Topic: Мой MetaMask взломан. Основы крипто-безопасности - page 3. (Read 649 times)

Тут тоже есть свои риски, например, такие катастрофические события, как пожар или обрушение дома в результате взрыва газа, например.

Да даже серьёзное подтопление может уничтожить листок бумаги.

Также его может выбросить какой-нибудь родственник или съесть домашнее животное.

Я уже не говорю о таких ситуациях, как ограбление или обыск. Сейчас неприкосновенность жилище - это во многом иллюзия. Захотят - ты всё перевернут, уничтожат, а могут понять что это такое на самом деле и и просто перевести сатоши на свой адрес. С бумажными носителями тоже проблем хватает. И они не такие уже и надёжные.

https://bitcointalksearch.org/topic/m.60623511
Добавьте этот приватник во все свои облачные блокноты, пусть взламывают до бесконечности.

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

Название топика некорректно: технически говоря Metamask никто не взламывал, а взломали облачный менеджер заметок Evernote, в котром в недавнем прошлом предлагались такие интересные нововведения: Evernote’s new privacy policy allows employees to read your notes. Я не удивлюсь, если во "взломе" поучаствовал один из работников Evernote, которого заинтересовал набор слов, похожий на сид-фразу. Если бы она хранилась в зашифрованном виде, то хака удалось бы избежать, но кто в здравом уме отправляет заметки в зашифрованном виде?

Я так понимаю эти советы касаются эфириумных кошельков (где одна сид-фраза соответсвует одному адресу), потому что обычно манипуляуии с одинарными ключами не совершают, ведь это крайне неудобно. Сид-фразу и изобрели, чтобы иметь возможность генерировать адреса пачками и для нескольких десятков блокчейнов, и отказываться от ее использования глупо. Как Вам уже посоветовали, купите аппаратный кошелек, который специально предназначен для безопасного хранения сид-фразы и интерактирования с блокчейном. Лучше надеяться на него, чем на шпионское ПО, скрывающееся под видом антивируса.

Я тоже иногда храню сид и приватники в текстовых файлах для разных новых монет, но суммы на этих кошельках мизерные.
Столько слов и рекомендаций, а неужели не было 80-150 долларов на леджер?  Если очень нравится управлять с телефона, nano Х спас бы от взлома.

скорее всего нужны более радикальные меры, смена устройства, хардрезет хотя бы

Edit. Моя теория в том, что нам подсовывают "обязательные" по новым законам приложения с бэкдорами. Совет не ставить "послевоенные" обновления может и не сработать.

Занятно, так как я тоже не так давно получал два уведомления, но не о попытке войти, а о том, что запрошена смена пароля. Это было два раза с промежутком в несколько дней:
1. 19.12.2022
2. 23.12.2022

"Ломают" подумал тогда и просто удалил их. Затем решил как-то зайти на сам сайт (на котором я ничего не хранил никогда, регистрировался просто интереса ради) и после логина мне Evernote говорит

Не странно ли? Ну ок, сменил пароль и удалил аккаунт, чтоб не донимали больше.

У метамаска есть одна особенность, которую можно считать как багом, так и фичей,... если злоумышленник сможет завладеть сидфразой, то у него будет доступ ко всем Вашим адресам, в том числе и к новым. Но если Вы импортировали адрес, то к этому адресу нельзя получить доступ по сидфразе. Если Вы сгенерируйте себе в какой то другой программе, например, в MEW, несколько адресов и импортируете их в метамаск, то сидфраза не даст к ним доступ. Хранить на компе или в облаках ни чего не надо. Я всё храню в на флешках и в блокноте с избыточным дублированием.

Хранить в метамаске все свои адреса тоже не стоит. Импортировать или удалить адрес - минутное дело. Если это Ваш "сберегательный" адрес и Вы пользуетесь им 2-3 раза в год, то зачем его вообще держать в компе?

Около месяца назад я проснулся и увидел на экране телефона множество транзакций, связанных с моими эфирными адресами
Я сразу понял, что это взлом, и средства утеряны. Надо сказать, это было около 30% моих средств в крипте
Самое ужасное в тот момент было, что видеть, как хакер прямо на твоих глазах уводит все с кошельков, но это нельзя остановить



Все это время я анализировал причины и способы как этого избежать
У меня родился пост с разбором ошибок


Как меня взломали?

На самом деле хак стал возможным из трех факторов:

• Моя невнимательность, когда я сохранил и забыл сид от МетаМаска в Evernote
• Моё секьюрити-невежество, когда я позволил себе ввести данные в небезопансой сети и не имел 2FA
• Незащищенность Evernote, которые никак не смогли меня обезопасить от незнакомого входа

Но обо всем по порядку

Меня взломали, получив доступ к моему менеджеру заметок Evernote. Хакер с помощью бота проверил весть аккаунт и нашел сид-фразу в заметке, которую я создал 5 лет назад и совершенно про нее забыл. Я сам уже забыл и не знал, что она там есть.

Хорошие новости в том, что они не взяли никакие NFT.

Как он(и) получил доступ к моему Evernote? — я до сих пор до конца не понял. Приоритетная версия — я ввел данные аккаунта, находясь в небезопасной сети. Вторая версия - взлом самого Evernote, о чем свидетельствует странное поведение их системы. Но в сети новостей об этом я не нашел

Интересно то, как отработала защита Evernote — в ночь проишествия мне от них пришло письмо, что “В ваш аккаунт выполнен подозрительный вход. Если это вы, нажмите на кнопку в письме”. Кнопку я не нажимал, но доступ они все равно получили. Конечно, почту я тоже проверил от взлома, но там не было незнакомых логов.





Позже, Evernote мне сообщили, что кнопку никто не нажимал, *access was later gained via a login attempt that didn't meet the criteria to generate a notification to your email address*  — то есть вошли так, что нотификейшн просто не пришел на мою почту. Как это могло произойти, в компании рассказать отказались

Письмо пришло в 3:46. Первая операция на кошельке состоялась в 4:43

За это время, хакеры зашли в заметки, просканировали их и взломали ММ

То есть сделано быстро и с пониманием

Но вот дальше, они забыли вывести NFT, чем я и воспользовался. Правда, они это движение обнаружили и вывели бесполезное NFT от Coinlist



Как защититься?

• Понимать, что публичная сеть — это опасность,
• что незапароленная сеть может быть подставной
• Небезопасное соединение — уже не просто опасность, а критический риск
• Не жать по непонятным ссылкам, не участвовать в подозрительной халяве и тд.

Поэтому нужно

• Установить надежный антивирус;
• Не хранить ничего важного в облаках
• Везде включать 2FA аутентификацию
• Дополнительно можно страховаться hardware 2FA вроде YubiKey (например, для защиты аккаунта Google, к которому привязаны все 2FA)
• Установить плагин, который шифрует все соединения по протоколу HTTPS (лаборатория Касперского советует HTTPS Everywhere);
• Отключить автоматическое подключение к Wi-Fi сетям (по крайней мере, незнакомым);
• Не подключаться к сетям без шифрования (”небезопасная сеть”);
• Использовать VPN для шифрования данных в публичной сети
• Любые важные данные в общественном месте лучше вводить вообще через мобильную сеть (personal hotspot);
• Использовать менеджер паролей — он позволяет генерировать сложные пароли и надежно их хранить*
• Блокнот только для записей, что где хранится, в каком-то зашифрованном виде
• Не использовать приложения типа Metamask, которые хранят все адреса под одной сид-фразой. Если хакер получит доступ к сид-фразе, он получит доступ ко всем средствам сразу.
• Hе хранить сид от Metamask — достаточно хранить приватные ключи адресов
• Еще лучший вариант — использовать приложения, которые привязывают кошельки к разным сид-фразам (1inch Wallet или Zerion**).

*их тоже взламывают — не так давно был утекли данные LastPass. Я выбрал менеджер Keepr по совокупности отзывов на приложения iOS и Chrome.



Что делать, если взломали Metamask?

Если мы говорим про Metamask — вывести все c тех привязанных кошельков, откуда хакеры не вывели (ну а вдруг). Естественно, это должен быть кошелек, не привязанный к этому ММ . Это единственное, что можно сделать в момент хака.

Дальше можно для успокоения души оповестить поддержку Metamask, MEW, etherscan, бирж о кошельке хакера, но этим меры врядли не принесут результат

Я не нашел какого-то (де)централизированного сервиса для репортов на кошелки хакеров

Заявление написать в полицию тоже можно — ведь хакеру как-то придется выводить деньги, а при выводе он засветит свою личность. Но я не уверен, что кто-то будет этим активно заниматься.

Ну а дальше завести новый кошелек с учетом ошибок




Друзья, если вы можете как-то дополнить мой пост или просто оставить отзыв — буду рад увидеть в комментариях