать о BITTREX. Где будет более эффективным сообщение?
Бот у нас с Виталей один (не считая табтрейдера)...
А какой именно?
Сам проверить не могу - аккаунт дисаблед.
Вообще подход у вас неверный и в тикетах и сюда – надо трубить не что вас хакнули... Где ваша тема в английскую ветку? Тут мало кто торгует на Битрексе из за проблемную верификацию и наверно я единственной не русский кто обратил вам внимание.
Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...
Не только для галочки! Пример: если делаете сходный запрос с тех же параметров что и раньше, то подпись с привейт ключа будет один и тот же, а это уже дыра в коммуникациях и поддается на атак мен-ин-дъ-мидл.
Вот хочется узнать, может у кого еще возникла подобная проблема.
Или может ктото попробует на своих ключах без вывода - вывести средства.
Напомню те ключи по которым вывели созданы ориентировочно летом 2017.
Прецедент поможет нам как разобраться так и указать на вину биржи.
Сам проверить не могу - аккаунт дисаблед.
Или может ктото попробует на своих ключах без вывода - вывести средства.
Напомню те ключи по которым вывели созданы ориентировочно летом 2017.
Прецедент поможет нам как разобраться так и указать на вину биржи.
Сам проверить не могу - аккаунт дисаблед.
При положение что все верно с скрийншотами, то одно ясно – Битрекс морозится и не хочет признавать свою ошибку и дыра в API систему. Ну я вам говорил – переоткривайте тот же тикет и задавайте конкретных вопросов съпорту. Даже если опубликовали ключи в открытом доступе, то вина за вывода не в вас...
Месяц назад пробовал работают ли маркет ордера и при изменение права на ключе в активити отмечается как API-key SET (что-то в том же духе – по память говорю, лень сейчас смотреть), а само изменение запрашивает 2ФА пароль. Также приходит письмо об изменениях. У вас такое нет в актив-лога и ключи без прав на вывода.
Все случилось после таго как делали ъпдейт портфелях на биржу – возможно наняли кого-то стороннего для процеса и он засунул руки где можно: https://twitter.com/BittrexExchange/status/1101609032014544896
ПС: Советую всем удалить старых ключей на Битрексе и создать новых!
Месяц назад пробовал работают ли маркет ордера и при изменение права на ключе в активити отмечается как API-key SET (что-то в том же духе – по память говорю, лень сейчас смотреть), а само изменение запрашивает 2ФА пароль. Также приходит письмо об изменениях. У вас такое нет в актив-лога и ключи без прав на вывода.
Все случилось после таго как делали ъпдейт портфелях на биржу – возможно наняли кого-то стороннего для процеса и он засунул руки где можно: https://twitter.com/BittrexExchange/status/1101609032014544896
ПС: Советую всем удалить старых ключей на Битрексе и создать новых!
Да 2фа включон.
И ip одинаков и на один и тотже кошель btc увели.
Увел один хацкер. Но как он это сделал без прав на вывод не пойму.
Ощущение что получив базу ключей он прошелся по ним и что смог вывести то и вывел.
По идее ключи были созданы в середине 2017года, права доступа изначально были без вывода.
Возможно обновление на стороне битры дало вощможность на тех ключах без прав вывести, хотя в интерфейсе они отображены как без права вывода.
А он у вас включен?
Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.
Время когда провернули краже довольно совпадает...
И ip одинаков и на один и тотже кошель btc увели.
Увел один хацкер. Но как он это сделал без прав на вывод не пойму.
Ощущение что получив базу ключей он прошелся по ним и что смог вывести то и вывел.
По идее ключи были созданы в середине 2017года, права доступа изначально были без вывода.
Возможно обновление на стороне битры дало вощможность на тех ключах без прав вывести, хотя в интерфейсе они отображены как без права вывода.
Для смены прав нужен 2фа.
А он у вас включен?
Ну он к часам привязан, если пинг стабилен, то по-идее все хорошо и так должно быть
Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.
В любом случае, ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано, что там в моменте появлялась возможность такое повернуть.
Время когда провернули краже довольно совпадает...
У меня стоит убунта - 2фа на телефоне конечно.
У меня включён 2фа .
Проблема в том, что вывели по ключам без прав вывода. С биржи прекрасно все видят. Если меняли права, то когда и с какого айпи. И видят, что вывели по ключам без прав вывода.
Для смены прав нужен 2фа.
А он у вас включен?
Ну он к часам привязан, если пинг стабилен, то по-идее все хорошо и так должно быть
Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.
В любом случае, ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано, что там в моменте появлялась возможность такое повернуть.
Время когда провернули краже довольно совпадает...
[
По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)
Ну он к часам привязан, если пинг стабилен, то по-идее все хорошо и так должно работать. У меня все пары параллельно работают. Проблема эта известная, но мне кажется, что код кривоват в этом плане.Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)
В любом случае, ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано, что там в моменте появлялась возможность такое повернуть.
Что характерно, у двоих включены на ключей маркет ордера – такая функция на Битрексе пока нет. Если съпорт путается сразу спрашивайте конкретно об этом. Ничего не теряете, а там все документируется.
Я тоже на версия 1.1 работаю. а только част из запросов к 2.0 отправляю, но движок один.
Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.
Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...Я тоже на версия 1.1 работаю. а только част из запросов к 2.0 отправляю, но движок один.
Скриншот с телефона - сделан в тот же день что и произошел вывод
http://joxi.ru/LmGjvDkIwgKEEr - этот на текущий момент
http://joxi.ru/E2pbQgGs74bEzr - это ключи не в обрезке
По поводу 20 против 6 - Возможно Zorn запутался.
По поводу зомби - вывели бы все со всех бирж.
С другого компа/локации заходил - контент не отличается.
По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)
http://joxi.ru/LmGjvDkIwgKEEr - этот на текущий момент
http://joxi.ru/E2pbQgGs74bEzr - это ключи не в обрезке
По поводу 20 против 6 - Возможно Zorn запутался.
По поводу зомби - вывели бы все со всех бирж.
С другого компа/локации заходил - контент не отличается.
Опят та же песня – один скриншот с телефона, другой обрезка не зная с чего. Так никто не поможет вам – мне достало, разбирайтесь сами что напутали. От того что вы видите 20+ кея, а съпорт только 6, мне говорить что ваш комп стал зомби и проходите через какое-то прокси – то что видите на экране ложь! Зайдите с другой ком и с другое IP – примерно с комп друга. Ничего уже не теряете – баланса нет, а акаунт скомпрометирован.
Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.
Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.
На биттрексе не требуется. Там одного api ключа за глаза хватает. Это на полониксе, битфинексе есть такое...Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.
По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)
Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.
Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было... Jump to: