Show Posts
|
Pages: [1] 2 »
|
Всем, добрый день! Не так давно вернулся из отпуска, поэтому не смог написать сразу, хотя я был первым, кто обнаружил взлом кошелька waves и сообщил об этом в комьюнити waves в telegram, https://web.telegram.org/#/im?p=@WavesCommunityRU. Если коротко, то 28.05.2019, около 14.00 по Москве, обнаружил снятие всех своих waves c ордеров, конвертацию их в btc и вывод всех btc в кол-ве 0.30504658 Btc c моего кошелька 3PNNVSGqEmymyzHadbp2vCgMd9tdxdQDj19 на адрес: 3PAs2qSeUAfgqSKS8LpZPKGYEjJKcud9Djr. Данные транзакции ниже. Transaction ID: 9ye4LJTB6CEYZf7FbsvkLwAjckQ2FKUsQHoA4QyChN6g Type: 4 (send) Date: 05/28/2019 12:07 Sender: 3PNNVSGqEmymyzHadbp2vCgMd9tdxdQDj19 Recipient: 3PAs2qSeUAfgqSKS8LpZPKGYEjJKcud9Djr Amount: 0.30504658 Bitcoin (8LQW8f7P5d5PZM7GtZEBgaqRPGSzS3DfPuiXrURJ4AJS) Fee: 1 AxAi (A4tvKLB66QMmSJPXJgiajNnrtSjvqAapxTqhLzJbBNFX) Потом о подобной ситуации почти сразу написал Sergey Ross, а потом уже и все остальные. Так как я не новичок в крипто сфере, вопросам безопасности всегда уделял внимание, ключи и сид-фразы всегда хранил и храню в надежном месте, поэтому вероятность копирования сид-фразы считаю близкой нулю. Ещё тогда я предположил причину угона средств на уровне системы, что подобных случаев увода будет больше двух, о чем я писал в telegram (переписка сохранилась, это легко проверить). На текущий момент мне уже известно о 9 подобных случаях, которые произошли 28.05.2019. Я уверен, что кол-во взломанных кошельков намного больше, просто мы пока об этом не знаем. Об этом наверняка знает поддержка, но, к моему сожалению, поддержка пока реагирует на все подобные обращения в виде формальной отписки, где все причины сводит к личной ответственности каждого и советует быть более внимательным к хранению и использованию ключей. Но для того, чтобы разобраться в причинах массового угона средств с кошельков, вполне достаточно и 9 уже известных случаев. Если у 9 человек угнали средства с кошельков, то логично предположить, что у всех должно быть что-то общее, что и поможет выявить причину произошедшего. Поэтому после обращения за помощью в поддержку и комьюнити, где кроме общих фраз типа "сам дурак", я и другие пострадавшие ничего не получили, мы были вынуждены провести собственное внутреннее расследование. Пообщавшись мы пришли к выводу, что причиной массового угона средств мог стать взлом биржи в 2018 году, https://2bitcoins.ru/detsentralizovannuyu-birzhu-waves-vzlomali-v-pervyj-den-posle-beta-testirovaniya/, так как у всех пострадавших кошельки были созданы до взлома. Мой кошелек был создан в 2017 году. Эту информацию легко подтвердить историей транзакций на всех кошельках, с которых был совершен угон средств. Причем у некоторых было несколько кошельков, созданных в разное время, кошельки, которые были созданы после взлома биржи, не пострадали. В связи хочу призвать руководства компании Waves обратить внимание на данную ситуацию и провести свое внутреннее расследование ситуации, связанной с массовым угоном средств с кошельков и возместить потери пострадавшим, как это свойственно всем серьезным компаниям, кто дорожит своими клиентами и репутацией. А также призвать всех остальных, с кем случилась подобная ситуация, чьи средства были также угнаны с кошельков waves, не оставаться безучастными, сообщить об этом здесь, в поддержку компании, в telegram-комьюнити и др. известные вам площадки и каналы. И предупредить всех владельцев кошельков waves, которые были созданы до взлома биржи, о потенциальной опасности угона ваших активов. До случившегося инцидента я был приверженцем проекта waves, кем пока и остаюсь. Всегда активно сам инвестировал свои средства и продвигал этот проект среди своих друзей и знакомых. Надеюсь, что руководство компании не оставит без внимания данный случай, разберется с произошедшим, тем самым не только разрешит все вопросы с пострадавшими, но и укрепит веру своих инвесторов в надежность, добропорядочность команды и светлое будущее самого проекта. У меня ситуация аналогичная, ровно по этой же схеме увели!
|
|
|
У меня кошелек созданный до взлома биржи, пока всё на месте ) Так что причина наверное всё же в чём то другом.
Быть может вы меняли сид или на самом кошельке 3 копейки висит? Если так, тогда понятно почему он еще жив.
|
|
|
это мнение повторяется почти каждым во-первых, сколько всего людей по вашему забивали сиды в течение 4х часов подмены днс? (в статье написано всего лишь о неск сотнях) во-вторых, у скольких из них там были средства тогда и сколько из них пополнили свои кошельки (как некоторые из взломаных пользователей) уже ПОСЛЕ этого случая в тчении года, а потом еще обнаружилии пропажу и дошли до чата. в-третьих, всего таких кошельков пополненных могло быть 20-50 - и на скольких из них по вашему лежат миллионы?)) в принипе представьте сколько среднестатистический криптохолдер хранит на вейвс?)) (думаю как раз с 2-3к это считаются крупные кошельки) и да, вейвс вывели "под ноль" по похожей схеме у всех. возможно, это было растянуто во времени (например, на тот момент эти кошельки были пустые) по неск кошльков в месяц ?? - 99% из которых либо не проверяют долго баланс либо потом не разбираются с пропажей небольших сумм. Пользователей уже даже ленивый обвинил - есть еще варианты?
Все идут по аналогии с хищениями эфира, вот мнения и повторяются. Скорее всего и похитители действовали по какой то из аналогий, зачем изобретать что то новое, если и старое срабатывает прекрасно. А вариантов на самом деле куча, уязвимость в каком либо расширении браузера (эфир утащили через хола впн в свое время), уязвимость какого либо смарт контракта или dapp (основная масса взломов в Эос происходила таким образом) и тд и тп. Пользователей не обвиняют, а указывают, что начинать все же нужно с анализа их действий и искать точки соприкосновения. Такое впечатление что человек не читает внимательно описание в теме. Я же по Русски объяснил, что кошельков было несколько и все они использовались одновременно и действия с ними были аналогичны т.е. если совершается действие с waves то совершаются аналогичные действия со всеми кошельками сразу, а не только с одним, но именно этот кошелек был создан самым первым еще в 2017 году и именно его взломали после пополнения. Ты как считаешь в случае уязвимости в каком либо расширении браузера алгоритм будет действовать выборочно или будет перебирать все балансы на всех кошельках?
|
|
|
Если это не хак DNS , а использование уязвимости в самом блокчейне , то это может очень сильно обвалить цену волн . Тут на форуме есть тема "waves по 1000$ скоро" , так вот если эти взломы реально окажутся не следствием халатности самих пользователей , а дикой уязвимостью кода , то мы можем с вами увидеть волны и по 1 центу на фоне паники продающих . Самое время расставить "ведра" предположим ты нашел такую "дикую уязвимость" благодаря этому ты можешь делать че угодно с ЛЮБЫМ адресом йа-бада-баду пойду-ка я сниму с лизинга пару десяток волн да и выведу на биток через подконтрольный другим чувакам шлюз такс, в копилке уже 0,2 битка шииикарно теперь идем и пыздим 0,01 битка, потом хер с ним заберу 0,3 битка нажилсо на остаток жизни в юрисдикции без выдачи? т.е. некий моск, сумевший найти и поиметь такую дырищу (а ее вообще не видел ни один разраб и тестировщик) придумал такой хениальный план по обогащению?? братюнь, мыбэ не досчитались десятков миллионов баксов в теч. нескольких минут от зловреда с таким уровнем знаний Ну а чего ожидать от большинства криптоинвесторов? им надо шапочки из фольги выписывать со скидкой и карвалол на каждый пост на биткоинталке. Иван ты пойми, я понятия не имел даже что была подмена DNS серверов, на тот момент совершенно не следил за новостями и если бы знал то не стал бы использовать кошелек созданный еще в 2017, там по сути и waves практически не было никогда, а баланс начал пополнять исключительно для поддержки ноды НЕ ТАК УЖ И ДАВНО, о чем мы с тобой ранее уже общались. Так или иначе считаю, что был создан прецедент от которого вы сейчас дружно все отмахиваетесь. Разве были уведомления на почту или в клиенте о том что нужно изменить сид или создать и перейти на новый кошелек? По поводу отсутствия 1000+ пострадавших, тут не вижу ничего удивительного, ЕСЛИ БЫ НА ВЗЛОМАННОМ КОШЕЛЬКЕ БЫЛ 0 ТО И УГОНЯТЬ БЫЛО БЫ НЕЧЕГО.
|
|
|
На самом деле чрезвычайно странная ситуация. Удивляет, что поддержи никакой у вэйвса нет (хотя этого стоило ожидать, зная, что говорил Иванов в 2017 году). Ну теперь окончательно ясно, что платформа мертворожденная (ICO 2017 года на вэйвсе еще на старте проваливались), и никто не заинтересован в том, чтобы ее развивать.
Если я правильно понимаю из этой статьи https://2bitcoins.ru/detsentralizovannuyu-birzhu-waves-vzlomali-v-pervyj-den-posle-beta-testirovaniya/, то еще в 2017 разработчики сами скомпрометировали все сиды и тупо молчали об этом не предприняв никаких радикальных мер по предотвращению взломов кошельков пользователей.
|
|
|
Вот такая ситуация друзья, делайте выводы! Очень прошу тех кто аналогично вперся с Waves не отмалчиваться, я понимаю что это могут быть средства небольшие, суть не в этом. Дело в том, что молчанием мы не сможем изменить ситуацию и дыра в платформе так и останется дырой. Я буду отписываться о дальнейших шагах и что удалось выяснить.
|
|
|
Всем привет! Я один из пострадавших чей кошелек Waves был взломан 28.05.2019, к сожалению сразу не проверил свой баланс, а увидел факт похищения средств из кошелька только 30.05.2019. Постараюсь описать все в подробностях. Сам кошелек был создан еще в 2017 году, сид был благополучно сохранен и убран в темное место, а вход в кошелек осуществлялся уже около года через десктоп, позже создавались еще кошельки так же фиксировались сиды и прятались подальше. Средства которые были на кошельке, в данном случае токены Waves, т.к. только их украли, размещались в лизинге и я не планировал никуда их переводить, поэтому не особо часто заходил на кошелек с целью проверки баланса. Также не было никакой нужды доставать сид и вводить его на сторонних ресурсах. Сегодня я решил проверить баланс и зайдя на кошелек увидел, что все токены Waves почти 730wawes были сняты с лизинга, следующим шагом хищения было то что все доступные waves хакер сконвертировал в BTC на интегрированной в кошелек бирже DEX, что было очень удобно и успешно вывел на торговый шлюз, а далее себе на внешний кошелек BTC. При обращении в поддержку на мою претензию я к сожалению получил стандартный ответ с рекомендацией о безопасности и лично моей невнимательности, что я сам скомпрометировал свой сид на фишинговых сайтах. Далее я обратился в чат телеграм за помощью, где так же получил море критики и негатива в свой адрес. Некоторый убеждали меня в том что я сам пустил недруга на свой комп через TeamViewer или физически посадил его за свой рабочий стол. В основном писали, как я уже сейчас понимаю, сотрудники компании, т.е. выполняли свою обязанность перед работодателем. И я было уже почти поверил, т.е. они меня почти убедили в том что я сам виноват, но по скольку взлом был еще 28.05 решил проверить были ли подобные обращения от пользователей. И к своему удивлению именно в истории от 28 числа наткнулся на сообщения потерпевших с подобной проблемой, которых так же как и меня тролили все те же сотрудники компании забрасывая их сообщения своим флудом. Я решил что просто так оставлять это нельзя и нужно связаться со всеми кто отписывался в чат о взломах своих кошельков. Уже через несколько часов те с кем мне удалось связаться подтвердили полностью идентичный взлом кошельков, уже своих, снятие токенов waves c лизинга, конвертацию в биток, и вывод на внешний шлюз. Сама поддержка максимум, что смогла сделать это предоставить реальный кошелек куда были выведены украдены битки. Учитывая все факты я смело могу сделать выводы, что в платформе waves на сегодняшний день имеются огромные проблемы с безопасностью и все пользователи находятся под угрозой потери средств. От себя очень прошу откликнуться тех кто так же как и я попали в эту ситуацию для дальнейшего разбирательства и решения возникшей проблемы! Так же я призываю администрацию платформы waves адекватно отреагировать на данную ситуацию, инициировать расследование и возместить ущерб всем пострадавшим. - обращение в поддержку 0.22846621 BTC из предоставленной вами транзакции были выведены на внешний Bitcoin адрес. Транзакция вывода в сети Bitcoin- https://blockchain.info/en/tx/6b5bbb8dfe1e560c17103ff5c3c8ff04ae54d3d6d94e0bd68c82fc58903cf0b5 - ответ администратора на обращение в чате Petr Korotin, [30.05.19 20:57] Дмитрий, в данный момент мы не наблюдаем сильного роста обращений по потерянным средствам. Скорее всего вы сами дали доступ злоумышленникам, вам стоит проверить компьютер на вирусы, а так же рекомендую ознакомиться с Заметками по безопасности https://docs.wavesplatform.com/ru/waves-client/security-notes.html - аналогичные обращения пользователей по поводу взлома Есть еще и другие, но я надеюсь они сами откликнуться и опишут ситуацию от себя.
|
|
|
Почему нельзя использовать на Poloniex одну пару ключей api одновременно для websocket и rest api т.е. после первого запроса по rest отваливается websocket "permission denaed" и больше подключиться не позволяет?
|
|
|
Я не "старичек", но могу сказать свое мнение... МЕВ отличный кошелек, взламывают только когда попадешься на фишинг сайт ( поэтому лучше добавить его в закладки браузера). У меня два кошелька 1- рабочий на него регистрирую баунти и аирдропы. 2-сейф "холодный" на котором храню основные деньги, ключ от которого ( Keystore / JSON File) храниться только на отдельной флешке, которую использую только тогда когда хочу зайти в кошелек.
ты имеешь в виду под "холодным" аппаратный ?
|
|
|
Вот моя стратегия на бинансе, прокатило 2 раза уже - как многие знают, на бинансе большие объемы и крупные игроки, так вот, если этот крупный игрок решит выйти из позиции, то монета с малым объемом просто рухнет в цене, потом резко или нет, вернется назад, наша задача поймать ее внизу - посмотрите графики часовые, было такое на OAX у меня, жаль ордер на минималку только поставил (x2)
Это могу быть памп и дамп группы или сами разрабы , не обязательно это будут игроки так как они новым не изученым монетам не доверяют , такую стенку или провал очень трудно поймать это надо сутками сидеть и караулить . если есть финансы, то можно заказать бота под API, который будет ловить дампы на нужных монетах или показывать такие сигналы по всему списку. Тысяч в 30 руб обойдется +-, смотря где будешь заказывать могу помощь знакомых разрабов по написанию бота предложить недорого обойдется точно
|
|
|
очень интересно ваше мнение насчет lightning network
|
|
|
а кто то здесь слышал про "культурный слой" под 20 м в наших городах и по всему миру? которого не должно быть вообще и который все здания которым всего по 100-300 лет завалил минимум на 10м? может это свзяано...
|
|
|
хорош уже народ кранами смущать - новичики не ведитесь так сильно - там нет профита
|
|
|
для тебя цена альта будет измерятся в том за что ты хочешь его продать и точка, что тут думать то? а так то соотношение пар может меняться внезависимости др от друга, как правильно заметили: может к долару стоять на месте а к битку скакать как и наоборот
|
|
|
Можно ли зная ETH-кошелек узнать ник человека на Bitcointalk.org? Если можно, то как? И как посмотреть все баунти, в которых он участвует?.. Спасибо! Можно если он привязал свой адрес к нику. Это можно посмотреть в настройках профиля. Но поиска по адресу профиля нет. Thanks!.. да вот только вы помойму забыли учесть тот факт, что к нику на форуме привязывается только биткоин-кошель а вы знаете номер только эфир кошелька поправьте если я не прав ?
|
|
|
Думаю, я бездельник, охочусь за дармовщинкой.
Хоть один приличный человек нашелся) полностью поддерживаю) присутствует большое желание участвовать во всем что только можно) да, прям как в круге анонимных криптоголиков)) интересно а есть кто из манеров/инвесторов/трейдеров в баунти подался а не наоборот? а то реально уже дикое желание попробовать все...
|
|
|
как по мне так на этапе айсио лучше вообще НЕ инвестировать с течением последнего года мнение во многом укрепилось
|
|
|
без бюджета трейдить бесполезно, доходность в месяц 10-20% если умеешь. Участвуй в баунти и аирдропах, набивай оборотку. С бюджетом нормальным возможности шире, пре ico, трейдинг, инвестирование и т.д.
"хороший совет" - здесь кстати не один раз уже был такой "заработай на баунти" непосильным трудом и слей все за месяц "на трейдинге" - ведь поетнциальный доход выше)
|
|
|
|