Bitcoin Forum

Всем здравствуйте, начну с того что пол года назад я скачал кошелек electrum и пользовался им успешно до сегодняшнего дня, сегодня я решил зайти в свой кошелек проверить свой баланс, потом я вышел и зашел через 10 минут, моя транзакция уже уходила и было 2 подтверждения, сразу скажу что я качаю всё только с официальных сайтов, версия моего кошелька была до  3.3.4. по левым ссылкам я не перехожу, в курсе всех этих тонкостей. Пароль состоял из 40 символов никому я его не передавал кроме меня его никто не знал хранил его в голове! и да если это имеет значение то я использовал linux ubuntu. В итоге украли все мои накопленные деньги, неужели это так и останется ?

aнaлoгичнaя cитyaция, кoшeлeк-дыpявoe peшeтo. Hиктo тyт ни зa чтo нe oтвeчaeт. Щac тeбe экcпepты 1000 ccылoк нaкидaют чeгo дeлaть нe нaдo былo. Чepeз гoд eгo oпять взлoмaют или чтo нибyдь пpидyмaют , мы oпять ocтaнeмcя бeз дeнeг.

OP, if you want more/better answers, please either ask in the forum of your language (Russian?), either ask in English.


Google translate:
OP, если вы хотите получить больше / лучше ответов, пожалуйста, спросите на форуме о вашем языке (русском?), Или спросите на английском.

Hmm, version 3.3.4 should be safe from phishing scam but having a very long passphrase doesn't guarantee your fund's safety especially if your SEED was already leaked before that incident.
It's very hard to tell what happened but to give you somewhere to start, verify the signatures of your current Electrum or/and the previous version(s) if you've updated it.

By the way, the transaction already had 2 confirmations, so there's no way to reverse it.

In Russian: Translated with www.DeepL.com/Translator

Пароль от кошелька или парольная фраза к сиду (так называемое 13 слово)?
Файл кошелька запаролен (при входе пароль требует)?
Где хранился сид? Какая версия Electrum у вас стоит?


В тои, что вы попались на фишинг, по большей части виноваты вы сами. Вы же сами скачали фейковый электрум и поставили себе на комп? Тут другая ситуация.

Пароль в 40 символов держать в голове?... К тому же, вводить пароль для просмотра баланса...
Это не похоже на правду.

Адрес кошелька - в студию!

sed фраза была записана на листке, пароль был в голове и требовался перед входом-выходом в кошелек, и при выводе биткоина.
Версию не помню, установлен он был 15.02.2019 смотрите сами какая была на тот момент.
P.S Еще хочу внести дополнение что выведенные деньги продолжают лежать четвертый день на неизвестном кошельке.

то есть сид-фраза никогда в комп/телефон не вводилась (ни в виде текста, ни в виде фотографии), а листок, вы уверены, никто, кроме вас увидеть не мог?Я посмотрел - 13.02.19 вышла версия 3.3.4. Но интересно именно то, какая версия у вас написана в заголовке окна или в "About".Это обычная практика, вору незачем торопиться двигать средства дальше.

Не вводилась. Никто не мог!
Версия 3.3.4

Из имеющейся информации наиболее логичным кажется вариант с кражей файла кошелька (это могло произойти раньше) и сейчас пароля через keyloger итп.. Потому что если бы был украден сид, то не было бы нужды ждать, пока вы введете пароль. Но в линукс, имхо, затруднительно удаленно установить "шпиона". К компу, кроме вас, доступ имел кто-нибудь разбирающийся в этой теме (может, в ремонт отдавали)?

Никто доступ не имел

Тогда я пас пока. Конечно, я понимаю, вам хочется свалить вину на какую-то "дыру" в электруме. Но вероятность этого минимальна (если это так, то обязательно должны быть подобные случаи, которых пока нет). Конструктивней искать ошибку в безопасности у себя. Если у вас появятся какие-то мысли/подозрения, напишите здесь, если не трудно - это может быть полезно другим.

Как раз таки здесь горе от ума. Если ОП "упростил" администраторские права (в сети полно инструкций от "умных" людей), то Линукс превращается в дырявое решето, в разы более дырявое чем даже Виндовс. Или если не стоит пароль / или же qwerty123 , тогда Линукс хуже чем винда.

Автор, в Линуксе ты случаем не расшаривал админские права на всех юзеров? Это когда в консоли уже не надо вводить "sudo" и следом пароль. И стоял ли у тебя пароль на вход в операционку?

Какие то чудеса Вы нам тут рассказываете, но пока это только слова, мало похожие на правду...
Я повторю свою просьбу. Предъявите адрес кошелька. Блокчейн - врать не будет...
или слабо?!

Там он не Электрум фейковый скачал, а у него была старая версия, которая была неустойчива к недавней атаке, когда кошелек подключается к серверу злоумышленника, сервер запускает код в клиенте кошелька, и человек часто просто кликает обновиться.

Здесь на самом деле реально довольно таки хитрый способ, и не сказал бы что вина полностью на стороне этого челика. Это тебе не зайти на сайт allsoftware.ru и скачать оттуда Электрум, это блин фишинг нового уровня, к нему устойчивы процентов 5 населения Земли.

...и качает, а главное - без проверки запускает фейковый Электрум ).Я и не говорил, что вина полностью его. Конечно, часть вины и на разработчиках, и на сообществе, вовремя не разглядевших потенциальную опасность в фиче. И да, способ действительно изящный, тут почти каждый мог попасться на эту уловку. Поэтому я везде, как попугай, повторяю: "Всегда проверяйте PGP-подпись софта, связанного с деньгами (да и прочего тоже желательно, но ладно...). Это лучший способ не стать жертвой даже самого хитроумного фишинга".

А я не уверен что сам бы так не сделал. проверка подписи изначального файла установки - это по классике для меня. Но вот трястись и думать от кого идет обнова, ну это уже как то слишком фольго шапочно. Кто ж знал что к интерфейску кроме разрабов имеет доступ любой говно сервер к которому подключается кошелек.

Единственное, что могло бы остановить - говно сайт. я уверен такое еще можно заметить будучи достаточно внимательным.

Вообще, такой способ фишинга это уже не хакинг, а соц инженерия в чистом виде. Ну кому в голову придет что запросы на обновы в приложении могут приходить не только от разрабов?

В чем проблема? Если "кoшeлeк-дыpявoe peшeтo", то Вам сюда - https://shop.ledger.com/.
Никто здесь никого не заставляет устанавливать именно electrum...и эксперты точно плохого ничего не посоветуют.

В общем, в который раз приходим к выводу, что нельзя хранить какие-то значимые суммы на горячих кошельках ).

Да какая то мутная история + топик-стартер не предоставил никаких пруфов, как и автор второго поста.

Всем хочется и хотелось даже в тот момент, когда Твиттер и Реддит трещали по швам от новостей об атаке на серваки Электрума. Но пофиг, ВТС поступали на аккаунты хацкерят еще пару дней. Что не говори, красиво сделали.

Вроде эта уловка была только на Винде, не? В день атаки я отправлял какую то транзу. Мой Электрум (до обновления) что то долго коннектился, но потом законнектился и работал как всегда, то есть отлично. И я не получал никаких всплывающих окон и предложений обновиться.

До сих пор поступают. А тогда, в конце декабря, конечно, мрак был. Меня особенно впечатляли суммы - 83 битка, 27... Как такие деньги люди держат на горячих кошельках без страховки в виде мультиподписи хотя бы?Кажется, для всех платформ было.Там же далеко не все сервера фейковые были, вы случайно попали на правильный, вам повезло ).

Гмм, тогда какой формат пакета качался, .deb? А если кто то на Арче сидел, или Федоре, или.. Генту? Или исходники качались?
AppImage вроде как после всей этой истории появился... (могу ошибаться)

Кажется, .tar.gz. Но не уверен, завтра попробую поискать.Да, впервые появился в 3.3.4.


update

TheFuzzStone, вот здесь (https://blog.malwarebytes.com/cybercrime/2019/04/electrum-bitcoin-wallets-under-siege/) на некоторых скринах видно, как выглядели фейковые страницы.
А здесь (https://github.com/spesmilo/electrum/issues/5350#issuecomment-498743555) чел пользовался Linux Mint.

Красиво  :):

https://blog.malwarebytes.com/wp-content/uploads/2019/04/fakeupdate.png

И как бы столько народу не смутило electrume... Хотя файлы качались electrum, хитро.  ;)

Сайт electrumpad уже не работает... самому не проверить. Спросил того чувака в комментах.

Нет, оно везде работало, так как у Електрума старых версий есть возможность запускать гуи код любому. Там главное было законнектиться к серверу злоумышленника (или серверам?) вот тогда происходило веселье.

Понял. Ну, теперь мне интересно в каком формате качали юзеры Линукса. Со стороны хацкерят самым умным решением было бы запилить AppImage, чтобы как можно больше охватить Линукс-аудитории.

Там же видно на скринах по моей ссылке, что формат был тот же, что и на оф.сайте, то есть исходники. Это тогда. В последнее время, возможно, добавили и AppImage (логично было бы, раз на оф.сайте он появился).

Да, действительно. Когда первый раз смотрел, чёт пропустил этот скрин.
Ну, кто-то скомпилировал себе подарочек...

Да какая там компиляция в питоне? ). Так, копирование файлов практически...


Сейчас увидел этот (https://www.youtube.com/watch?v=bn_mnZQUTFY) ролик. Там на 1:30 видно, что в превью транзакции адрес назначения явно левый. Как можно даже в превью транзакции не глянуть для сверки адреса? Таким и аппаратник не поможет ).

ну а как клипперы работают? Тоже на этом, человек копирует адрес, вставляет. То, что вставляется совсем другой адрес, многих не волнует. Ну тоесть я всегда сверяю то, что в отправке и то, что мне дают для оплаты например. Но многие чисто на автомате могут такое пропускать.

Я и говорю, они и на аппаратнике, наверное, кнопку на автомате нажимали бы.

У меня раньше было представление, что в данном случае хакерами тщательно разработана операция, и всё подготовлено максимально безупречно (они же там даже ддосили легальные сервера несколько дней, а это, я так понимаю, недешево). А оказывается, они не смогли дописать пару десятков строк в свой фейковый клиент, чтобы он не выводил на экран левый адрес и прочую разоблачающую их информацию. Разве трудно было это сделать? Слава богу, конечно, что так, иначе жертв могло бы быть гораздо больше.

Клипперы - это которые содержимое буфера обмена подменяют? Насколько я понимаю, там сложнее, там нет возможности вмешиваться в работу атакуемого ПО. А здесь вся программа заменена на свою - делай, что хошь.

У меня с самого начала знакомства с криптой выработалась привычка проверять первые и последние 4 символа.

+1, патамушта Леджер/Трезор нильзя хакнуть!

Возможности нет, но клиппер может очень долго быть незамеченным. Там идет сверка по строке, и если допустим в буфер копируется не адрес, то клиппер даже не реагирует.

По поводу фейкового клиента: ну а зачем заморачиваться если и так работает то?  ;D
Здесь опять таки, более социально инженерийный аспект включился. Многие как овцы себя повели.

Конечно имеет значение. Благодарю вас.

Ну на самом деле, атака на Електрум была практически идеальной, притом вот в статье приводятся совсем другие скрины - https://decenter.org/ru/problemy-electrum

Там в тех скринах ссылка была на гитхаб, только вот там был electrum-org а реальный гитхаб електрума - spesmilo/electrum
Все блин слишком на правду было похоже. Но да, те, кто проверил подпись могли бы спастись. Про чексуммы смысла говорить нет, думаю вы понимаете почему.