Bitcoin Forum

Около месяца назад я проснулся и увидел на экране телефона множество транзакций, связанных с моими эфирными адресами
Я сразу понял, что это взлом, и средства утеряны. Надо сказать, это было около 30% моих средств в крипте
Самое ужасное в тот момент было, что видеть, как хакер прямо на твоих глазах уводит все с кошельков, но это нельзя остановить

https://i.pinimg.com/564x/f0/25/04/f02504d8ef9616b1ce939870679a6cd6.jpg

Все это время я анализировал причины и способы как этого избежать
У меня родился пост с разбором ошибок


Как меня взломали?

На самом деле хак стал возможным из трех факторов:

• Моя невнимательность, когда я сохранил и забыл сид от МетаМаска в Evernote
• Моё секьюрити-невежество, когда я позволил себе ввести данные в небезопансой сети и не имел 2FA
• Незащищенность Evernote, которые никак не смогли меня обезопасить от незнакомого входа

Но обо всем по порядку

Меня взломали, получив доступ к моему менеджеру заметок Evernote. Хакер с помощью бота проверил весть аккаунт и нашел сид-фразу в заметке, которую я создал 5 лет назад и совершенно про нее забыл. Я сам уже забыл и не знал, что она там есть.

Хорошие новости в том, что они не взяли никакие NFT.

Как он(и) получил доступ к моему Evernote? — я до сих пор до конца не понял. Приоритетная версия — я ввел данные аккаунта, находясь в небезопасной сети. Вторая версия - взлом самого Evernote, о чем свидетельствует странное поведение их системы. Но в сети новостей об этом я не нашел

Интересно то, как отработала защита Evernote — в ночь проишествия мне от них пришло письмо, что “В ваш аккаунт выполнен подозрительный вход. Если это вы, нажмите на кнопку в письме”. Кнопку я не нажимал, но доступ они все равно получили. Конечно, почту я тоже проверил от взлома, но там не было незнакомых логов.


https://i.imgur.com/jFjs20E.jpg


Позже, Evernote мне сообщили, что кнопку никто не нажимал, *access was later gained via a login attempt that didn't meet the criteria to generate a notification to your email address*  — то есть вошли так, что нотификейшн просто не пришел на мою почту. Как это могло произойти, в компании рассказать отказались

Письмо пришло в 3:46. Первая операция на кошельке состоялась в 4:43

За это время, хакеры зашли в заметки, просканировали их и взломали ММ

То есть сделано быстро и с пониманием

Но вот дальше, они забыли вывести NFT, чем я и воспользовался. Правда, они это движение обнаружили и вывели бесполезное NFT от Coinlist



Как защититься?

• Понимать, что публичная сеть — это опасность,
• что незапароленная сеть может быть подставной
• Небезопасное соединение — уже не просто опасность, а критический риск
• Не жать по непонятным ссылкам, не участвовать в подозрительной халяве и тд.

Поэтому нужно

• Установить надежный антивирус;
• Не хранить ничего важного в облаках
• 8) Везде включать 2FA аутентификацию
• Дополнительно можно страховаться hardware 2FA вроде YubiKey (https://www.yubico.com/products/) (например, для защиты аккаунта Google, к которому привязаны все 2FA)
• Установить плагин, который шифрует все соединения по протоколу HTTPS (лаборатория Касперского советует HTTPS Everywhere (https://www.eff.org/HTTPS-EVERYWHERE));
• Отключить автоматическое подключение к Wi-Fi сетям (по крайней мере, незнакомым);
• 8) Не подключаться к сетям без шифрования (”небезопасная сеть”);
• Использовать VPN для шифрования данных в публичной сети
• 8) Любые важные данные в общественном месте лучше вводить вообще через мобильную сеть (personal hotspot);
• 8) Использовать менеджер паролей — он позволяет генерировать сложные пароли и надежно их хранить*
• Блокнот только для записей, что где хранится, в каком-то зашифрованном виде
• Не использовать приложения типа Metamask, которые хранят все адреса под одной сид-фразой. Если хакер получит доступ к сид-фразе, он получит доступ ко всем средствам сразу.
• 8) Hе хранить сид от Metamask — достаточно хранить приватные ключи адресов
• Еще лучший вариант — использовать приложения, которые привязывают кошельки к разным сид-фразам (1inch Wallet или Zerion**).

*их тоже взламывают — не так давно был утекли данные LastPass (https://twitter.com/udiWertheimer/status/1606501962526097408). Я выбрал менеджер Keepr по совокупности отзывов на приложения iOS и Chrome.



Что делать, если взломали Metamask?

Если мы говорим про Metamask — вывести все c тех привязанных кошельков, откуда хакеры не вывели (ну а вдруг). Естественно, это должен быть кошелек, не привязанный к этому ММ . Это единственное, что можно сделать в момент хака.

Дальше можно для успокоения души оповестить поддержку Metamask, MEW, etherscan, бирж о кошельке хакера, но этим меры врядли не принесут результат

Я не нашел какого-то (де)централизированного сервиса для репортов на кошелки хакеров

Заявление написать в полицию тоже можно — ведь хакеру как-то придется выводить деньги, а при выводе он засветит свою личность. Но я не уверен, что кто-то будет этим активно заниматься.

Ну а дальше завести новый кошелек с учетом ошибок




Друзья, если вы можете как-то дополнить мой пост или просто оставить отзыв — буду рад увидеть в комментариях

У метамаска есть одна особенность, которую можно считать как багом, так и фичей,... если злоумышленник сможет завладеть сидфразой, то у него будет доступ ко всем Вашим адресам, в том числе и к новым. Но если Вы импортировали адрес, то к этому адресу нельзя получить доступ по сидфразе. Если Вы сгенерируйте себе в какой то другой программе, например, в MEW, несколько адресов и импортируете их в метамаск, то сидфраза не даст к ним доступ. Хранить на компе или в облаках ни чего не надо. Я всё храню в на флешках и в блокноте с избыточным дублированием.

Хранить в метамаске все свои адреса тоже не стоит. Импортировать или удалить адрес - минутное дело. Если это Ваш "сберегательный" адрес и Вы пользуетесь им 2-3 раза в год, то зачем его вообще держать в компе?

Занятно, так как я тоже не так давно получал два уведомления, но не о попытке войти, а о том, что запрошена смена пароля. Это было два раза с промежутком в несколько дней:
1. 19.12.2022
2. 23.12.2022

"Ломают" подумал тогда и просто удалил их. Затем решил как-то зайти на сам сайт (на котором я ничего не хранил никогда, регистрировался просто интереса ради) и после логина мне Evernote говорит

Не странно ли? Ну ок, сменил пароль и удалил аккаунт, чтоб не донимали больше.

скорее всего нужны более радикальные меры, смена устройства, хардрезет хотя бы

Edit. Моя теория в том, что нам подсовывают "обязательные" по новым законам приложения с бэкдорами. Совет не ставить "послевоенные" обновления может и не сработать.

Я тоже иногда храню сид и приватники в текстовых файлах для разных новых монет, но суммы на этих кошельках мизерные.
Столько слов и рекомендаций, а неужели не было 80-150 долларов на леджер?  Если очень нравится управлять с телефона, nano Х спас бы от взлома.

Название топика некорректно: технически говоря Metamask никто не взламывал, а взломали облачный менеджер заметок Evernote, в котром в недавнем прошлом предлагались такие интересные нововведения: Evernote’s new privacy policy allows employees to read your notes (https://techcrunch.com/2016/12/14/evernotes-new-privacy-policy-allows-employees-to-read-your-notes/?guccounter=1). Я не удивлюсь, если во "взломе" поучаствовал один из работников Evernote, которого заинтересовал набор слов, похожий на сид-фразу. Если бы она хранилась в зашифрованном виде, то хака удалось бы избежать, но кто в здравом уме отправляет заметки в зашифрованном виде?

Я так понимаю эти советы касаются эфириумных кошельков (где одна сид-фраза соответсвует одному адресу), потому что обычно манипуляуии с одинарными ключами не совершают, ведь это крайне неудобно. Сид-фразу и изобрели, чтобы иметь возможность генерировать адреса пачками и для нескольких десятков блокчейнов, и отказываться от ее использования глупо. Как Вам уже посоветовали, купите аппаратный кошелек, который специально предназначен для безопасного хранения сид-фразы и интерактирования с блокчейном. Лучше надеяться на него, чем на шпионское ПО, скрывающееся под видом антивируса.

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

https://bitcointalk.org/index.php?topic=5407489.msg60623511#msg60623511
Добавьте этот приватник во все свои облачные блокноты, пусть взламывают до бесконечности.

Тут тоже есть свои риски, например, такие катастрофические события, как пожар или обрушение дома в результате взрыва газа, например.

Да даже серьёзное подтопление может уничтожить листок бумаги.

Также его может выбросить какой-нибудь родственник или съесть домашнее животное.

Я уже не говорю о таких ситуациях, как ограбление или обыск. Сейчас неприкосновенность жилище - это во многом иллюзия. Захотят - ты всё перевернут, уничтожат, а могут понять что это такое на самом деле и и просто перевести сатоши на свой адрес. С бумажными носителями тоже проблем хватает. И они не такие уже и надёжные.

Любые серьезные web-ресурсы должны иметь защиту против атак перебором, если в течении определенного времени наблюдается необычная активность вроде ввода паролей, то врубаются разные защитные механизмы. Я вот к примеру пытался автоматизировать скачивание коллекций из Yandex Translate и воодил пароли не так часто (примерно 1-2 раза в минуту), но аккаунт заблокировали меньше чем за пять минут. Не думаю, что облачный сервис типа Evernote совсем плох в этом плане, так что инсайдерская работа остается более логичным вариантом. Хранить пароли на листочке бумаге - это опредленно безопасней, чем облачный сервис, но если не пользоваться компьютером вообще и жить в пещере как в каменном веке, то хакерам вам вообще не достать.

Риски есть всегда. По этому я советовал продублировать пароли на несколько листов и держать их в разных местах. Просто банально попробуйте вспомнить, сколько раз в сети вы натыкались на посты о том, как кто-то словил вирус или его взломали, и найдя пароли, украли средства. И сколько раз люди писали о том как потеряли средства, потому что кто-то нашел где-то на спрятанный лист с паролями. По моему первые случаи преобладают на вторыми.

Конечно данный способ не идеален, универсален и имеет свои изъяны. Но я чаще встречал случаи кражи паролей с компа, а случаи потери паролей по принципу "потом, пожар, собака съела, выбросили, ограбление, обыск, человек нашел и воспользовался" относились больше к каким-то курьезным или особым случаям.

Я часто теряю пароли, потому что теряю какую-то бумажку или что-то в этом роде. То есть у меня на практике такое бывало неоднократно. Забывал даже важные пароли, выкидывал записные книжки и так далее. В централизованных системах можно восстановить по телефону или вспомнить свой старый e-mail, а вот с криптовалютой это не прокатит.

Недавно на форуме наткнулся на тему, когда пользователь потерял доступ к биткоину, потому что у него был пожар.

Его бумажный блокнот с сидом сгорел, аппаратный кошелёк оплавился.

То есть разные ситуации бывают, особенно в наше непростое время.

Ну и случаи взлома компьютеров конечно тоже очень огорчают. Особенно когда взламывают таких опытных пользователей, как разработчик bitcoin core. Уж он-то казалось бы должен был всё предусмотреть. По-хорошему у него мозг должен быть именно на это заточен.

Но оказалось всё не так, и риск существует всегда.

леджер есть, принципиально им не пользовался, тк постоянно подключась туда-сюда, с ним теряется мобильность. но это совсем другая тема


это то, что я держу в уме, когда выбираю между хранением на бумаге или онлайн. от всех кейсов не застрахуешься

У меня несколько сид фраз было записано в "записках" в самусунге. интересно их только хакеры шерстят? как прочитал твой пост, сразу удалил оттуда :) давно хотел это сделать да все никак, признателен за то что отвесил мне магического ускоряющего пендаля.

У меня правда не было никогда смартфона samsung. Однако могу предположить, что записки эти завязаны на какое-нибудь облако или синхронизацию. Сейчас же оффлайн записок никто и не делает. Тем более если это часть экосистемы фирмы samsung.

А если там есть синхронизация и облако, почитать эти записки могут очень многие люди, и не обязательно хакеры.

Вот недавно google документы взломали, все выложили на обозрение.

Поэтому Сид который побывал в таком общедоступном можно сказать блокноте, нужно заменить.

Перевести деньги на другой кошелёк потихоньку. На кошелёк с другим сидом. ИМХО.

Пароли, записанные в Блокноте и хранящиеся на компьютере, и подобные ситуации - это всегда приятный сюрприз для хакера, получившего доступ к компьютеру.

Иногда перекидываю через телегу приватники и сид фразы между компом и смартфоном, потом удаляю, мне так быстро и удобно. Интересно их тоже могут вскрыть как то если взломают телегу?

Да, думаю легко.... Во первых сиды и приватники нужно вводить, а не копировать.
Если их копировать, то информация попадает в буфер обмена а буфер обмена - это очень уязвимое для хакинга пространство.

Телега тоже непонятная тема. Начиная с того что ранее по умолчанию, она показывала всем заинтересованным лицам, номер телефона человека не скрывая его. То есть защиты там никакой нет.

Можно предположить что с телеги можно сделать скриншот, по умолчанию.

Да наверное много уязвимостей есть, которыми хакер может воспользоваться.

К Телеге вообще никакого доверия нет.

Прочитайте этот тред на Реддите: https://www.reddit.com/r/Telegram/comments/ffkef3/can_telegram_staff_or_admins_see_my_saved_messages/

Если вкратце, то там говорится, что заметки Телеграм хранятся на серверах в зашифрованном виде, и при желании их могут расшифровать, потому что у работников Телеграм есть доступ к ключам. Если вы удалите сид-фразу из заметок или сообщений, то далеко не факт что она исчезнет и с их серверов. В худшем случае, она будет храниться там очень долго и со временем попадет не в те руки. Иными словами, если вы кидаете сид-фразу от кошелька в Телеграм, то кошелек становится зашквареным навсегда, то есть пользоваться им потенциально опасно.

Возможен такой сценарий:

1) В вашей стране вводят запрет на использование биткоина
2) Правительство обращается к руководству телеграм с требованием передать все сид-фразы, которые поступали на сервера с IP-адресов этой страны
3) Все переданные сид-фразы конфискуются и все средства утекают в бюджет

Да, telegram похоже со всеми правительствами сотрудничает. Если bitcoin будет запрещён, то он предоставит всю информацию, связанную с биткоином компетентным органам.

Павел Дуров только в начале играл в Нео, а потом стало понятно что он прежде всего бизнесмен,  и как бизнесмен он вполне договороспособен.

Что касается ситуации, когда сотрудники компании передавали данные или использовали для своих целей, то это очень часто встречается.

Тем более с биткоином всё очень просто. Создать новый адрес с помощью Сида который является ключом ко всему, перевести все деньги на этот Новый адрес.

Всё же очень просто...

Никто не мешает использовать всякие заметки и облака предварительно зашифровав свои дела, благо инструментов полно. Контейнер Veracrypt например можно замаскировать под видеофайл, а расшифровку делать с помощью mp3 файла любимой песни.

Кстати дайте ссылку про взлом гуглодоков, а я чего-то пропустил похоже.

Это достаточно старая история, там Yandex проиндексировал  Google Docs пользователей, в результате скачали кучу всяких документов.

А кто-то не только скачивал, но и редактировал. Там тоже была такая возможность.

Кто-то нашёл приватные ключи к криптокошелькам, и данные банковских карт.

Было сообщение о выложенной базе проституток с информацией о ценах и откатах, а также сколько раз надо стучать в дверь чтобы тебе открыли.

https://info24.ru/news/jandeks-vylozhil-v-otkrytyj-dostup-dokumenty-google-docs.html

Ну это даже взломом то не назвать, раз пользователи сами держали файлы с правами "доступно всем и вся".

Другой пример — Он скачал программу по ссылке, которая была закреплена вверху рекламой Google

Потом скаманули его соцсети и увели всю крипту

К вопросу о пользовании Windows

https://twitter.com/NFT_GOD/status/1614442000958324739

https://i.imgur.com/SNXZiBx.png

Реклама выскакивает на всех ОС, даже на тех у которых "нет вирусов", но все это решается банальной установкой UBlock Origin. Или в крайнем случае можно делать закладки, попутно проверяя каждую ссылку на которую вы кликаете. Но здесь случай интересный, потому что человек явно не понимает значений слов "холодный" и "горячий" кошелек. Он говорит, что у него Леджер установлен как горячий кошелек. Допустим, он импортировал сид-фразу из Леджера куда-нибудь еще и тем самым скомпрометировал ее. Но потом он говорит, что из-за этого ему надо покупать новый холодный кошелек, чтобы обезопасить свои средства. По-моему он не знает, что аппаратные кошельки можно из горячих снова превращать в холодные и сид-фразы можно генерировать сколько угодно раз.

У меня, как у длительного маковода, назрел банальный и простой вопрос о Windows - какой антивирус советуете установить? Мое знакомство с Windows оборвалось на эре ХР/7. Так без антивируса было просто не обойтись. Вчера стал обладателем нового ноутбука с лицензионной Windows 11. Стоит ли туда устанавливать антивирус (помимо bloatware McAfee), ведь система и так по любому поводу все запихивает в карантин/ограничивает доступ/спрашивает по несколько раз перед установкой?

При всём моём уважении к покойному Джону, мне антивирус McAfee не очень нравился. Раньше он был предустановлен на многих ноутбуках с виндой.

Но я его сносил и пользовался вместо него разработанным антивирусом от самой винды.

Мне очень нравилось как работает этот антивирус, он был не агрессивен, в том смысле что не жрал ресурсы системы, но своё дело знал. Вирусы ловил. Отзывы о нём в интернете тоже были хорошие.

Сейчас уже не помню как он назывался, вроде его нужно было скачивать дополнительно с сайта винды. И не уверен, что сейчас он есть, можно его поддержка уже прекращена.

Но он оставил после себя хорошее впечатление.

Вопрос надо по другому ставить, а именно нужна ли вам, как достопочтенному маководу, вообще на ноутбуке Windows? Может ну её, да и можно попробовать вернуть стоимость предустановленной винды назад, тем более прецеденты уже были:
Возврат предустановленной Windows: Lenovo должна выплатить 20 000 евро в качестве компенсации ущерба (https://habr.com/ru/post/548242/)
Как вернуть деньги за OEM-Windows (https://3dnews.ru/580250)
Возврат/отказ от предустановленной операционной системы (https://answers.microsoft.com/ru-ru/windows/forum/all/%D0%B2%D0%BE%D0%B7%D0%B2%D1%80%D0%B0%D1%82%D0%BE/d404403a-d08d-4430-9004-f66d6658a52a)
И т.д.

Да и установите какой-нибудь дистрибутив linux типа Elementary OS (которая близка к MacOS как по архитектуре, так и по интерфейсу):

https://itsfoss.com/content/images/wordpress/2020/01/elementary-os-hera.png

Но, если вы действительно хотите эффективный антивирус, живёте не в подсанкционной стране (то есть имеете выбор и возможность оплату элементарно провести), то рейтинги с тестов в помощь:
Обзоры и тесты антивирусов (https://www.comss.ru/list.php?c=reviews)
Спойлер: встроенный виндовый антивирус, естественно не является самым эффективным.

Да, вот как раз Microsoft Defender использовал. Мне он нравился, иногда он всяких червей троянов ловил, помещал их в журнал, это вроде такая изолированная среда, я потом про них читал что эти зловреды могут делать, ужасался  конечно, не припомню с ним каких-то проблем.

Хотя я конечно не эксперт в области кибербезопасности, и мне трудно оценить качество того или иного антивируса.

Но я с ним так достаточно плотно возился. Обновлял его периодически, периодически делал полную проверку системы.

Может это конечно была иллюзия что я был в безопасности. Но тем не менее Мне он нравился на тот момент.
 

Благодарю за ссылку. Ноутбук на ОС Windows был выбран по следующим критериям - покупать имиджевую печатную машинку за 1500+ евро не хотелось, а хотелось мультимедийное устройство, на котором подрастающее поколение могло и в игры поиграть (до самостоятельного скачивания и установки оно еще не доросло, но необходимо чтобы была возможность играть "в те самые популярные игры что играют сверстники и ютуберы". если у Вас есть ребенок, то Вы меня отлично поймете). Заморачиться с Parallels желания нет.

Бесплатный антивирусы я не рассматриваю. "Касперский жрет много ресурсов компа" из меня еще не выветрилось. McAfee - может он и не плохой, но уж очень он забил систему своим предустановленным софтом. ESET мне всегда импонировал, но из обзоров можно сделать вывод, что и встроенный Microsoft Defender Antivirus ничем не хуже. Иметь два антивируса - как-то не логично, почему тогда не 3 или 5 уж сразу? А если учесть, что всегда можно случиться "захотят взломать - взломают", то можно вообще не защищаться.

Если вы на этом новом ноутбуке не планируйте иметь дело с криптой, не планируйте создавать там аккаунты свои, то и заморачиваться сильно с защитой на мой взгляд не стоит.

Microsoft Defender Antivirus - определённые свои функции выполнит.

Тут же главное не качать ничего лишнего, не переходить по ненужным ссылкам и не заходить на слишком зашкваренные сайты.

Ну а даже если что-то словите не то, то всегда можно переустановить систему.

Ничего страшного в этом нет.

А вот если там будут какие-то дела по крипте, то тут Хандри вам правильно сказал, что лучше вообще с виндой дела не иметь. Неважно какой у вас будет антивирус.

Хотелось бы вставить сови 5 копеек в копилку советов по безопасности.

• Насчёт аппаратных кошельков: не использую аппаратный кошелёк по той причине, что его надо заказывать на свой физический адрес. Кто-то скажет, что надо заказывать его на адрес дропа, но как по мне, это лишь немного повышает безопасность.
• Если собираетесь хранить более-менее крупные суммы на кошельках для пк - заведите отдельное устройство с линукс и не давайте его никому в руки. Дорого? Я думаю, если посмотреть на случай топикстартера, у него он уже окупился бы.
• Тоже касается операций с мобильного устройства - для крипты отдельный девайс с максимально выпиленным всем чем можно.
• Соблюдайте прочие требования безопасности - сильный пароль, шифрование диска, не использовать один пароль на разных сервисах и кошельках, не ставить на комп никакого ПО, не связанного с криптой и безопасностью.
• Используйте менеджер паролей типа keepassx, мастер-пароль лучше сделать сильным и запомнить, на всякий случай записать в надёжном месте. Органическая память не надёжна.
• Используйте VPN. Не советую покупать какой-либо платный VPN, арендуйте VPS и запустите там что-то типа amnezia vpn, это отдельная тема.
• Основную долю крипты лучше хранить на холодном бумажном кошельке. Биржа может скамануться, устройство взломаться или его украдут, а украсть с холодного кошелька нереально.
• Заведите пару флэшек для бекапов и храните бэкапы в шифрованных архивах или на шифрованных томах типа веракрипт. И бумажный архив не помешает.

Вот, возможно что-то забыл, но основное вроде припомнил.
Не претендую на истину в последней инстанции, просто моё видение вопроса.

Прям такие принципиальна покупка аппаратного кошелька непосредственно на официальном сайте производителя? Почему бы не купить аппаратчик у официального реселлера? Тогда и вопросы с коннектом вашей активности и физического адреса практически исключены.

Имеется ввиду оффлайн-магазин реселлера? Вариант, но не у всех есть возможность добраться до этого места.

Да, раскрывать свой физический адрес только для того чтобы купить аппаратный кошелёк это не очень хорошее решение, на мой взгляд. Кроме того аппаратный кошелёк сам по себе это свидетельство того, что у вас есть крипта. Это тоже, на мой взгляд, определённый минус.

По крипте на мобильном устройстве, есть специальные операционные системы которые можно установить на ваш смартфон. Есть и минусы при таком подходе - вы не сможете пользоваться интернет-банкингом. Ну наверное с такого устройства и не надо им пользоваться. Ну и кроме того, такие специализированные операционные системы, ставятся далеко не на все смартфоны. Нужно выбирать какой-то старый смартфон, который поддерживается.

Так всё вполне разумные решения, которые действительно могут обеспечить вам безопасное хранение крипты. Идеальных систем безопасности не бывает, но некоторые векторы атаки наверное можно предотвратить.

С другой стороны, чем более сложная будет система, тем больше вероятность самому ошибиться, и вместо безопасности получить уязвимость.

И тут самое место вспомнить историю julerz12 (https://bitcointalk.org/index.php?topic=5433643.0), который в момент, когда утратил 4к USD чужих денег со своего кошелька, как раз пользовался встроенным антивирусом от Windows. Так что да, опыт показал, что это явно была иллюзия безопасности. И, конечно, никакой антивирус не может дать стопроцентной безопасности, потому что невозможно предугадать все возможные вирусы, а, значит, антивирус всегда будет что-то пропускать, с чем потом будет учиться бороться. Так что антивирус всегда останется только частью системы финансовой безопасности... и всегда остаётся риск, что не уследишь, как ни защищайся (но это не значит, что защищаться не надо, потому что риски всё-таки разные).

В отношении этого менеджера так и не понятным осталось, как именно его взломали....

Он пользовался Electrum, то есть полагался на добропорядочность серверов этой системы. И они скорее всего добропорядочны, что не мешает злоумышленнику осуществить атаку путём подмены этих серверов. В этом риск лёгких клиентов, когда ты экономишь пространство на своём девайсе и не скачиваешь весь блокчейн к себе целиком, а обращаешься к каким-то другим серверам.

И в этом заключается определённый риск, и этот риск невозможно устранить никаким антивирусом.

Также Вирусы и всякие Трояны отлично маскируются от антивирусов, прикидываясь самыми обычными программами.

Ну повторюсь, так и не выяснилось, как именно взломали этого менеджера. Я по крайней мере для себя не уяснил этот вопрос.

По-хорошему, даже запуск своих собственных серверов не должен позволять злоумышленнику воровать средства клиентов. И сами по себе сервера Электрума не могут получить доступ к приватным ключам. Максимум что они могут сделать - это деанонимизировать вас, собрать данные об адресах и транзакциях и связать их с публичными IP адресами отправителя. Это может помочь злоумышленникам найти физический адрес и совершить физическое ограбление. Однако, в старых версиях Электрума сервера могли отправлять клиентам рандомные сообщения, состоящие из текста и HTML. Злоумышленники использовали эту фичу для фейковых уведомлений о необходимости обновления клиента. В это уведомление они вставляли ссылки на левый GitHub с вредоносным клиентом. Вы теряли свои средства если  устанавливали левый клиент, вводил итуда свои данные и пытались совершать транзакции. И антивирус тут никакой бы не помог.

Да, я помню эту тему, когда массово пользователи electrum теряли свои деньги. Это было, если не ошибаюсь в начале 2018 года.

И помню, что это было во время появления нового обновления.

То есть хакеры быстро нашли дыру в безопасности,  и стали ею пользоваться.

И отсюда мораль - не стоит сразу скачивать новое обновление кошелька и сразу начинать им пользоваться. Там могут быть какие-то баги.

Лучше какое-то время понаблюдать, и если всё хорошо и нет никаких сигналов, что обновление небезопасно, то тогда можно и пользоваться начинать.

Быть первопроходцем - это тоже не очень хорошая стратегия. Хорошая технология или обновление должны отлежаться. Пусть лучше другие потестируют их. Есть масса толковых пользователей, которые любят тестировать новинки. А управление финансами требует здорового консерватизма.

На сайте кошелька есть файлы с электронной подписью, типа такого - Electrum-4.3.4.tar.gz.asc. Подпись можно проверить при помощи gpg, под виндой можно использовать программу kleopatra. Это даст гарантию, что файл создан разработчиком и не подменён на одном из этапов загрузки. Такие случаи были не только с электрум, и если бы пользователи делали проверку подписи, то многие смогли бы избежать потери своих средств. Всем рекомендую один раз разобраться как это работает и проверять подпись перед каждой установкой. Сайт могут взломать и выложить вредоносный код, но подделать электронную подпись невозможно.

Поэтому стоить отключить автообновления и прежде чем загружать новые версии приложений просматривать новости кибербезопасности и читать сообщения о новых уязвимостях. Но обычно это только мобильных приложений касается, потому что я не помню чтобы Windows обновлял что-то кроме самого себя. Или расширения для браузера вроде того же Метамаска... Вы хоть раз замечали что они тоже обновляются и даже не спрашивают хотите ли вы этого? Может случится так, что зловредный код окажется в самом официальном приложении, установленном у миллиона пользователей и последствия будут очень печальными как для них, так и для всей криптоиндустрии если монета известная и кошелек популярный. В общем, здесь опять работает старый добрый рецепт в виде холодного хранилища: никакого Интернета, никаких обновлений, никаких проблем.

Да, Метамаск  не производит впечатление надёжного кошелька.... Если мобильная версия по идее должна более-менее работать, если разработчики не накосячили там вконец (всё-таки в мобильных системах приложения работают в некой более-менее защищённой изолированной среде), то расширение для браузера кажется совсем ненадёжным.

Между тем, если заниматься всякими ретродропами и так далее, то приложение метамаск устанавливаемое на android или ios, работает там через раз.

Для полной функциональности нужно иметь именно Meta mask в виде браузерного расширения. А это кажется совсем ненадёжным. И сама винда во многом дырявая, и браузер это по-моему очень популярная и лёгкая атака для хакеров. Такие кошельки, на мой взгляд, ломаются на раз.

В том числе с помощью фишинга проходят атаки.

Ну и невнимательность пользователей - конечно хакеру помогает, а откуда взяться внимательности, если для получения ретротропа, нужно выполнить сотню различных действий?

Существуют приложения, которые не являются кошельками, но позволяют пользователю дополнительно контролировать работу кошелька. Что-то наподобие внешнего брандмауэра для кошелька. Суть работы таких приложений заключается в перехвате запросов на проведение транзакции от внешних WEB3-приложений и моделировании предлагаемой к исполнению транзакции. Этот прием позволяет пользователю увидеть результат исполнения транзакции до её проведения и оценить риски, предоставить дополнительную защиту от фишинга. Хороший пример такого приложения https://www.stelolabs.com/ но есть и другие с похожим функционалом.

Почитал про этот проект и он произвёл очень хорошее впечатление. Во-первых, это проект с открытым кодом. А это вообще базовое требование к программному обеспечению в сфере криптографии. Я правда сам этот код проверить не могу, но верю, что другие заинтересованные лица, более продвинутые, чем я в технических знаниях, его посмотрят,  и оценят его безопасность.

Во-вторых, ты программное обеспечение выдаёт всевозможную информацию на английском языке, пояснение о том что происходит. Мир веб 3.0 очень сложен, а кошелёк metamask не даёт нужную информацию, когда совершаешь различные действия. Вот недавно увлёкся ретро-дропами всякими, тест нетами, и там всё очень непросто и есть большие опасения потерять всё содержимое кошелька.

Вобщем спасибо за наводку, буду курить.

Чтобы не опасаться потерять все содержимое кошелька, то старайтесь проверять какие конкретно разрешения вы выдали при взаимодействии с контрактом, в идеале отзывать эти разрешения после взаимодействия. ну а про то, что не стоит во всем этом вариться с основного кошелька, думаю и так понятно. Тем более когда это вызывает лишь небольшие неудобства.
Многие ленятся, а потом удивляются потерям.

А если давать разрешение «смотреть баланс, видеть транзакции и советовать транзакции на перечисление» (стандартное уведомление от метамаска при подключении) то можно ли ожидать потерю средств? Или от подобных подключений можно ожидать лишь что они попытаются подсунуть на accept какую-то транзакцию?

У меня метамаск подключен к разным ретродропам, тестовым сетям, я выполняю разные активности в тестовых сетях. Стоит ли ожидать удара по кошельку?

Такие разрешения потенциально несут непрямые угрозы. Например разрешение «смотреть баланс" может спровоцировать атаку "отравления адреса" (address poisoning attack).

Если ваш баланс заинтересует кого-то, соответствующий адрес может быть пополнен против вашей воли токеном, ценность которого близка к нулевой.

Адрес с которого будет произведено это пополнение практически будет мало  отличаться от вашего (может  быть только парой знаков где-то в середине адреса) на котором и существует этот баланс.


А дальше всё зависит от вашей внимательности при осуществлении дальнейших транзакций. Если будете невнимательны, то можете потерять все средства.


В Интернете много информации как проводятся атаки такого типа. Думаю найдете, если заинтересуетесь.

Да, я это сообразил, конечно, создал специальный кошелёк. Но все равно, есть ощущение, что постоянно по минному полю ходишь!

Я поэтому и немного разочаровался во всех этих тестнетах и ретроаирдропов, что приходится делать огромное количество разных действий. Туда - сюда эфиры гоняешь, ходить по разным злачным сайтам .... И шанс ошибиться и сделать что-то не так, при этом очень большой.

Про разрешения, которые выдаются конкретному смартконтракту, не уверен, что я соблюдал это требование. Это ещё больше усложнит прохождение всех этих квестов.

Имеет право на жизнь, учитывая сколько операций в день делает пользователь кошелька, участвуя в различных активностях от проектов.



Хорошо, когда все эти разрешения выдаются в сетях с низкой комиссией, хотя порой комисси за ревок превышают 10$. А если регулярно делать это претендуя на предполагаемое вознаграждение лишь в будущем, то вырисовывается кругленькая сумма за газ)