Почитайте ответы с последнего AMA - https://www.reddit.com/r/THEKEYOFFICIAL/comments/bdo9pq/thekey_ama_at_800_pm_on_april_20th_2019_gmt800/?sort=topИзворотливость, умалчивание, расплывчатые ответы с использованием мудреной терминологии, не какой конкретики и т. д. Есть несколько очень развернутых вопросов: https://www.reddit.com/r/THEKEYOFFICIAL/comments/bdo9pq/thekey_ama_at_800_pm_on_april_20th_2019_gmt800/el2vrfm/https://www.reddit.com/r/THEKEYOFFICIAL/comments/bdo9pq/thekey_ama_at_800_pm_on_april_20th_2019_gmt800/el4jrvw/Первый вопрос, такое ощущение, что отвечает или тупой бот или ответы банальными заготовками. А на второй, сама Catherine рассказывает о том, что они не сделали все, что обещали год назад, ну или мы идиоты и не правильно все поняли. Зато дважды за AMA упомянула о том, что она вложили ВСЕ в этот проект, даже продала все недвижимость. Никакой конкретики по поводу использования токена, все разговоры о standalone blockchain - вообще хрен ногу сломает, особенно учитывая вот этот ответ: BDMI mainnet and a standalone blockchain are two things. And I have never said that BDMI mainnet is standalone blockchain. Please note that as per the White Paper and the Investment Agreement signed, THEKEY mainnet is supposed to be on NEO, not to on a self-developed public chain or any other chain We are always under promise and over delivery.
|
|
|
что это даст я не буду видеть эти темы?
На форуме, в тех разделах где они опубликованы? Конечно будете видеть. Вы их удаляете только с самого Watchlist. Тут тема про него есть - https://bitcointalk.org/index.php?topic=2908689.0думаю большинство пользователей понятия не имеют про этот лист
Та да , к своему стыду - несколько минут найти не мог)
|
|
|
Инструкция имеет всеобщий характер и применима к проверке достоверности подписи любых дистрибьютивов, а не только Электриум. Чтобы это было более понятным, наверное было бы неплохо изменить название на "Проверка PGP подписи на примере Electrum", ИМХО
Согласен! Изменил заголовок.
|
|
|
фотки в теме слетели, поправьте пожалуйста. в ближайшее время займусь самообучением с помощью вашей темы
Вот же зараза. Раньше проблем с этим хостингом изображений не было. Сейчас займусь. Upd: Это сам хостинг глючил. Сейчас вроде все нормально. Добавил резервные копии. Спрашивайте, если что-нибудь непонятно будет.
|
|
|
[Детальная инструкция:] проверка PGP подписи и путей доверия на примере биткоин кошелька Electrum. Этот метод применим для проверки подписей любых других дистрибутивов. Что для этого потребуется:Для начала мы создадим собственную пару ключей. Чтобы не повторятся, нам потребуется уже существующая тема на форуме - https://bitcointalk.org/index.php?topic=5103575.0 ( PGP Подпись - Шифровка / Дешифровка сообщения). В теме есть указатель Содержание, нам понадобиться все вплоть до Создание сообщения и подписи PGP. Переходи по ссылке, читаем и делаем все, что выделено зеленым прямоугольником: После того как вы создали собственную пару ключей, приступаем к основной частиПрежде всего нам нужен PGP PUBLIC KEY Thomas Voegtlin (ThomasV), ссылка на который есть на загрузочной странице официального сайта Electrum. Нажимаем на сайте ссылку ThomasV и видим публичный ключ автора. Далее, нам надо импортировать этот ключ в программу Kleopatra. Для этого выделяем и копируем все содержимое Ctrl+A -> Копировать. На момент написания этой статьи, вместе с ключом ThomasV импортируется еще одна запись - Animazing. Исходя из информации на github и сообщений на форуме, Animazing - это один из разработчиков Electrum. Проверка подлинности открытого ключаКак же убедиться в том, что импортированный нами ключ на самом деле принадлежит автору программы Thomas Voegtlin? На все 100% - никак. Но мы можем значительно увеличить вероятность этого. Для этого нам нужен публичный ключ или отпечаток ключа (fingerprint) доверенного человека. Как доверенных, будем рассматривать людей которые имеют непосредственное отношение к блокчейну и биткоину. Вариант номер 1:Luke Dashjr - один из Bitcoin Core разработчиков. У него есть учетная запись на bitcointalk - https://bitcointalk.org/index.php?action=profile;u=3318, множество тем с его проектами в которых присутствуют ссылки на его PGP ключ. Допустим, в этой теме или на одном из его сайтов Bitcoin Knots, ссылки на которые присутствуют в его сигнатуре на форуме. Вариант номер 2:Наш любимый администратор theymos - https://bitcointalk.org/index.php?action=profile;u=35Его PGP публичный ключ можно найти во множестве его же постов на форуме: https://bitcointalk.org/index.php?topic=155002.msg1643270#msg1643270 Или в этой теме https://bitcointalk.org/index.php?topic=1588906.msg15956529#msg15956529 есть ссылка https://bitcointalk.org/verify_pubkeys.txt в которой присутствует его публичный ключ, а также ключи многих BitCore разработчиков, в том числе Wladimir J. van der Laan, Gregory Maxwell и вышеупомянутый Luke Dashjr (Luke-Jr). Не будем трогать нашего уважаемого администратора (на всякий случай ), а за основу для проверки возьмем публичный ключ Luke Dashjr. Тем более проверить мы его можем сразу в двух местах, из ранее указанных его собственных постов и по ссылке от theymos. (Необязательно использовать именно этот. Можете выбрать любой другой.)Копируем его ключ и импортируем в Kleopatra. В общем, проделываем тоже, что и с ключом Thomas Voegtlin в самом начале. Получаем еще одну запись в программе. PGP pathfinder & key statisticsПуть доверия - это последовательность подписей, в которых человек №1 подтверждает подлинность личности №2, №2 подтверждает подлинность личности №3, №3 подтверждает личность №4 и т. д.. Fingerprint Thomas Voegtlin: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6Fingerprint Luke Dashjr: E463 A93F 5F31 17EE DE6C 7316 BD02 9424 21F4 889FПереходим на сайт https://pgp.cs.uu.nl/ и проверяем пути доверия. В from вставляем последние 16 символов из Fingerprint Luke Dashjr (BD02 9424 21F4 889F), а в to последние 16 символов из Fingerprint Thomas Voegtlin (2BD5 824B 7F94 70E6) и нажимаем кнопку trust paths. Первый путь доверия (который выделен зеленой рамкой), говорит о том, что Luke Dashjr подтверждает ключ Peter Todd, а Peter Todd подтверждает подлинность ключа Thomas Voegtlin. И так далее. Теперь мы с определенной долей уверенности можем сказать, что ранее импортированный ключ Thomas Voegtlin (ThomasV), является верным. И раз это так, то теперь мы можем изменить уровень доверия для публичного ключа Thomas Voegtlin в программе Kleopatra. Для этого нажимаем правой кнопкой на идентификатор и выбираем Change Certification Trust. Осталось самое простое. Проверка PGP подписи кошелька ElectrumПерейдите на официальный сайт Electrum (ссылки не даю, ищите сами), загрузите программу и файл подписи .asc (правый клик по signature и Сохранить объект как... или Сохранить ссылку как..., в зависимости от браузера) который ей соответствует. Поместите программу и файл подписи в одну папку. Далее 2 варианта. Вариант №1. Если вы установили вместе с Kleopatra весь пакет gpg4win, то при правом клике мышью в вашем контекстном меню появится новый пункт Другие параметры GpgEX -> Проверить. https://imgur.com/EwEpsnBВариант №2. Если вы установили только Kleopatra. Перейдите в окно программы, выберите Decrypt/Verify..., найдите ранее сохраненный файл подписи .asc и нажмите ОткрытьВ итоге вы должны получить результат, который говорит о том, что файл был подписан ключом PGP с отпечатком 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6, который, как мы убедились, принадлежит Thomas Voegtlin. А это значит, что установочный файл Electrum кошелька является подлинным.
|
|
|
С уверенность можно говорить только при переводе типа кошелек -> кошелек. Допустим, с того же Electrum на Electrum. P2SH (с тройки) я как-то пропустил, а вот с переводами с bech32 (с bc1) на legacy и обратно - у меня проблем никогда не было.
Но не при переводе биржа -> кошелек или биржа -> биржа. Тут проблема не в биткоин/блокчейне, а массовом принятии Сегвит и в том, что внедрение новых технологий в большой бизнес всегда ведет к ряду возможных проблем, а если дело касается денег, то и подавно. Поэтому надо четко понимать от куда и куда вы делаете перевод. Хотя многие из таких бирж, кошельков и обменником уже ввели определенные функции которые не позволят сделать или предупредят о невозможности транзакции. Чудо-приложение для смартфона blockchain[dot]com не сможет отсканировать штрих код segwit адреса (недопустимый адрес), а при попытке вставить вручную получите - недействительный адрес Bitcoin).
|
|
|
Правильно ли я поняла, что крылья разрабатывают свой собственный блокчейн ? Такая информация промелькнула в чате телеграмма. Прокомментируйте как нибудь пожалуйста
В общем и целом, ДА! Читайте тут https://blog.wings.ai/wings-latest-updates-364b453def1d в разделе Where are we going?Деталей пока нет, но по-моему до этого еще далеко.
|
|
|
Ребята, нубский вопрос. Я хочу отправить биткоины с биржи, где поддерживаются только легаси-адреса (начинаются с 1). Мне нужно отправить на кошелек, который поддерживает только SegWit-адреса (начинаются с bc1). Можно ли отправить напрямую, а если нет, то как это лучше сделать?
Не совсем понятен вопрос. Дойдут ли BTC со старого legacy адреса на segwt? Или проблема на уровне самой биржи и софта? Если первое, то разницы никакой. Не хочу показаться Кэпом, но раз вопрос нубский , - Сегвит это софтфорк с обратной совместимостью. На уровне блокчейна - все рОвно. А если проблема во втором, то биржа которая не поддерживает bech32 вообще не позволит (не должна позволить) сделать перевод на адрес который начинается с bc1. Для вывода будет нужен или старый адрес (начинаются с 1) или P2SH (начинаются с 3).
|
|
|
Почему же им на форуме позволено скамную биржу рекламировать? Им платят за каждый пост в битках, много старых аккаунтов из спячки вышли и начинают набивать бессмысленные посты для своей подписной, учитывая, что платят за каждый пост, то таких постов будет очень много и кто-то из новичков начнёт пользоваться этой биржей, доверяя мнению старых участников.
Тоже вчера заметил кучу Хиро и Легенд которых очень давно не видел или вообще незнакомые ники. У нас меньше, а вот в буржуй ветках просто веселуха. Все с подписями Ёбит, многие после длительно "перерыва", многие Posts=Activity, есть и с зеленым трастом. Большинство строчат по 20 однотипных сообщений в день. Если сама биржа все это никак контролить не будет, то за месяц форум загадят. Кстати, у меня до сих пор на их бирже несколько видов токенов заблокированы (Статус кошелька: Тех.работы). Все запросы в поддержу - просто ИГНОР. А в середине 2014, я на этом форуме подбирал себе основную биржу. Не регистрировался - писать было совсем не о чем. И о подписях ничего не знал. Но если бы знал и увидел, что куча старых аккаунтов с высокими рангами носят сигнатуру Ёбит, то скорее всего пошел бы к ним. И хз чем бы это закончилось. По-моему, такие вещи уже надо решать на уровне администрации. А то это уже даже не анархия...
|
|
|
Интересно узнать у юзеров биржи какие существуют лимиты на вывод с неё по базовому акку,без верификации?
Лимит на снятие средств для не верифицированных аккаунтов составляет 2 BTC в сутки или эквивалент в другой криптовалюте.
|
|
|
Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря 2019 года.
WOW. Это чего, привет из будущего? Исправлено.
|
|
|
продолжение...(IOCs) Известные показатели компрометацииИзвестные контрольные суммы SHA256 кошельков Electrum с вредоносом:137e8925667ff75b1c516a97b5d2d3dd205f9302cdeb190fc68855aee2942c22 1900f4d0a13486f90ff5f82e02d210b8a9db27bca24b88f5de849ef124212f09 1ef6c9d9d3519769749498631532063967fc7d5e8f0fc75e8a3ff66f57dfab22 2747c4e43d2652f3ad039e0dc1bf28f5b136a9ac76a4f57320b08b5905e7c4cd 2cd180e61e36de1be904a02591485ef3321b539cdccca1fd7f1f001770652b14 307d97a38c6bf21903057eec48c4d3957e10c0097fe05d5a203101d22cd79cc3 3610c86975ed943b5065bdc65bfcb4035e58a863cd3192865401bc6a70b023ba 367b620a0a332f693a68230bf21f7036983b7b9e0dee946af5338ed168c16318 36c3140d73fbfb5710438d7c218013bf6fb8736a98dfe002b0d711fbb39aad41 41ff4f112d0a8c4bb20a49f7beb5f36c28455a9cebafa8db75277f54f597d6d4 57f6ef3ea9e497592bdbe9dda201105e0faea8f6668b5701b6b91fbc9e94cd43 634287c65f018e71ed7bebfb5b21e33bcedf08139e3d924178b4cdfaa12d8b34 74c2dcf751796cd209755b4e828b6686b2fb38587163b1cbff1295da2d3f0a8c 87aa1fdf00db2ed94464c2687a0e1011a80af576267c0f88d1216c0cb4d2e310 9a5b1ffbeb562d772dfa2d49e59e0f72557f6111a5e24d6498f88b77a5d8f10a a080444918844e27ff2079b71f20ebd2d1f1836907c854671daa3548dc809e7c b20778f69cc959a16c612e75d21a3668aab11f47f2659c3175da5bd80665e225 c48b7ba2531e4954881388aceb00a2ec36488f1cf70eeb873a97b7cfa32362cb c5afedd8a03d2f49e25fb2c568ede20b0e43a4eeebebd202c98324ead9b82732 df154484a90321407c0e8115df7bf6f598adb6a50255cc58b723db7cc5d3729f e8ef9cbeec7cdc7f58e28274c417457c5c8dcf47f4e8409cb2befe9450d3868b f736c8fa4a21755020ecfce60a53d0a1cfdaa7061fd7be6efd49d74af9b13e02 Поддельные Electrum домены:btc-electrum[.]com btcelectrum[.]org downloadelectrum[.]com downloadelectrum[.]org eiectrum[.]net electrum[.]bz electrumapp[.]org electrumapps[.]com electrumbase[.]com electrumbase[.]net electrumbase[.]org electrumbitcoin[.]org electrumbtc[.]org electrumbuild[.]com electrumcircle[.]com electrumclient[.]org electrumcore[.]com electrumcore[.]net electrumdownload[.]com electrumdownload[.]org electrume[.]com electrume[.]org electrumfix[.]com electrumget[.]com electrumget[.]com electrumhub[.]com electrumnet[.]com electrumofficial[.]com electrumopen[.]org electrumpgrade[.]com electrumsafe[.]org electrumsite[.]com electrumsource[.]org electrumstart[.]org electrumtxn[.]com electrumupdate[.]com electrumupgrade[.]com electrumupgrade[.]org electrumware[.]com electrumware[.]org electrumweb[.]net getelectrum[.]com getelectrum[.]live getelectrum[.]org goelectrum[.]com myelectrum[.]org Bitcoin адреса злоумышленников:bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x 14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5 3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL 31rTt8GePHv8LceXnujWqerUd81U29m857 1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD Мошеннические / вредоносные цифровые сертификаты (только для Windows)Name: PRO SOFTS
Serial Number: 15 8F D7 D2 FB 6E 69 E7 75 AB EE 6E Name: EIZ Ltd
Serial Number: 06 6A F7 6B 79 4F 63 79 3C C0 CA 33 78 6F 07 47 Контрольная сумма набора эксплойтов RIG9296b210b782faecca8394b2bd7bf720ffa5c122b83c4ed462ba25d3e1b8ce9a Контрольная сумма вредоносного файла transactionservices.exe (кошелек Electrum)c3a7cf30428689a44328090b994ce593bbf2a68141fcbefb899dee4fec336198 IPs (хост и конфиги)178.159.37[.]113 194.63.143[.]226 217.147.169[.]179 188.214.135[.]174
|
|
|
продолжение...OP RETURN скрипт И действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть Multisig-транзакции: Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за движением BTC Вариант 2, чтобы узнать их пункт назначения: Следующий по величине выход 1.96991794 из предыдущей транзакции обозначен идентификатором f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC. Эти 100 BTC затем перемещаются на 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, о которых мы упомянули ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше: Как видим, 25,8 BTC отправляются на адрес «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, каким-то образом связаны с SCAM-сайтами, так называемые "Биткоин-удвоители". 3FF1uZ5oEaSZYKCvGbywu39djsknrGeu96 – Continvest 3AxHFZ2ivJUBgveyNj1PQak6FsKBcLJ42N – Bitcoin Doubler Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов на какой-то адрес, скорее всего, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, своеобразный Биткоин миксер / отмывание средств для преступников. КонтрмерыСтолкнувшись с такой широкомасштабной атакой на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам. Список атакующих IP-адресов (состоящий из 72977 на момент написания) и постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут чрезвычайно быстрыми темпами. Список IP-адресов атакующих серверов Electrum. Обновляется каждые несколько минут. Вредоносные программы, стоящие за ботнетом и DDoS-атакамиНесмотря на то, что точный размер ботнета не известен, мы смогли узнать больше о том, как пополняются ряды сети ботнет. Мы столкнулись с вредоносным программным обеспечением и двумя различными способами заражения. Первый способ через бэкдор Smoke Loader, а второй через набор эксплойтов RIG. Во втором случае вредоносная реклама перенаправляла на набор эксплойтов RIG и в конечном счете, предлагала загрузчик, который выглядел как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на серверы Electrum. Мы видим, как загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет атаку на официальные/законные ноды Electrum. Анализ этого загрузчика подтверждает активность сети, которую мы наблюдали выше: Он загружает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (transactionservices.exe) для кошелька Electrum, и записывает его на диск. Он также добавляет подпроцесс transactionserviceshelper.exe в автозагрузку, путем добавления записей в реестр Windows. А так выглядит папка с вредоносным приложением Electrum DDos атаки на серверы ElectrumXЭта атака заключается в отправке большого количества SYN-запросов на подключение по протоколу TCP в достаточно короткий срок на серверы ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика: SYN-флуд — одна из разновидностей сетевых атак типа "отказ от обслуживания" Мы также заметили другой тип пакетов TCP spurious retransmission. ( Spurious retransmission – это повторная передача тех данных, прием которых получатель уже подтвердил.) IP-адрес лабораторного компьютера, который мы использовали для детонации ( запуска и теста) вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете. Диаграмма показывающая распределение большинства жертв, участвующих в DDoS. Будущие атакиЛюбой, кто следит за развитием криптовалюты, знает, что их ждет "веселая поездочка". Злоумышленники использовали уязвимость в самом популярном биткоин кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США. Другие преступники возьмут это на заметку. Когда Electrum ответил на атаку, чтобы уменьшить количество жертв от этой кражи, преступники ответили продолжительными DDoS атаками. Скорее всего, между двумя сторонами была некоторая вражда, но, поскольку ботнет продолжает отключать законные узлы Electrum, у мошенников есть возможность продолжить порочный цикл, предлагая поддельные обновления и пополнять ряды жертв своих махинаций. Люди использующие собственные Electrum серверы могут противостоять DDoS атакам различными способами. Они могут настроить планировщик cron для систематичного обновления и блокировки атакующих IP-адресов. Они также могут создать правила в iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке. ( по всей видимости имеется ввиду Fail2ban). Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4 ( на момент публикации)) из официального репозитория ( ссылки удалил) и быть особенно осторожными с обновлениями или другими сообщениями. Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows. (от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)
|
|
|
Все помнят недавнюю атаку на Electrum и её последствия. Известный производитель антивирусного ПО компания Malwarebytes, провела расследование и опубликовала обширный отчет.
Сделал перевод и некоторую адаптацию. Букв много, но кому интересно - приобщайтесь!Источник: https://blog.malwarebytes.com/cybercrime/2019/04/electrum-bitcoin-wallets-under-siege/By Adam Thomas, with additional contributions from Jérôme Segura, Vasilios Hioueras and S!Ri
Осада Биткоин кошелька Electrum С конца декабря 2018 года многие пользователи популярного кошелька Electrum Bitcoin стали жертвами серии фишинговых атак, в результате которых, по нашим оценкам, были похищены более чем 771 биткойна, что составляет сумму, эквивалентную приблизительно 4 миллионам долларов США по текущему обменному курсу. Используя уязвимость в программном обеспечении Electrum, злоумышленникам удалось обмануть пользователей, убедив их загрузить и установить вредоносную версию кошелька. В результате, в феврале разработчики Electrum решили использовать тот же недостаток в своем программном обеспечении, чтобы перенаправить пользователей для загрузки последней исправленной версии программы. Программное обеспечение было в такой беде, что в марте разработчики начали использовать еще одну неизвестную публике уязвимость, по сути заставить пользователей обновить программу и тем самым предотвратить появление фишинговых сообщений, чтобы они не подключались к вредоносным узлам. Вскоре после этого ботнет начал распределенные атаки типа «отказ в обслуживании» (DDoS) на серверы Electrum, это было, как считается, ответным ударом за то, что разработчики пытались исправить баг. Сценарий был прост, при помощи DDoS загрузить легитимные ноды так, чтобы клиентам с все еще не обновленной версией программы приходилось подключаться к вредоносным узлам. В этой статье мы расскажем о фишинг-схеме, используемой для распространения вредоносного обновления Electrum, обсудим, куда ушли украденные средства, и, наконец, рассмотрим заражение вредоносным ПО, непосредственно связанное с ботнетом и DDoS. Electrum wallet 101Для лучшего понимания того, как эти атаки стали возможными и настолько успешными, полезно иметь общее представление о том, как функционирует кошелек Electrum. Известный как «облегченный» биткойн-кошелек, Electrum реализует разновидность методики, описанной Satoshi Nakamoto’s в белой книги Биткоина ( в оригинале ссылка ведет на сайт с доменом .com, правильная ссылка - https://bitcoin.org/bitcoin.pdf) под названием «Упрощенная проверка платежей» (SPV). SPV позволяет пользователю отправлять и получать транзакции, не загружая весь блокчейн биткоина (размер которого составляет сотни гигабайт). Вместо этого Electrum работает в конфигурации клиент/сервер. Кошелек (клиент) по умолчанию запрограммирован для подключения к сети одноранговых узлов (сервер), чтобы убедиться, что транзакции действительны. Хотя исторически это был довольно безопасный метод ведения транзакций, злоумышленники воспользовались тем, что публичную ноду Electrum может запустить абсолютно любой человек. Как показано ниже, произошло значительное увеличение числа активных пиров в сети Electrum: Поддельное уведомление об обновлении кошелька Electrum26 декабря 2018 года разработчик Electrum опубликовал публичное предупреждение на официальной странице GitHub, предоставив некоторую информацию об атаке: https://github.com/spesmilo/electrum/issues/4968#issue-394260722To users: when you broadcast a transaction, servers can tell you about errors with the transaction. In Electrum versions before 3.3.3, this error is arbitrary text, and what’s worse, it is HTML/rich text (as that is the Qt default). So the server you are connected to can try to trick you by telling you to install malware (disguised as an update). You should update Electrum from the official website so that servers can no longer do this to you. If you see these messages/popups, just make sure you don’t follow them and that you don’t install what they tell you to install. The messages are just messages, they cannot hurt you by themselves. В основном была использована Sybil attack (Атака Сивиллы) - вид атаки в одноранговой сети, в результате которой жертва подключается только к узлам, контролируемым злоумышленником. Легитимное приложение кошелька Electrum, показывающее вредоносные узлы Если пользователь подключался к вредоносному узлу (с высокой вероятностью) и пытался отправить транзакцию через него, то, благодаря уязвимости в Electrum позволяющей принимать и отображать HTML/rich текст, получал фальшивое уведомление об невозможности транзакции и необходимости обновления: Фишинговый код внедряется в приложение Electrum при попытке отправить биткойны На втором этапе атаки пользователь устанавливает вредоносную версию кошелька Electrum. Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря 2018 года. Репозиторий вредоносных приложений Electrum hxxps://github.com/electrum-project/electrum/releases/tag/3.4.1 hxxps://github.com/electrum-wallet/electrum/releases Репозиторий вредоносных приложений Electrum Вредоносные кошельки ElectrumВ практических целях мы будем называть следующие вредоносные программы Вариант 1 и Вариант 2, однако дальнейшие исследования показали, что участники этой конкретной кампании действуют уже довольно давно. Таким образом, представляется вероятным, что до 21 декабря 2018 года существовали другие разновидности этой вредоносной программы. Варианты 1 и 2, по-видимому, эксплуатировались различными участниками, основываясь на нескольких различиях в вредоносной программе. Вариант 1Вариант 1 уникален тем, что авторы вредоносной программы реализовали функцию загрузки украденных приватных ключей кошелька и SEED данных на удаленный сервер. Были предприняты дополнительные меры для обеспечения того, чтобы эта функция оставалась скрытой, при помощи обфускации (запутывание кода) исходного кода внутри файла под названием (initmodules.py) которого обычно нет в стандартной, легитимной программе Electrum. Мошеннический модуль, ответственный за эксфильтрацию данных Как уже упоминалось, внедренные вредоносные домены не видны в приведенном выше коде и вместо этого создаются во время запуска вредоносного программного обеспечения. Эта техника используется злоумышленниками для того, чтобы код, содержащийся в файле initmodules.py, казался легитимным. В дополнение к краже данных кошелька, любой баланс, присутствующий в кошельке, отправлялся на один из нескольких заранее запрограммированных публичных адресов под контролем злоумышленников. Выбранный адрес зависит от формата адреса, используемого кошельком Electrum зараженного пользователя. Pay-to-PubkeyHash (P2PKH) используются по умолчанию во время установки программы и является основной формой совершения транзакции и наиболее распространенным методом в сети Bitcoin которая используется обычным пользователем. Это становится очевидно при просмотре активности каждого адреса. 14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5 (P2PKH address type) Total Received: 202.91141530 BTC ~ 776,243.23 USD
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww Total Received: 0.01927492 BTC ~ 73.75 USD
1rTt8GePHv8LceXnujWqerUd81U29m857 Total Received: 0 BTC
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL Total Received: 15.22210788 BTC ~ 58,239.77 USD
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD Total Received: 0 BTC Вариант 1 - общая сумма в биткоинах: 218.1527981 BTC Вариант 1 - общая сумма в USD: ~$1,101,034.00Образец того, в каком формате отправлялись приватные ключи (xprv) на вредоносный сервер используя HTTP POST Образец того, в каком формате отправлялись SEED фразы на вредоносный сервер используя HTTP POST Все вредоносные домены, обнаруженные во время нашего анализа Варианта 1, были созданы одновременно и связанны с IP-адресом 31.31.196.86. Этот адрес принадлежит Reg.ru, хостинговой компании, базирующейся в Москве, Россия. Вариант 1 также уникален тем, что установочные файлы Windows имели цифровую подпись, в отличии от последующих вариантов. Вредоносное приложение с использованием цифрового сертификата Интересно, что цифровой сертификат, используемый для подписи одного из вредоносных файлов Windows Electrum (EIZ Ltd), недавно использовался для подписания другого, несвязанного с этой атакой вредоносного ПО. Вариант 2Поскольку Вариант 1 был настолько успешным в краже значительных сумм Биткойна, казалось почти неизбежным, что вскоре будут еще попытки заработать на этой достаточно простой схеме. И конечно же, появился второй вариант вредоносных кошельков Electrum. Этот вариант атаковал довольно агрессивно, обгоняя сеть Electrum и приводя к краже большего количества биткойнов, чем Вариант 1. Вместо перенаправления жертв на вредоносный Github сайт, Вариант 2 размещал вредоносные ссылки на загрузку в домене который был аналогом официального сайта Electrum. Содержимое HTML по сути являлось зеркальным копией оф.сайта Electrum. Поддельный сайт, копия официального Похоже на то, что злоумышленники очень хорошо разбираются в коде Electrum. К примеру, в поддельной версии ПО, они отключили автоматическое обновление, удалили запросы на подтверждения, такие как «Да, я уверен», и даже отключили возможность RBF (замена существующей транзакции новой транзакцией с повышением комиссии). Содержимое main_window.py Replace-by-Fee - это функция, которая была добавлена в кодовую базу биткойнов позже в процессе разработки, которая позволила бы пользователям по существу создавать Двойную трату (Double spending) в Electrum. В этом случае, если вы знали об этой функции, то могли бы отменить перевод украденных средств, используя более высокую комиссию. Функция Replace-by-Fee в файле screens.py закомментирована (это исключает часть кода из компиляции) Ниже приведен модифицированный исходный код файла paytoedit.pyc, который был использован для перенаправления платежей на биткойн-адрес злоумышленника: Биткоин адрес для получения украденных средств bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q Total received: 187.8298 BTC / 941,436 USD
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg Total received: 55.9948 BTC / 201,326 USD
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz Total received: 36.7358 BTC / 126,972 USD
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv Total received: 75.2927 BTC / 291,342 USD
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv Total received: 21.8628 BTC / 84,678 USD
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c Total received: 27.3636 BTC / 138,733 USD
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x Total received: 232.6469 BTC / 1,166,068 USD Вариант 2 - общая сумма в биткоинах: 637.7264 BTC Вариант 2 - общая сумма в USD: ~$2,950,555.00Куда делись все украденные биткоины?Простой анализ блокчейн транзакций показывает, что средства, украденные Вариантом 1 были разбиты на меньшие суммы. Сумму 48,36 BTC сначала перераспределили по 3,5 BTC, а потом по 1,9 BTC. Такая модель, вероятно, свидетельствует о том, что был использован метод отмывания денег, известный как смурфинг (smurfing). 1,9 BTC это приблизительно 7000 долларов США, депозиты на эту сумму вряд ли вызовут вопросы и повлекут за собой подачу отчета в FinCEN, поскольку эта сумма находится ниже порога в 10 000 долларов США. ( Структурирование (разделение, смурфинг). Большой объем наличных нелегальных средств разбивается на множество мелких сумм (к примеру, до 10 тыс. долларов в США).) биткоины разбитые на части Наконец, 11 транзакций, показанных выше, объединяются с дополнительными 15 транзакциями перед отправкой на 329nUnJxz5zgr4vnNPu8JNwpa3qEJfucQX, адрес, который является частью хорошо известного горячего кошелька криптовалютной биржи Bitfinex. Первый шаг прежде, чем попасть в кошелек Bitfinex Заключительный шаг (1Kr6QSydW9bFQG1mXiPNNu6WpJGmUa9i1g) В воскресенье, 14 апреля, мы заметили, что злоумышленники которые стояли за Вариантом 2, только что перевели сумму 114.61050153 BTC (более полумиллиона долларов): Вариант 2 уведомление о транзакции Многие движения украденных средств из Варианта 2, похоже, следуют аналогичной схеме. Давайте посмотрим на недавний вывод 38.38517511 BTC с адреса злоумышленника “bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q”. Транзакция всегда делится на 2 выхода: Транзакция разделена на два выхода Держим в памяти транзакцию 36.38011271 BTC, к которой мы еще вернемся, давайте сначала проследим за транзакцией в 2.0050624 BTC по адресу «1BCtXcP3gc7FygZMegeKUPsogo68aKRSPA», за которым следует перевод на «1wotccCFTuLQdCv46Bz3zqcosDCDwAWhd». Мы видим транзакцию, содержащую 2 выхода, в которых адрес «3DvWYYkzgHbyBgUTSjtPsLmkzs1R9frSrz» получает все средства. Другой вывод с именем «not-address» - это то, что известно, как скрипт OP_RETURN. Этот скрипт обычно используется для записи данных в блокчейн.
|
|
|
а как их преобразовывать в новый формат, есть информация? Ну вот еще здесь новость, и сам источник. Короче самое главное то, что эфировские токены надо будет свапнуть в течении 90 дней путем депозита на бинанс. Завести на биржу, они их сами преобразуют? Короче самое главное то, что эфировские токены надо будет свапнуть в течении 90 дней путем депозита на бинанс. Насколько я понял, от пользователей никаких дополнительных телодвижений не надо, если ваши BNB сейчас на Бинансе. После 23 апреля (эта дата может измениться) вывод BNB стандарта ERC20 будет невозможен, а только BEP2. сразу возникает вопрос, куда выводить))? Они постоянно поддерживают свопы сторонних токенов, так что со своим собственным точно проблем не будет. Вот тут https://community.binance.org/t/binance-chain-mainnet-swap/1094 в четвертом пункте они обещают Web кошелек и Explorer к 23 апреля 2019 г.
|
|
|
~ Не уж то вы думаете что эту штуковину тяжело вскрыть? Я думаю, что хватит удара-двух 15-ти киллогромовой кувалой и листочек с SEED фразой в руках грабителей. Если кто-то доберётся до неё, то он не будет сидеть и подбирать код, там где она будет спрятана. А забрав, открыть её не составит особого труда.
В этой штуковине должен быть механизм уничтожения данных, в случае несанкционированного доступа. Но если такой механизм в эту штуку засунуть, то у нее будут очень большие проблемы с массовостью и легализацией. Никто не согласится, чтобы в свободной продаже была по сути - граната Если пойти дальше по такой дороге, то можно дойти до шпионских штук, однако, если говорить об программных способах хранения информации, то можно сказать что уже существует обеспечение, которое удаляет всю информацию. Причем, если говорить о смартфоне (как о кошельке например), то при помощи подобного софта уничтожаются все данные, если раза три неправильный пароль ввести. Кстати, а кто знаком с хранилищами, например Xapo? Не граната - колба с уксусом, а писать надо было на папирусе. Лучше уж на железках долбить или слова из библии запоминать. А более современные методы не интересны? Вроде хранения на диске в зашифрованном виде, тем же truecrypt. Если так заморачиваться, значите денег много и не проблема хороший огнестойкий сейф купить. А если с утюгом придут), то не важно в каком виде информацию отдавать. Или только экзотика? Просто тема в Новички и с таким заголовком.
|
|
|
|