Não precisa ser executável, um "simples" PDF pode vir com bichinho.
Mas, como disse, não estou a dizer que foi isso que aconteceu, apenas uma linha de analise.
E aí entra no mesmo ponto que eu falei... tem que ter um 0day para ser infectado através de um PDF. Não é criar um PDF com malware e pronto, qualquer pessoa que abrir vai ser infectada. É a mesma coisa com o pessoal que acha que você pode ser hackeado clicando em um link. Isso só acontece em casos super especificos, onde há um exploit no navegador/leitor utilizado (coisa que é corrigida com frequencia). |
|
|
|
Opa, seja bem vindo! Eu diria que os tempos de ouro da anonimidade e privacidade passaram um pouco. Houve uma época onde você podia movimentar 7 digitos (BRL) em um único dia lá na Binance e eles não faziam nada a respeito. Agora você só pode movimentar um total de R$ 100k por semestre (deposito + saque) a menos que envie o seu imposto de renda + outos documentos, e ainda precisa ter sorte para eles decidirem que você precisa de um limite maior. As exchanges nacionais sempre foram mais chatinhas e com um limite naturalmente baixo. O seu "valor alto" é alto perto desse nível? Se for até uns R$ 100k não acho que vá ter problemas.  Quanto aos bancos, já saquei uma grana de exchanges para o Inter e o C6 Bank, nunca tive problemas. |
|
|
|
Como assim? Agora não percebi.
Então é colocado no servidor um ficheiro corrompido, e por lapso o utilizador abre esse ficheiro no seu PC pessoal. A partir desse momento fica com o PC infetado.
Onde isso é impossível ou difícil de acontecer?
Pensei que você estava dizendo que ele foi infectado apenas por conectar no servidor. Não vejo por que ele abriria um executável do servidor dele no dispositivo local, ainda mais um especifico que coincidentemente foi infectado pelo hacker. Geralmente o caminho é o contrario (pc local -> servidor). Qualquer executável de terceiros ele builda no próprio PC. Não entendi direito onde ele guardava essa chave PGP em seu servidor, será que ela teoricamente deveria ser mais segura/confiável que uma hardware wallet de terceiro?
Não vi ele dizendo que guardava a PGP em um servidor, muito menos a carteira. |
|
|
|
Isso é totalmente correto. Mas o hacker ao entrar no servidor pode corromper um ficheiro, que por sua vez quando é acedido pelo o seu dono cria um backdoor, para o hacker conseguir aceder ao PC.
Nada de estranho de acontecer, até eu as vezes recebo emails a indicar que um novo ficheiro foi partilhado no meu Google Drive. Logicamente, eu não vou abrir esses ficheiros e apagar da partilha.
Tem que ter um exploit 0day bem especifico para isso ser possível. Considerando que ele usava Gentoo, acho bem impróvavel. Além do mais, meio mundo ia ter que se preocupar se um protocolo como SSH permitisse esse tipo de invasão. |
|
|
|
Ele estava com o sistema comprometido desde novembro.
Ele teve um "servidor" (de um host terceiro) comprometido. Quanto as suas keys: No servers involved There were no keys in the server.
Everything is compromised Server can't get at local workstation
Only the opposite makes sense |
|
|
|
Pode mandar o endereço do token? É só abrir a sua carteira no explorer (Etherscan, se foi na Ethereum), clicar na transação e depois no nome do token para abrir a página dele. Pesquisei "USDCBonus" no google e não achei nenhum resultado sobre a Circle.  edit: foi um tal de USDCBonus.com? Se sim, é para divulgar um scam e claramente não é emitido pela Circle. |
|
|
|
Não que eu discorde dele, mas claro que o cara vai reclamar, rsrs. Ele só tem a perder com a Binance recebendo favores de dentro do governo para que continue dominando o cenário nacional (e mundial). Por conta disso, infelizmente não consigo levar a fala dele a serio.  |
|
|
|
O cara não é qualquer um. Foi co-fundador da Blockstream e dev do Bitcoin Core por mais de 10 anos. Se alguém entende sobre segurança, principalmente envolvendo chaves privadas, é esse cara.
mas se o um dev do bitcoin Core foi hackeado, pq o CZ / binance não seria? Exchanges, no cenário ideal, tem profissionais de ponta com anos de experiência em segurança. No quesito hack, eu acho que exchanges de peso > devs do Bitcoin Core. O dev do Bitcoin vai usar um OS focado em segurança e privacidade (i.e Qubes) e gerar a sua seed de forma offline enquanto faz a build do programa por conta própria. Um dev de exchange vai usar tecnologia MPC-CMP para gerir seus endereços, coisa que nenhuma pessoa física faz. Por outro lado, uma cold wallet gerada da forma mais perfeita provavelmente pode ser mais segura que uma exchange pois você pode deixar essa carteira parada durante anos, sem nunca ver a luz do sol, enquanto uma exchange sempre acaba movendo as suas moedas em cold wallet uma vez ou outra (ai tem o risco). De qualquer forma, você está perdendo o ponto. Não tem como comparar o regular joe ("retail") com o Luke. "Se um dev do BTC que faz tudo o que tem ao seu alcance pode ser hackeado, imagine a sua tia do interior..." Quem não manja, não vai ter nem 1% do cuidado que o Luke teve. Então essa pessoa podem decidir manter suas moedas com uma plataforma de custodia e ter alguem de nivel igual ou superior sendo pago para proteger as moedas. Claro que exchanges são hackeadas toda hora, especialmente as menores, mas no longo prazo eu não vejo as gigantes do cenário sendo hackeadas com frequência. |
|
|
|
O que eu acho estranho nessa historia é ele mesmo não saber como foi roubado.
Acho que essa é a chave para se perceber o que se estar a fazer de errado.
Realmente é complicado. Você não sabe se alguém próximo conseguiu acessar o seu PC, se seus dispositivos foram hackeados (e como), se alguém fez um brute-force na sua seed e ganhou na loteria, etc... como corrigir algo que acontece sem mais nem menos, sem motivos aparentes? O cara não é qualquer um. Foi co-fundador da Blockstream e dev do Bitcoin Core por mais de 10 anos. Se alguém entende sobre segurança, principalmente envolvendo chaves privadas, é esse cara. |
|
|
|
Nice job BPIP team. How do I remove the marked icons please?
There's no userscript/extension so far which can remove these if I'm correct. Ahem... allow me to introduce you my newest script: // ==UserScript==
// @name Hide User Profile Icons
// @version 0.1
// @description Hides all the default icons under the user profile (Visit Website, Send DM, Visit Profile)
// @author TryNinja
// @match https://bitcointalk.org/index.php?topic=*
// @icon https://www.google.com/s2/favicons?sz=64&domain=bitcointalk.org
// @grant none
// ==/UserScript==
(function() {
'use strict';
const dm = document.querySelectorAll("td.poster_info > div > a[href*='?action=pm;sa=send;u=']");
const profile = document.querySelectorAll("td.poster_info > div > a[href*='?action=profile;u=']");
const url = [...document.querySelectorAll("td.poster_info > div > a > img[src='https://bitcointalk.org/Themes/custom1/images/www_sm.gif'")].map(el => el.parentNode);
const email = [...document.querySelectorAll("td.poster_info > div > a > img[src='https://bitcointalk.org/Themes/custom1/images/email_sm.gif'")].map(el => el.parentNode);
[...dm, ...profile, ...url, ...email].forEach(el => el.remove());
})();  |
|
|
|
ou na Binance?
Considerando que, até o presente momento, a Binance segue funcionando e, até onde sabemos, ela não foi hackeada: sim... afinal, ele ainda teria os seus 200+ Bitcoins.  O interessante é que o Luke Jr é um cara beem "paranoico" e "conservador" em vários assuntos. Nunca imaginaria ele sendo hackeado. Uma curiosidade é que ele é um dos grandes defensores da filosofia small block (já sugeriu até diminuir o tamanho limite de 1 MB para uns 300 KB) |
|
|
|
Desenvolvedor do Bitcoin Core, Luke DashJr, teve a sua chave PGP e mais de 200 Bitcoins roubados. https://twitter.com/LukeDashjr/status/1609613748364509184PSA: My PGP key is compromised, and at least many of my bitcoins stolen. I have no idea how. Help please. Mostra como até os mais experts sobre os processos de segurança podem ser hackeado fazendo a sua própria cústodia. |
|
|
|
Eu cheguei bem perto de investir e jogar o gods unchained na época que lançou, mas eu me recordo de ter investido no Splinterlands e também entrei em alguns projetos bem duvidosos hehehe, e acabei não entrando nesse jogo.
O @Paredao era outro que dominava o cenário do Splinterlands, lembro dele falando do jogo aqui desde 2021. Eu infelizmente perdi a paciencia para caçar esses jogos desde que o mercado foi por água abaixo. Não tenho jogado nada desde a época do STEPN. Esse Gods of Unchained eu reconheço há muito tempo, foi um dos primeiros que li sobre. Nunca pensei em entrar nele pois não sou muito fã desses jogos de carta (só o Axie que não tinha como fugir, já que eu acreditava dar dinheiro). |
|
|
|
edit: I confirm receiving the 30 USDT for the review. Thank you.  Some thoughts: 1. On the Login page, you could improve UX by letting people know beforehand that they will need to sign a message and what that means (especially that they won't pay any gas). 2. Maybe this is just me overthinking, but I just feel that "who is buying" and "who is selling" would suit better rather than "buyer" and "seller" on the "New Contract" card. More of this in the next point. 3. IMO, you could change the flow of the "New Contract" page in a way that looks like Typeform, one question at a time. Instead of a bunch of inputs, ask the user "Who is the buyer?", then "Who is the seller", etc... you could then put the tooltip description next to it, making it simpler for everyone to understand what each input represents. From this: https://talkimg.com/images/2023/05/13/blobb56650ad4f242c08.pngTo this: https://talkimg.com/images/2023/05/13/blobc82e7e6f8057d30b.png4. Another UX improvement, maybe turn the "Buyer protection time" input red (as in "error") when the value is invalid (i.e < 24 hours) instead of just warning about this when the user clicks the "Create" button. 5. I can't use decimals on the "Agreed amount" field (i.e 4.5 BUSD). 6. Maybe make it clearer that changes were made to the contract (i.e popup the notification on the screen, highlight the contract info that has changed, etc...). I could see myself approving something without noticing the change. I noticed there is a warning in the chat, but I could (also) see myself just talking with the other party through Telegram or DMs, completely ignoring that section. 7. On the contract page, you can't change the "buyer protection time" back to 24 hours (it should be >= 24 rather than > 24). 8. The contract we deploy isn't verified on the block explorer. Is that because you don't want to end up open-sourcing your contract template? If not, you can do that programmatically through Etherscan ( docs here) and Bscscan ( docs here). I'm not sure about the other explorers, though. That would improve the confidence of the contract and the platform (i.e "what if Zenland has a hidden backdoor on the contract?") 9. Remember which networks the seller accepts his payments through so he doesn't need to select everything all the time if he's adding many different items. 10. On the "My items" page, add a button to "share" an item, which should open the item's public page in a different tab or copy its URL to the clipboard. 11. Instead of the "One off product", let the seller specify how many items he has in stock. That info should show up on the item's product page. Let the buyer choose how many items he wants to buy at once. 12. Let the buyer write on the "Contract details" field or at least add an option for "Buyer extra details". Show the details on the contract info and on the chat. Maybe I (buyer) already want to specify where the seller should send my items (i.e my account id or email). 13. A direct visit to https://beta.zen.land/items?limit=10 results in an infinite loading of the "My items" card ( printscreen). Visiting it through the sidebar worked, though. 14. Let the seller deny/delete a contract draft before both parties approve it. Also maybe block an address from buying if someone is spamming contracts. Overall, everything went smoothly. I would probably use the platform as a middleman/store if I deem it trusted (super extra points if the contracts are verified so I could check it myself). |
|
|
|
A verdade é que são duas opções diferentes, totalmente válidas, para momentos e situações diferentes. Delivery existe por um motivo, e o iFood existe por um motivo. Ninguém está mandando alguém abandonar os restaurantes por delivery de comida, ou abandonar a cozinha para viver de iFood, pedindo almoço e janta todo dia. Um dia você pode ter vontade de pedir uma pizza e vai poder pedir, sem sair do sofá, pelo iFood. Ou quem quiser vender o seu gift card e nunca tocar no app, o direito é todo seu. agora... fazer tópicos ninguém quer, né? |
|
|
|
After NYE, I'll see if I can scrape what's missing (posts/merits) and maybe look at bypassing CF. Wish me luck.  Update: theymos has whitelisted my bot, so probably no more downtime related to Cloudflare. Thanks @LoyceV for asking for it. |
|
|
|
O total é 2BTC, mas o projeto tem quanto tempo?
Se tiver mais de 1 ano, e se envolver mais do que uma pessoa, então foi pouco dinheiro.
Olhando o repositorio git do projeto, apenas 1-2 devs tem uma atividade considerável (tem mais alguns, que aparecem de vez em quando). O commit mais antigo foi feito uns 3 anos atrás. Não parece ser algo que realmente dá dinheiro, no máximo um troco extra. |
|
|
|
Acontece que o iFood e o uber eats cobram uma taxa para voce botar seu restaurante. Dai voce tem que decidir o que vale a pena pra voce. Pagar JANTAR + ENTREGA + TAXA iFood ou pagar apenas o Jantar.  É o tal do "delivery"... Tem quem precise ou queira pedir delivery pois não quer ou não pode sair de casa, não tem tempo, não quer cozinhar e sujar louça, está sem gás... etc... É só o restaurante aumentar o preço para compensar as taxas, ai vai do consumidor. Alguns aqui na minha cidade até cobram o mesmo valor, pois provavelmente acaba valendo a pena pela divulgação que o app dá. Ou como eu disse, é só ir atrás das manhas e você paga menos pelo iFood do que indo no restaurante e supermercado.  |
|
|
|
Kkk Acho que o Trump está mais é zuando esse negócio de NFTs.
Ele recebeu $$$ para dar permissão para que alguém utilizasse a sua imagem nos NFTs. O importante são os dólares entrando na conta bancária (nem crypto ele deve ter recebido) e não a tecnologia ou o que mais tiver por trás do projeto. "A gente usa a sua imagem, você janta e joga golf com os caras, e te damos uma parte dos lucros" |
|
|
|
|
Could you share the smartcontract address and which project is this which you are part of? I would like to check.
Keep in mind that no one will accept your collateral if it's in form of a random ERC20 token with no volume or liquidity whatsoever. Or even if it has liquidity, it could have a sharp drop before the smartcontract unlocks it.
|
|
|
|
|
Show Posts
