Bitcoin Forum

Никогда не скачивайте и, тем более, не запускайте "irc клиент для чата cryptotalk" !!!

Клиент содержит в себе троян дающий хакеру полный удалённый доступ к вашему компу, со всеми вытекающими последствиями. Пострадавших достаточно много. Вот последний случай:
https://bitcointalk.org/index.php?topic=29698.msg4101842#msg4101842

Благодарим за инфо.

Любопытно, каким образом можно избежать подобных ситуаций ?
Понятно, что не нужно скачивать и устанавливать всяко что подсовывают.
Но и внедрить трояна могут куда угодно.

не нужно скачивать и устанавливать всяко что подсовывают
Вероятность получить трояна не устанавливая софт практически равна 0. Возможна правда атака через брешь браузера, но трояны таким образом редко распространяют.

А по сути, ничего странного.. Скоро будет еще десятки постов об угоне биткоинов.

Завести отдельный комп для хранения, операций с кошельком и трейдинга. и нечего другого на нем не делать

Да, похоже это  самый простой и как следствие самый надежный метод.

Поставь бубунту с вайном или vbox

Соглашусь. Виртуальная машина выглядит более простым решением вопроса.
И более удобным.
Подозреваю, безопасность тут не страдает ? Или как ?

сводится к минимуму
Подготовленная для торговли виртуалка на убунте с снапшотом - самое то
поработал, откатился, опять поработал

А про Винду, что можно сказать ?
Под ней народу поболее живет, чем под Убунту.
Виртуальная машина в системе, насколько обеспечит безопасность ?

тут нужно выбирать, или безопасно торговать или винда
под винду наверно только ленивый не писал троянов

Вывод средств с биржи невозможен без подтверждение с почты. Значит, в первую очередь, нужна максимальная защита именно почты!
Нужно:
1. Завести отдельное мыло на gmail, использовать его только для биржи и нигде не светить.
   (Лучше всего заходить на эту почту с другого компа/ноута, который используется только для этого.)
2. Настроить безопасность почты - обязательное подтверждение 2фа или СМС для входа.
3. При входе на почту снимать флаг "запомнить на этом компе", т.к. хакер, имея удалённый доступ, заходит на биржу и почту именно с вашего компа.
4. При входе на почту не разрешать браузеру сохранять логин-пароль.
5. Обязательно выходить с почты (для чайников - найти и нажать надпись "Выход"  ;D)

Таким образом хакер (троян), сидя на вашем компе и получив доступ к вашей учётке на бирже, не сможет вывести средства, т.к. не может получить код подтверждения для входа на почту. (А вот с компа утащит всё что найдёт, от wallet.dat до последних трусов).

VM под виндой, независимо от того что в ней запущено, не решит проблему. Потому что кейлоггеру без разницы, в виртуальной машине набираете или нет.

Не совсем так :) Можно отдельную клаву полностью как устройство пробросить в виртуальную машину.. наврядли есть кейлоггеры, которые снифят поток от USB-портов, минуя все уровни ОС...

Можно, но я сомневаюсь что кто-то так массово делать будет, 99.9% юзеров наоборот поставят Guest additions и плюшки для разделяемого буфера обмена.  :)

Ну а параноикам следует иметь в виду, что есть живность, вешающая callback'и на tcpip.sys... На предмет POST запросов, попадающих под шаблоны. Не будешь же сетевую карту тоже пробрасывать :)

Так что VM сама по себе - не решение проблемы, а плацебо. Тем, кто умудряется терять пароли, обвешавшись антивирусами и фаерволлами по уши, она не поможет.

Если иметь две клавы... Не удобно.
Это проще тогда отдельный комп на доступ к ключевому ящику организовать.
Ну , или в виртуальной машине - только экранная клавиатура. Решит проблему ?

Получается, что только ящик является ключевым моментом, остальное - не так критично.

Если уж начали так сильно обсуждать безопасность, то никто не мешает снифить любой ваш трафик  ;D
Года 3 назад например без проблем снифил весь трафик провайдеров которые работали через спутниковые частоты.

Кто помешает хакерам ломануть какой-либо маршрутизатор вашего провайдера?

Как обезопасить свои кошельки? Да никак.. То что криптовалюту можно украсть очень большая проблема.

И много они наснифают в SSL/TLS трафике? :)

А что мешает перехватить сессию при вводе кода пришедшего на телефон в гугле?
Я так понимаю, в таком случае и 2фа гугла не поможет
Как вариант, что использую я, менять пароль каждый день-два. Там при смене пароля сообщение о том, что вывод средств будет заморожен на 2 дня, не проверял, правда, так ли это. Кто использовал?

Авторизацию на вывод и настройки включать надо. На вход смысла нет.

Поверьте, много  ;)
Много людей даже для почты не включают SSL.

начнем с того, что многие ставят винды и проги из сборок, которые кто знает, кто их собирал и какова их цель! да и собирающий эти сборки, может быть и не в курсе, что он навоял.
Безопасность - это птица счастья, она есть, но никто не видел!
Многие компы юзеров давно находятся  под наблюдением, они используются как дэдики для различных задач. как правило человек начинает думать о безопасности, будучи уже "больным", но с реальными деньгами на компе. А последний наплыв новых трейдеров и хомячков, это вкусняшки и плюшки - халявные!

В пределах одного железа себя обезопасить реально (но не 100% само собой) только через попеременной загрузки в разные операционные системы (подготовить себе ЗАШИФРОВАННУЮ загрузочную флешку с ограниченным набором софта и не в коем случае не вставлять в компьютер во время работы основной операционки).

Особо извращенные гики могут настроить network boot, с к примеру, сотового по wifi :) и авторизацией смарткартой (с автоматической репликацией в облако, естественно все зашифровано).

Как альтернатива, установка базовой host системы виртуализации (хоть от майкрософта хоть xen хоть vmware в общем вариантов миллион как платных так и бесплатных), и уже в ней заводить себе зоопарк виртуалок под разные задачи, снапшоты, миграция (между несколькими компьютерами) и т.п. после многих плюшек, обратно в 'одна система = одна операционка' возвращаться не захочется. Пока единственный недостаток, переброс видеокарт работает либо не везде либо не со всеми конфигурациями, либо сложен в настройке для рядового пользователя, а это значит топовые компьютерные игры или даже майнинг - невозможен или осложнен.

Отсутствие 100% гарантии - то что уже опубликованы результаты атаки на базе перепрошивки биос (зловред после этого переживает повторную перепрошивку) и дальнейший запуск операционной системы под контролем трояна (т.е. смена диска или переустановка операционки не поможет), а так же потенциальная возможность выхода из песочницы виртуальной машины (между гостевыми системами или даже выход в хост систему).

Зачем такие сложности? Разве купить недорогой ПК для торгов это проблема? Снести ОС, поставить свою, которой доверяете.
 rPman, "Чернобыль" напомнили... эх...

это первое что я предлагаю людям... просто для кошелька купить сотовый с android (они от 2т.р. уже продаются с полным фаршем внутри) или планшетный компьютер от 3-4т.р. (или малинка, та вообще к монитору по hdmi и полноценный комп) и держать отдельно исключительно для этой задачи

Берите выше (http://www.youtube.com/watch?v=qPg3KjZQrFQ#t=0m40s)))))

Начало в стиле сами знаете каких сюжетов  ;D
Смотреть нереально.. На 2й минуте героини не стало. А я надеялся...  :(

думал щас они ее на кухне отшпинят, а тут взрыв мозга, до сих пор голова логает!  ;D :D

Классная пародия.
Автор прикололся над подобными сюжетами и наглядно показал,
что то дерьмо, на съемки которого затрачиваются десятки миллионов долларов,
вполне успешно можно снять за 10 баксов. (или бесплатно)

А если чуть более качественно, автор вполне уложится в  1 000 баксов.    ;D

А то что обычную валюту, например те же киви можно заблокировать одной кнопкой это не проблема?

Тут как обычно и рыбку съесть и на хуй сесть

Выбираешь биткоин-включай мозги, думай как обезопасить свои деньги. Нет мозгов-используй киви.

Киви это обычная валюта? Давно?  ;D
С обычным фиатом другая ситуация. Его можно вернуть. Не всегда, но можно. Крипто хоть и можно отследить куда ушли, но их очень легко отмыть так что никто и никогда не найдет.

Мозги? Не помогут! Даже при генерации бумажного кошелька вы оставляете цифровой след на устройстве которым генерировали бумажный кошелек. Почему и говорю, что даже при наличии мозгов почти нереально создать защищенный кошелек который 100% нигде не засветится и который нельзя украсть.

Видимо 100% защиту действительно невозможно обеспечить. Но как уже писали, можно же использовать отдельное устройство, только для кошелька, это всяко лучше, чем хранить кошелек на рабочей машинке, на которой установлено еще куча всякого хлама. Хотя пока гром не грянет ;D

ого, вижу, что rPman и некоторые другие пользователи шарят в безопасности :) :thumbs up:

Мне в голову приходил такой вариант - поднять у себя в локалке отдельный дедик и поставить на него esxi\hyper v (лучше esxi), поднять на нем виртуалки, по возможности на линуксе, и держать на этих виртуальных машинках кошельки\трейдерские аккаунты. Естественно их снапшотить\бекапить регулярно. Ну и заходить в нее по удаленному доступу для работы с локальной машины. Если заходить не из дома, то коннектиться к тем виртуалкам через впн с шифрованием траффика.

Ну и как обязательное условие безопасности - использовать пароль-менеджеры (мне очень нравится бесплатыный KeePass, к нему есть плагин с виртуальной клавиатурой.

Еще немаловажный момент: по возможности, не пользоваться пиратским софтом, особенно играми с мутными кряками на компе, где много всего ценного  ;D

Достаточно использовать в винде Software Restriction Policy c уровнем "Запрещено всё кроме" и не запускать из неизвестных источников - только из официальных....
Уже 10 лет так работаю. Есть куча машин с такой политикой и без антивируса - живут(не заражёнными естественно) многие уже по 3-4 года, при том, что туда тыкают клиентские(фотопечать) флэшки с вирусняками, каждый день.

Ну а виртуалка для кошелька - сам Сатоши велел!  ;D

Пожалуй не буду вдаваться в подробности, но лично я получал доступ к виртуалке с кошельками. При том что я не хакер  и только поверхностно разбираюсь в уязвимостях и обходах защит ;D
Чего тут еще добавить?

Единый вариант это держать кошельки на отдельном устройстве (как предлагал rpman) и никогда не подключать это устройство к интернету. А вот как снимать копейки с такого депозита пока не придумал  ;D

Armory, он создаёт оффлайн транзакцию подписанную приватным ключом. Потом отправляешь эту транзакцию в сеть.

Насчет "все кроме" необязательно, достаточно просто своей рабочей учетке запретить запуск доступных на запись бинарников, не имеющих цифровой подписи. Вряд ли кто-то будет подписывать троян своей подписью, краденой если что... Ну а краденые сертификаты успешно отзываются, главное только апдейты чтобы были включены.

На мой взгляд политика "запрещено всё кроме" указанного, не применяемая к административным учётным записям, самая надёжная - подтверждено годами и множеством машин.

Отдельный Raspberry Pi отличный вариант как никак.
Дёшего стоит, мало жрёт ( пишут 10 ватт, но зачастую продают бп в комплекте всего на 5 ватт), точно так же можно подключать монитор.
Не пробовали, комфортно на бирже с ним?
Если подключить большой монитор клавиатуру и мышку то совсем как взрослый собрат, а не какой-то там планшет или телефон.
Правда тогда и сразу возникнет желание сидеть на сайте дольше смотреть графики, болтать в чате, и открывать ссылки.
Поэтому лучше всетаки отдельный мобильный, хоть и со всеми неудобствами.
С андройдом это провокация поставить левого софта.
Лучше телефоны, а не смартфоны, с оперой мини. Пробовал, всё работает, не только торговля, но и вывод денег подтверждения.
Если заходишь в таком априори абсолютно чистом компе - сотовом ( что плюс не в локальной домашней сети, а с отдельным интернетом, ну планшет с отдельным интернетом просто дороже) то максимум подтверждение на почту, 2ФА тогда уже если только для самого себя.
По сути с таким абсолютно чистым компьютером телефоном даже подтверждение по почте не нужно если чат закрыть и не по каким ссылкам от туда и вообще что либо не ходить, но все же как-то стремно, пусть лучше будет хоть и с него же ( ну не делать же еще один телефон), но без сохранения пароля.
По сути выходит что рекомендации не работают, потому что в спаме вдруг приходит письмо что рождественская распродажа стрингов или вы выиграли миллион.

А тот кто сам захочет и так давно понял что нужен отдельный комп
Уже 1000 раз говорено, и про линукс тоже, что лучше.
Но так всё и продолжаются без конца вариации на тему виртуальных машин при этом во всю хочется всем не только открывать ссылки!
Но что я реально поражен, что кто-то еще и эту фигню ирцкрипточат устанавливал!
Вот именно поэтому винды не должно быть вовсе для таких пользователей, надо резать по живому, будет винда - будут и любимые такие милые кофточки для нее -троянчики, такие живые и разные каждый раз:-)

Именно по этой причине нужно ставить лицензионный софт)
А вообще, я б советовал сидеть в нете только через vpn. Лично я постоянно только через него и сижу, хотя бы есть гарантия что сниффером никто не перехватит трафик, да и провайдер не просмотрит где я и что делаю.

Смотря чей впн.
Обычно у людей гораздо больше возможностей оценить степень охвата своего провайдера чтобы не думать что он будет мелочится на воровство у него денег, чем оценить настолько же впн сервис.
Как узнать достаточно точно сколько сотен тысяч людей им пользуются?
Офис провайдера в центре города как-то более успокаивает их что он не будет воровать деньги конкретно у него.
Крупный провайдер подключен к магистральным линиям на которых обычно не вклинится для прослушивания и воровства.
Требуется защита только канала до провайдера и следовательно нужен впн от него. В случае ненадежной линии до провайдера или просто для большей надежности.
впн от какого-то неизвестного сайта в интернете закрывает от провайдера да (только обычно еще в заголовках пишут сведения о сертификате и там указан какой именно впн ты используешь, напрямую домен сам( так еще и почта указана для связи куда писать чтобы выяснить кто это и куда он ходил), не надо выяснять по айпи, хотя и это не сложно, так что он будет знать)
но твоим провайдером становится какой-то сайт в интернет не имеющий офиса с людьми и т.д.
Который так же может всё проснифить, и каждого сотого допустим с биржи собрать чаевые на развития впна.
а дальше от самого впна идет так же как от твоего повайдера, открытым трафиком.
Это защита для тех кто пользуется обществеными открытыми сетями и ворованым интернетом, другим она ничего не улучшает.
Впихивать еще одного посредника чтобы он вместо его провайдера стал его провайдером степень доверия которому обычный пользователь не может никак адекватно определить по просту глупо.
Но если этот впн от какого-то другово провайдера крупного иностранного которому он допустим доверяет больше, то смысл есть. Или какой-то крупный впн , которому можно доверять как-то.
Большинство обычных пользователей больше доверяют Ростелекому.
Рисковать своим балансом на бирже для поддержки большей анонимности кого-то другово на серверах впн создавая им дополнительные входящие и исходящие соединения за свой счет? - вроде глупо как-то.
Еще и заплатив за это дополнительные деньги за платный впн.
Если хочется поддержать анонимность лучше установить исходящий релей тора у себя, а впн оплатить но не для биржи, а чтобы укрыться от вездесущего гугла и контакта, и просто смотреть на мир с другой стороны света:-)

Здрасти, а разве трафик не шифруется?

Месяца 2 назад мне позвонил мой провайдер, и спросил какого хрена на моем роутере стоит ип их шлюза и все подключения идут через меня?  ;D
Честно, я не хакер, писал выше.. И провайдер можно сказать очень знаком.. Но факт есть факт. Лишь бы железо было нормальное. А как вырубить корневой шлюз и успеть взять ип - это уже мелочи.
Что могут сделать хакеры мне даже трудно представить.

А что тут представлять. Заводите 10-20 отдельных счетов на БТС-Е. Если даже в случае всяческих хитроумных изощрений, у вас-таки слили один счёт, то всё равно 95% депо в целости и сохранности. Для вас же урок и намёк будет, где собака порылась слабое звено вашей безопасности. Трейдится вся эта богодельня прекрасно через АПИ. Потеря 5% для трейдера обычное дело, сегодня в минусе, завтра в плюсе. Ну это так, для суперпараноиков.  ;D

Ну впн шифруется до его провайдера, а дальше то нет, потому что дальше нет самого впна.
Но я понял про что ты, что у биржи шифруется https, все время вспоминал пока писал прошлый пост, ну да у биржи то шифруется, но тогда можно сказать - а зачем впн вообще тогда, если и так шифруется.
Ну народ на почту заходит зачастую без шифрации.
И в браузере если такие еще есть сервера , а уж почтовые программы тем более.
А почта то еще важнее же даже.
Сервер впн точно может проснифить свои исходящие.

UP, хакеры не спят, и хомякам не дают спать спокойно.

эхх, впн думаешь тебе поможет ?))
чтобы обезопасить себя со стороны веба просто серфишься через CHROME, ибо никакие паблик/полупаблик ехплойты не пробивают его - в следствии того что это триллионная организация которая выкидывает огромные средства на багфиксы

Только не Chrome, а Chromium.

К тому же, кроме браузера есть куча всего, вплоть до расширений и системных библиотек, в которых тоже могут быть уязвимости. Если дырка во флэше, яве или в каком-нибудь gdiplus.dll, то через какой браузер на протрояненный сайт ни зайди, итог будет одинаков.

Какое имеет отношение к теме ветки, про взлом аккаунтов ?
Может Вы ошиблись ?

Это бот Pivo или кого-то из его гражданских партнеров. Затроллить не вышло вот он и расписался в несостоятельности таким образом, сделал программу которая за мной бегает по топикам. Ну или вручную бегает, кто его уж знает... :)

Какеры реально не дремлют  ;D
Поржал )))

А вообще, Пивас, мне весьма приятно что я тебя так достал... Не лень же было мои профили и посты по инету гуглить, чтобы найти эту фразу.  :)

P.S. Кстати да, Ленин воистину охуенен.

тест

Вот ты и спалился. :D

Время ответов не детерминировано, вывод прост - либо рандомайзер, либо постится вручную, что гораздо вероятнее.  :P

Не обязательно вручную. Бот запускается по крону раз в 5/10мин и ищет твои последние сообщения. 10 минут работы ) А вышло очень даже весело ))

Интервал между сообщениями слишком нестабилен для запуска по крону, как должно было бы быть при периодическом запуске и постоянном поступлении еды в виде моих сообщений. Так что либо добавляется энтропия откуда-то, либо руками постится. Насчет весело согласен :)

Очередная жертва:
https://bitcointalk.org/index.php?topic=396629.msg5051278#msg5051278

Поддержка как всегда на высоте.  :(

Следующий пошел:
https://bitcointalk.org/index.php?topic=572229.0

походу у них нет элементарной защиты от брутфорса 2фа

зачем им вообще 2фа ))

Да, интересно, как такое случилось, каков механизм увода.
И конечно - как такого избежать.

Та же фигня. Украли 84 лайта c BTCe. Погуглил и понял что я далеко не одинок, и также что вопрос не решается. Ответ поддержки:

Извините, но ваши деньги были выведены из BTC-E.
Вывод средств были подтверждены с вашей почты.
Мы не можем вам вернуть их.
Мы рекомендуем вам сменить пароль, почту и установить 2ФА защиту.
Мы можем предоставить вам IPадреса с которых были осуществлены входы на ваш аккаунт:

-за IP конечно спасибо, кстати последний из Симферополя (а я из Харькова), но что с ними теперь делать?
Украли с маломощного компа на работе (винда ХР, браузер Мозилла, почта GMail)
В аккаунт войти не могу, потому что вор включил мне 2ФА(к сожалению до этого я не включал 2ФА) а если его выключить то блокировка на 2 недели. И почитав здесь, я увидел, что и с включенной 2ФА прекрасно крадут. Да и не вижу теперь смысла использовать старый акк.

Наверное, пора нам всем сообща выработать стратегию как максимально обезопасить свои средства, и стоит ли с такой степенью риска вообще иметь дело с BTCe и также с криптовалютами.
Если все-таки продолжать жрать кактус, мои выводы следующие:
- завести отдельный комп или лучше планшет (IOS/Android ?) для того чтобы трейдить, на мой взгляд лучше яблочный, как менее уязвимый;
- для каждого аккаунта свое уникальное мыло и уникальный пароль с 2ФА;
- кошельки держать на внешнем носителе, подключать его только для транзакций и сразу же отключать, лучше носителей два дублирующих друг друга.

Надеюсь не слишком параноидально звучит)
Прошу дополнить или аргументированно оспорить.
И еще: может быть есть биржи понадежней? В последнее время их развелось - не уследить.

А что вам еще для надежности надо? Кто же виноват, что вы не пользуетесь всеми средствами защиты, которые вам предлагают? Тут как с презервативом, он у вас есть, а вы его не надеваете, а потом удивляетесь откуда такой букет, хотя могли бы сразу значительно повысить свою безопасность :)

Вы сами себе враг. Поддержка XP закончилась в начале апреля. С тех пор было найдено несколько критических уязвимостей, которые уже не будут закрыты никогда.

Это все понятно.
Вопрос теперь не звучит "Кто виноват?" а звучит "Что делать?".
Здесь на форуме и в частности в этой ветке описаны случаи без этих моих "вопиющих" факторов - у людей и 2ФА была включена, и винда наверняка 7 или 8 лицензия, и антивирусы платные. И все равно воруют. Именно с BTCe аккаунтов столько случаев, с одинаковыми диагнозами и жалобами на поддержку. У меня просто самый простой.
Но теперь я прежде чем рисковать снова хочу обеспечить по-настоящему серьезный уровень защиты. Выше я предложил варианты.
Есть что дополнить??

Почитайте здесь и на других форумах - люди надевали и по несколько презервативов)
Почему спрашивается с другими платежными системами это не так часто происходит?

Может эти люди скачали себе супермайнерприноситмильенвгод, а в итоге злоумышленник получил удаленный доступ к пк, да еще если и ключи 2фа хранить на рабочем столе, то не удивительно что их взламывают. Если следовать всем рекомендациям которые описаны на бтц-е (2фа на бирже, ключи на флешке, почта gmail + 2фа), то шанс взлома минимален.

Да все проще простого. Не туда вы презервативы надеваете.
Не нужно делать 2ФА и 3ФА на вход в биржу и почту. Взломали аккаунт - выбросили, создали новый.
Главный вопрос безопасности - предотвратить вывод денег.
И решается просто при условии небольшой доработки функционала биржи - пользователь устанавливает себе сам холд на вывод средств. Даже если взломали - вывод произойдет не раньше чем через время х.
Ну а трейдеру нужно периодически проверять состояние своих счетов и в случае чего - запрос в поддержку.
Чтобы злоумышленник, попав в аккаунт, не смог воспользоваться возможностью изменить время холда на минимум или отключить вводим автоматический холд со стороны биржи при смене настроек аккаунта.
Все - круг замкнулся! У вора нет возможности вывести деньги, зная даже все ваши пароли.
Я неоднократно писал в поддержку btc-e это предложение, но как-то не судьба.

всё гораздо проще - сделать смс нотификацию...

смс куда? злоумышленник может изменить аккаунт.
Только холд!

Продлеваем получение обновлений безопасности для Windows XP еще на 5 лет (http://habrahabr.ru/post/200260/)

XP с возрастом становится только лучше в плане безопасности.
XP постепенно переходит в ранг не ширпотребовских ОС и вирусописатели на неё все менее ориентируются.
Это не голословное утверждение, я пару лет назад работал на гос.предприятии - обслуживал компы и пр.
Так вот - там где нужны были "печатные машинки" ставил Win 98 без антивиря. Все машины в сети. Так вот на 98 проблем с вирусней не было вообще, а на XP только политиками и спасался.

Так тут даже функционал дорабатывать не надо - достаточно например менять пароль от аккаунта достаточно часто, вплоть до раза в несколько дней, при этом же холд ставится.

Где гарантия своевременного выхода заплаток и того, что этот канал в один прекрасный день не перекроют? Причем в этот раз вас предупреждать никто не будет. Ешьте кактусы дальше товарищи. От взломов и потерь спасет только голова на плечах, если оной нету, то увы, раскошеливайтесь на всякие трезоры или исправно платите дань более умным товарищам, что макают вас каждый раз в говно, воруя почтовые ящики и аккаунты на бирже. В этих вещах нет никакой магии, это все ваши слабости: к простым паролям, одинаковым паролям, невнимательности, безалаберности, в конце концов глупости и прочее прочее прочее.
И чтобы не голословно, предлагаю свою схему: отдельный ноутбук с отдельным интернетом (LTE/3G?) исключительно для операций с кошельком (electrum мне видится идеальным решением), биржой и почтой к ней привязанной (не росийского происхождения, можно гмыло c 2ФА). ОС по-вкусу, либо актуальная винда с антивирем, либо линукс, что-нить из разряда Long Support (CentOS 6, Ubuntu LS-релизы, и т.п.). Все пароли разные. Все пароли нетривиальные (типа "G4kf9djRpfd4nF" считаю достаточным). Ну и естественно бэкап электронный и бэкап бумажный всего этого дела, в разных местах (квартирах/домах). И везде, где можно включить 2ФА, необходимо ее включить.

менять пароль каждые 2 дня лень, да и биржа заподозрит неладное.

Я даже дискутировать на эту тему не буду. Это бред и глупости. Вопросы безопасности решаются головой, а не убеждением себя в том, что 98 винда теперь нафиг никому не сдалась. Нужно будет вас сломать, есть готовый вагон и маленькая тележка всевозможных уязвимостей с готовым proof-of-concept кодом. И как только злоумышленнику станет известно про 98-ую винду, вас уже ничто не спасет, ни сверх-сложные пароли, ни хитроумные настройки. Эта же участь ждет и XP.

И как это спасет от кейлогера? как это спасет от остальной грязи? Вы верите, что заплатки к ОС появляются до массовых атак? Про антивири забудьте, я их на винде даже не держу.

Повторюсь, проблема не во взломе аккаунта, а в сохранности средств. Любые технические ухищрения взламываются. Холд - это время, его не поломать хакеру.

Когда в бирже есть черная дыра непонятная ,никакая защита не спасет  ;D

ну они обещают покрытие из резерва. Если стоял холд, а деньги ушли то это камень в их огород и они должны компенсировать.
Вот видимо потому моя идея им не нравится.

Кейлогеры на комп ставят не розовые пони, а в 90% сами пользователи, в качестве трояна. остальные 10% оставляю на дыры в ПО, которое сводится к минимуму простыми правилами безопасности, как то:
- не ходить на левые сайты, кроме тех, что непосредственно связаны с биржой, кошельком и расчетными системами.
- не открывать никаких ссылок на почте, если вы их не заказывали (типа верификации и напоминаний паролей)
- не открывать никакие вложения на почте, если вы их не ждете (и проверять что именно вы открываете на том же virustotal.com)
- проверять где и какие данные вы вводите. Никогда не верьте никаким сообщениям, что биржа/банк забыли ваши данные или им внезапно потребовалось какое-то подтверждение от вас с просьбой ввести логин пароль. Даже если кажется, что сайт тот.
- ко всему, что происходит не так, как обычно (например биржа ни с того, ни с сего, вдруг два раза запросила ввод пароля или кода 2ФА) относится с большой подозрительностью, вплоть до отказа от дальнейшей работы с полной процедурой разбора ситуации.
Я еще почему выше про LTE/3G написал... там гарантированно есть NAT, который будет как железобетонная стена при попытках инициировать сканирование или подключение к вашему компу извне.
Если же у злоумышленника есть кейлогер и доступ к компу, то спасет вас только чудо.

Я кстати лично выдергивал из чужого компа сетевой кабель, в тот момент, когда там злоумышленник в системе Клиент-Сбербанк (для юр. лиц) заполнял платежку на вывод 2-х лямов рублей на левый счет.

Когда в голове черная дыра, то это тоже на всю жизнь.

обыкновенное чудо под названием "манейхолд"
все гениальное просто.
кстати можно было-бы каждому юзеру выдавать некий код, пересылкой которого на биржу, скажем в post запросе, делать холд без необходимости авторизации.

Схема неплохая. Свой вариант аналогичный этому я и описывал выше, только там я предлагал ноут или планшет на IOS - это важно - она не так уязвима как винда. Или я отстал и уже уязвима?
Насчет ссылок и подозрительного поведения сайта биржи - все правильно, но только в случае если поддержка будет работать оперативно и общаться по-человечески, вежливо и развернуто. Бабло нехилое получают, неужели нельзя усилить защиту и увеличить штат?!
И все же я считаю что при такой высокой степени риска ВТСе должна пользователей хотя бы принудительно заставлять пользоваться 2ФА, а не делать из них лохов. Уже столько случаев тырева, что по-прежнему разрешать заводить счета и трейдить по обычному входу почта/пароль даже без СМС подтверждения - это, извините, практически сотрудничество с хакерами. У меня в первый раз в жизни такое вообще, притом что года три уже я активно пользуюсь разными платежными системами в тырнете и карточками.
Еще идея- несколько аккаунтов, чтобы не класть все яйцы в одну корзину. Правда, по-нормальному тогда нужно столько же и устройств для торговли а это уже реальная паранойя будет))

Меня никто не слышит (не читает)? Или всем нужно выводить деньги с биржи по пять раз на день?
Таймаут на вывод решает все вопросы, причем с минимальными затратами на внедрение.
Таймаут - это задержка между заявкой на вывод и её обработкой, может кому непонятно.

Да понял я. Лишь бы на бирже прислушались наконец) а то такое впечатление, что это игра такая - СамЛохъ называется.. Внедрить надо бы таймаут и обязательное 2ФА ДЛЯ ВСЕХ. Потому что новые пользователи типа меня заходят "а, после включу, у меня ж немного"  и потом расслабляются. Затем возникают подобные посты, скандалы, портящие имидж биржи. Неужели им пофигу? Или реально сотрудничают с жуликами? Проблема в том что остальные еще хуже..
И почему здесь не слышно представителей ВТСе??

Всем здрасте, в общем в полку обворованых прибыло.
В свете падения курса довольно долго не заходил на биржу. И вот сегодня открыл Qt Bitcoin  trader и обнаружил, что все мои средства были переведены в биткоины (ордера были исполнены ночью 9.05.2014), сейчас на счету пусто. При попытке зайти на сайт со своим паролем получил отказ. Сменил пароль, далее отказ при вводе пин кода, те и пароль и qr код для двухфакторной авторизации были сменяны. Собственно для btc-e и gmail использовал преславутую двухфакторную авторизацию, но как видно это не помогло. Послееднее письмо которое я получал от btc-e было датировано 11 марта, я не получил ниодного письма о смене пароля, либо выводе средств. Скорее всего все письма сразу же удалялись.
Если все сложить, то по курсу покупки на счету было больше 400тыс руб

Служба поддержки дола следующий лог

95.154.76.* мой адрес. Остальное ip злоумышленника. Как видно он старался использовать прокси наиболее похожие на мой адрес, чтобы не вызвать подозрений.
Получается что кто-то получил доступ к моему gmail ящику. Далее 25.04.14 запросил сброс пароля, затем отвязал двухфакторную авторизацию и по прошествии двух недель получил доступ к моему аккаунту в btc-e. И моментально вывел монеты, без всяких преград.
 
Всегда думал, что с этой авторизацией в случае взлома, максимум что может произойти это блокировка аккаунта и далее долгие часы объясния со службой поддержки. Оказывается все намного проще, достаточно получить доступ к сессии gmail и немного везения.
Знал бы что все так просто, вывел бы все на кошельки до лучших времен и не хранил на бирже.

В данной ситуации - возможность смс уведомления и письмо на дополнительный ящик могли бы исправить положение. И будь у биржы такой функционал я бы им пользовался даже за отдельную плату. А также блокировка по ip, 80% времени я заходил на биржу именно с этого ip адреса 95.154.76.* в том числе и пополнял баланс. За все время, я ни разу не снимал с биржи деньги. И когда по прошествии времени, кто-то пытается сменить пароль и ключ авторизации, а в последствии выводит все средства с совершенно другим ip адресом, принадлежащим сети другого провайдера, я думаю это должно вызвать подозрение и холд на месяц был бы весьма кстати.

Это пиздец товарищи :) У чувака увели мыло, а виновата биржа. Биржа 2 недели честно держала ваши деньги :) Вы поймите одну простую истину: что если вас взломали, то вам уже ничего не поможет, кроме чуда. Это как со спидом - важна профилактика. Когда болен, уже все...

Вон у чувака выше мани-холд на две недели был и чо? Не надо перекладывать с больной головы на здоровую.

Как раз всякие 2ФА показали несостоятельность.
Если он месяцами не заглядывает на биржу, то стоял бы у него личный холд на месяц или 2 и это-бы его спасло.
Я заглядываю каждый день и меня устроил-бы холд 24часа.
Это реальное решение.
Почему у биржи есть инструмент холда при параное, а пользователю такой возможности не дали ?

Вон eBay взломали, шлют письма с просьбой сменить пароль.
Будет стоять на биржу и почту хоть 10ФА, их ломанут, а виноватыми признают юзера, типа не следил за безопасностью.
В случае с холдом  если биржу ломанут - они не смогут назначить крайним клиента. 

Вот кстати хороший вариант почти неломаемой почты.
Работает только на телефоне и планшете, авторизация без пароля - только SMS.
Плохо одно - дитя mail.ru
http://mymail.my.com/ru/

Я к защитникам биржи: ну и к чему здесь можно придраться? Увели мыло? Самый надежный гмаил, да? И 2ФА надежнее нету? Утверждал и продолжаю утверждать: поддержка и защита биржи требует доработки, иначе ВТСе скоро останется без трейдеров. И здесь никто еще не предложил стратегию, КАК ЗАЩИТИТЬСЯ ПРИ НЫНЕШНЕМ СОСТОЯНИИ БИРЖИ САМОМУ.

2mike123:
-какая ось на компе?
-был ли комп включен в момент взлома и кражи?
-антивирусы?

В общем, найдите брешь в своей защите. Не найдете - надеюсь услышать аргументы защитников биржи, которым пока видимо везет)

Ооо, викус, тебя занесло уже не туда, так я тебе ещё больше скажу, если тебя захотят взломать, то не спасёт тебя ни виста, ни семерка, ни 8 ни 8.1, ни линукс, ни мак, ни чтото ещё, бэкдоры есть везде

Согласен, защита на бирже "от барина" - хочу защищаю (холдом), а хочу "сам виноват".
Самое страшное, что btc-e  нивкакую не идет на контакт, чтобы решить эту проблему.
Мол все у них хорошо, используйте 2ФА.
Да нет толку от 2ФА, если есть руткиты, кейлогеры и пр., а они будут всегда, и будут совершенствоваться.
Уровень безопасности биржи должен быть расщитан на трейдера, а не на компьютерного ГИКа.
Для них ведь не сложно разрешить холды со стороны клиента.
Пусть не холд, другие варианты.
Создать ветку с предложениями по усилению безопасности и потом провести голосование по вариантам.
Но они даже в этой теме не появляются.

Как бы защиту не сделали, всегда найдется чел у которого шпиздят деньги. По всему выше сказанному надо обязательно сделать холд при любой попытке смены пароля/ящика/данных. Подтверждение на вывод средств СМС или типа http://mymail.my.com/ru/ т.е. на отдельном устройстве - планшет, сотик. И все это на усмотрение пользователя, не включил, сам виноват.

При взломе воруют что? - крипту.
Почему? - нет холда на вывод, как у фиата.
Вывод - делать холд причем желательно контролируемый пользователем.

В идеале биржа должна принять такие меры:
 - ввести пользовательский холд;
 - завести собственный почтовый сервер с шифрованием сообщений и обеспечить клиентов механизмом дешифровки.
Клиент должен:
 - отвязать почту от рабочей машины (использовать телефон/планшет)
 - не использовать рабочий комп для любых иных задач и позаботиться о актуальной антивирусной защите.

неужели об этом заговорили
я выхожу из ситуации постоянной сменой пароля
но уже поднадоело

если саму биржу не взломали ( что подтвержается тем что биржа еще существует )
значит взломали ваш комп
поэтому 99% процентов защиты дает линукс комп который используется только для биржи
если сумма на бирже большая то купить ноут думаю проблем не будет

Я уверен в одном! Кто изначально поставил чистую винду(да хоть что), антивирус(нормальный) и использует только для работы с биржей, у тех проблем не было на 101%.

есть еще слабое/промежуточное  звено - почтовый сервер

можно же  уйти от него:
например вход через btc-адрес , биржа  отправляет сообщение, ты подписываешь и отправляешь
сервер проверяет подпись.
Никуда никакие пароли не передаешь.

В качестве замены почты для общения с администрацией можно использовать Bitmessage.
тоже никуда никакие пароли не передаешь.

Можно же сделать это опционально.

после этого уже можно думать о защите своего компьютера.
например чистая ОС, загружаемая с CD-диска (или usb-носителя с затвором от записи) и работа с биржей только через нее.

если биржа может обеспечить более высокую степень безопасности (причем  без изменения инфраструктуры и ощутимых капиталовложений) , то она обязана это сделать.
а отдельный ноут или линукс - это до момента, пока кто-то его не захотел поломать.
опять таки - трейдер не ГИК и не обязан разбираться в тонкостях настройки ОС и протоколах маршрутизации.

Возьмите Paypal к примеру. Они могли бы тоже отнекиваться мол юзер виновен - не уследил. Но они имеют целую систему обеспечения безопасности срелств на счетах и никого не принуждают к бесполезной 2ФА. И более того, не указывают юзверям какой ОС им пользоваться.

BTC-E ничего не стоит поднять безопасность до такого уровня, что можно будет спокойно работать в рассаднике троянов и руткитов. Им нужно только захотеть.

Win7 лицензия, комп довольно долгое время включен, Avira Internet Security

Вы ошибаетесь, сломать можно все что угодно. Было бы желание) Но то, что это осложнит работу взломщику - это факт. К тому же есть еще социальная инженерия и человеческий фактор никто не отменял.

Согласен, кроме как на себя, ни на кого надеется не стоит, но есть и другая сторона медали. Была бы возможность на бирже указать дополнительное мыло, номер телефона для сообщений. Или возможность принудительного холда при выводе средств, на произвольный срок самим пользователем, я бы ей непременно воспользовался и это могло бы помешать вору.
Опять же касаемо моей ситуации, почему действия мошенника не вызвали у представителей биржи никаких вопросов, как я уже сказал, все средства я вносил скорее всего с одного ip(или одной подсети), а тут смена пароля, отключение авторизации и вывод средств совершенно из другой сети. Можно было просто заморозить аккаунт, задать пару вопросов вору (например, какими суммами вносились средства и через какие системы). Понятно, что у биржи таких случаев не один, но они не за спасибо работают, можно нанять людей, либо как-то алгоритмизировать такие действия (хотя бы фильтруя ip адреса). А возможность конечного решения уже предоставлять людям из техподдержки.
Обидно то что сообщения о взломах, как я уже успел понять появились довольно давно, вариантов защиты предложено множество. А на бирже ничего фактически не поменялось.

Меня удивляют некоторые личности, которые упорно защищают биржу с ее нежеланием стать безопасней.
Вам чей карман ближе? Для вас ведь стараемся и для себя конечно.
BTC-e должны сделать со своей стороны все возможное для гарантирования сохранности средств клиентов. И защита от дурака (клиента) тоже обязана быть.

Тут конечно не поспоришь. Защита от дурака, в какой то мере необходима.

Хотел про холд сказать. Долгий холд для биржи видимо не приемлем.
Он серьезно ограничивает возможности арбитража.
В то же время, можно счета разные сделать, одни с холдом, другие без...

Остается контроль по АйПи и холд при смене телефона для рассылки СМС на вывод.
Что то скомбинировать можно, было бы желание.

Я агитирую за добровольный, настраиваемый по длительности самим юзером, холд средств.
Арбитражники с небольшим холдом тоже не будут ущемлены.
Они как работают:
есть депозиты на нескольких биржах, где дешевле - купил, где дороже продал, потом по итогам дня переливают депо с биржи на биржу для уравновешивания средств.
Так-что 3-6-12 часов часов холда приемлимо и для них. 

А ещё можно привязать вывод крипты на определённый адрес.

точно, а при смене адреса - холд.
Реально можно найти массу простых решений, которые ну очень уменьшат вероятность краж.

Это решение проблемы, напишите пеньку в супп у кого есть там акк

частичное, не поможет в случае с btc-e кодами.

нужно и доверенные адреса и настраиваемый холд.

Я думаю нужно подкопить идей, потом устроить голосование, потом стучаться к пеньку.

Код можно располовинить - чтобы первая половина кода создавалась при регистрации и показывалась лишь однажды с ремаркой 'сохраните на бумаге' а вторая при каждом создании ваучера. Сумма от двух частей вместе и есть код. Btce сможет верифицировать, подставляя все имеющиеся секреты всех пользователей поочередно т.к. у них есть в базе, злоумышленник - не сможет подписать правильно. Нужно лишь заложить некое правило индивидуально для каждого акк, чтобы злоумышленник не смог подписать своим ключем(с другим правилом). Даже простое, ведь попытка одна.

Зы
Можно проще: при создании акк показывается несменяемый код один раз, при всех любых следующих снятиях требуется ввести этот код (а-ля PIN2 в LR)

Сегодня наш привет банк прислал такую фишку по авторизации
https://www.youtube.com/watch?v=tfaIdnGv3Fg

фу, слабо. Подслушают, сами себе злобные буратины.

Я заметил, что во всех случаях воровства вывод идет в крипте (а если деньги в фиате то воры переводят в крипт) - видимо потому что транзакции анонимные, даже если отследить идентификатор кошеля - ничего не сделаешь. Значит, эффективно будет привязать вывод пользователя на фиксированный кошель, при его отсутствии - вывод только в фиат, смена кошеля - холд на двое суток. Должно быть эффективно?

- ввести в админку пользователю возможность самостоятельно устанавливать регулируемый холд на вывод средств. При смене настроек - автоматический холд биржи.
- ввести доверенные адреса вывода, если вывод на другой адрес - автоматический холд биржи.
- запустить свой почтовый сервер с шифрованием почты, пользователей обеспечить механизмом дешифровки. Почта должна работать только на мобильных устройствах, привязана к железу и быть недоступна через WEB.

Он тут тоже читает.

Ща биржа тут наслушается, и чё нить такое влепит, что большинство рады совсем не будет.   ;D
Так обычно бывает, в больших организациях.

Можно даже проанализировать почему, да не место  тут для этого...

А где место?

Последнее было бы вообще круто

Большинство не попадало) пока) так что пусть наслушается и влепит. Если слушает, конечно.

Добрый день, у меня мой аккаунт на бтц-е  взломали, и почту тоже, никто из моих знакомых и вообще не знал что у меня есть биткоин и что я на этой бирже, кошелька у меня не было, на форумах я ни с кем не общался и нигде не был зарегистрирован, просто один раз закинул на бтц-е деньги и просто молча торговал. Уже давнее эти деньги украли. Антивирус kaspersky crystal у меня тогда был, почта на мейл ру.
Кто скажет как это сделали кто мог знать мой имейл если он был доступен только самой бирже бтц-е ?
Биткоин который у меня был по плохому курсу обменяли на доллары и вывели на паер, ип адрес того кто это делала конечно был далекою.
бтц-е говорит мне что я сам это сделал и что это моя вина и ответственность, данных на человека который вывел деньги на пеар, он ведь имеет на паер акаунт и деньги он ведь где-то снял они давать отказываються.

Почта. взлом майл.ру стоит около 10уе.
Остальное не важно. Подумайте, доверять ли бирже, в чате которой штатные ольгинцы, которых не банят ни за какие буквы.

Аж сплакнуть хочется такая душе раздирающия история ;D
Обычно взломщику который задался целью взлома не нужно знать чем вы занимаетесь и это может быть как Джек с Аляски так и Вася с Сибири. Вина тут 100% ваша, а не биржи во первых антивирусу доверять нельзя сколько бы он не стоил, точней ОС на которую он есть это уже говорит о не безопасности и большой вероятности взлома во вторых почта мейла самая угешная и вы не придерживались минимальных рекомендаций биржи по безопасности не говоря о более надежной защите.
р.с. а страшных историй про гокс 50бтс или ещё каких то легенд не слышали ? Все яйца в одной корзине как говорится.

Так в чем я виноват в том что вообще пользовался их услугами  или в чем? что ещё за безопасность, надо быть очень умным чтобы быть "не виноватым" каковым вы меня назвали? я в этом мало что понимаю, есть пароли есть почта я думаю этого должно было хватить, а вот кто узнал мою почту ? кто виноват что моя почта была кому-то вообще доступна? то что я сам виноват что пользуюсь галимым мейл ру и галимым каспером это я виноват и то что не достаточно умный тожа я виноват так не пользуюсь всякими супер защитами.

у меня просто главный вопрос как и кто узнал мою почту ? она же не доступна на бирже никому и я там на их форуме не общался нискем я его отключал всегда.  Я вообще нигде не был зарегестрирован по этой електронке что связано с биткоинами.
Человек выше говорит что я сам виноват что я достаточно глуп, но разве моя електронка не должна на этой бирже быть в сохранности.

Так персоналу биржи и доступна, персоналу mail.ru доступна, если вы бывали в чате - всем доступна...

Если доверять бирже и почтовику, то Вы должны в идеале работать с почтой с иного компьютера (смартфона, планшета), а не с того на котором ходите на биржу. Компьютер под биржу должен быть свободен от всего лишнего (кино, интернет-серфинг, игры...)
Цену антивирям Вы уже знаете.
А если у Вас ещё (возможно) стоит mail.ru агент, спутник и прочие - то Вам нужно серьёзно задуматься: компьютер - это моё?

я так и делал, но не всегда, спутники агенты и т.д. никогда не использую. Вообще деньги украли именно тогда когда я на биржу не заходил, я на 3 месяца забил просто и на заходил, по истории почты посмотрел что украли через месяц как я перестал заходить туда, а через 2 месяца я увидел что пароли изменены, так как почта эта у меня тоже использовалась только для биржи а не личная. Поэтому я думаю что украли именно их сотрудники. Их же поддержка не хочет говорить кто на паер вывел доллары. И куда.

В этом то и кроется ответ на вопрос почему биток и крипту в общем не используют в массах. Для того, что бы комфортно и безопасно пользоваться системой нужен определенный порог знаний для вхождения. Вы хоть с этим ознакомлены https://btc-e.com/news/190 ? Это самый минимум.

именно это все я знаю, у меня на работе мак и по ссылкам никогда не хожу, а дома виндовс, но чистый не пользуюсь никаким софтом левым, вообще не люблю когда левые программы что-то мне хотят предложить я таких даже не устанавливаю и по ссылкам не перехожу, собственно вообще по сайтах не шастаю левых. двойная аутентификация я не хотел использовать так как доверял этой бирже. Да и вообще у меня намного больше денег на пейпале было но их то никто не тронул, именно бтц-е замутило что-то они сами это наверно делают.

Так там сказано, что нужно использовать почту Gmail и черным по белому написано не рекомендуется mail.ru. Палка привязана к карте банка ты думаешь банки не обворовывают ? Еще и как просто они это тщательно скрывают, что бы не портить репутацию, а убытки покрываются нашими % которые мы платим за услуги и деньгами которые мы держим на депозитах в крипте этого нет. Надо было и сидеть с мака на работе там же и почту создавать с профилем, а не с домашнего компьютера тем более под windows. У меня под биржу отдельный терминал не на windows двухкратку не использую антивирусов тоже и уверен в своей безопасности где то на 97% без учета того, что и биржу и гугл могут взломать 100% защиты от взлома думаю, еще не кто не придумал.

qwerty22, для начала поищите себя здесь. https://bitcointalk.org/index.php?topic=776234.0
Затем насчет касперского. За все время наблюдения биткоин+касперский мной было замечено около 5ти инцидентов вроде вашего. Выборка конечно маленькая, но все же... Ну и третье. Вашей вины конечно нет, но можно было погуглить
 взлом+btc-e
 перед тем как выбирать емейл или забывать про свой акк

спасибо, та я если честно не особо на это время имею, просто мне посоветовали и закинули мне деньги, я их нарастил в 3 раза, просто времени жаль потерянного. У меня мейл ру уже 10 лет. доверял им.

Жесткая привязка BTC адреса для вывода. По желанию. С дисклаймером типа "я ознакомлен с правилом использования биткоин-клиента и экспортировал приватный ключ от этого адреса на несколько носителей в разных местах"

а что баксы выводили??  :o
доступ к аккаунту биржи есть?

доступ к почте и акаунту биржи я востановил сам, доступ есть, выводили доллары, биржа ни выдает мне даже данных кто и куда вывел.

А долго растил? В 3 раза не шутка.  8)
В любом случае особо не стоит жалеть, получил опыт...

Очередной пошёл  :-\
https://bitcointalk.org/index.php?topic=396629.msg11044923#msg11044923

Прочитал тут сверху. Если человеку не дали инфу куда вывели фиат, то чего уж про мой случай говорить. Кстати мне достаточно сапорт сухо отвечал типа, проверьте свой комп на предмет безопасности в сети. Спросил про сессии на 6 апреля, может подозрительная была параллельно или что-то в этом духе, ответа не последовало. Тоесть по-сути в интересах биржи максимально разобраться и помочь (я не имею ввиду возврат битков). Хотя никогда не исключается кража среди сотрудников, у нас в сберах во всяких встречаются, за примерами далеко ходить не нужно...

В общем ответили правильно, безопасность зависит от вас в первую очередь.

Не знаю ни одного случая возврата. Интересно, был ли хоть раз такой прецедент. ;D

Ну если по вине биржы что-то произошло должны по идее. Хотя что такое по вине биржы, это значит что ей кабздец, потому что при таких взломах там ничего не остается обычно))

Вроде было, просто на тот раз был добрый хакер, он пойманый улов обратно в озеро отпускал, видимо чтобы наросла жирком и подросла, мелковата была, для требовательной жены хакера это не улов был, сказала бы фи какая ерунда сегодня, больше не приноси такую мелочь))

Из-за таких добрячков кооператив озеро и разросся на 1/8 часть суши постепенно, давно бы им исправить ситуацию бы))
Но видишь беда не та рыба всё идёт, им бы крупную ловить не мешало хоть иногда))
У вора Сердюкова миллиард бы сняли - все бы рады были, если бы хоть часть на дело пошло))

В этой фразе либо год либо месяц неправильный.