Вывели с биржи BITTREX 0.5 бтк через API-keys которые не име

[realter]

Бот у нас с Виталей один(не считая табтрейдера) - и подозреваю что с бота ушли ключики.
Но отдавая ключи я отлично понимаю что они уже не мои - поэтому они все без права вывода.
Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.
У меня стоит убунта - 2фа на телефоне канечно.

скрины:
https://a.radikal.ru/a10/1903/4f/4d9f249e7eda.jpg
https://d.radikal.ru/d21/1903/97/c3bbe251fc4b.png
http://joxi.ru/YmENvDXhwBelM2

У меня также вывели.
Поддержка говорит что логов нету, нет также данных когда ключи вдруг поменяли привелегии, так как после вывода все ключи были без права вывода
Для смены прав нужен 2фа.
Не могут также дать ключ через который вывели средства.
Я не представляю как можно не подписывать операциив аккаунте кодом интерфейса(публичным ключом/кодом вебинтерфейса и т.д.).
также логинов чужих не было - да и захожу я в акк раз в 1-2 месяца. Все остальное через API.

Zorn отвечает со стороны битры - но он совсем монолитен - грит у вас увели и почту и 2фа и ключи.
Я им говорю - тогда почему биржи привязанные к этойже почте не пострадали? - Он туп как валенок.

Какой бот у вас? Сколько ключей? Куда их раздавали? Давайте пруфы происходящего...

ПС: Коротко запостили и сбежали... В чем смысл прятаться как преступника и недоговаривать, если вы являетесь пострадавшим? Зачем надо вас расспрашивать о каждой детали и мелочь? Как минимум нужно описать какая OS, какой софт для торговли, скрийншотов из биржи: 2ФА, ключи, логи акаунта, баланса, выводах; скриншотов и логи из почту и т.д. Все это на весь экран с дата и чась, а не какие-то обрезки!

Извиняюсь - надо было срочно за руль.

[FS2018]

Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.

На биттрексе не требуется. Там одного api ключа за глаза хватает. Это на полониксе, битфинексе есть такое...

[Raxxla]

Какой бот у вас? Сколько ключей? Куда их раздавали? Давайте пруфы происходящего...

ПС: Коротко запостили и сбежали... В чем смысл прятаться как преступника и недоговаривать, если вы являетесь пострадавшим? Зачем надо вас расспрашивать о каждой детали и мелочь? Как минимум нужно описать какая OS, какой софт для торговли, скрийншотов из биржи: 2ФА, ключи, логи акаунта, баланса, выводах; скриншотов и логи из почту и т.д. Все это на весь экран с дата и чась, а не какие-то обрезки!

ТС не интересно разбираться в подробностях, он и так уже понял, что лоханулся, придётся сносить систему (или вообще на другой комп пересесть). Интересно ему только надавить на биржу, чтобы та оплатила его разгильдяйство. Одним днём человек живёт.

[realter]

Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.

На биттрексе не требуется. Там одного api ключа за глаза хватает. Это на полониксе, битфинексе есть такое...

Я попадался на "nonce" на битре - бот воспринимал это как фатальную ошибку и шатдаунился.

[JohnSilver]

Опят та же песня – один скриншот с телефона, другой обрезка не зная с чего и когда. Так никто не поможет вам – мне достало, разбирайтесь сами что напутали. От того что вы видите 20+ кея, а съпорт только 6, мне говорить что ваш комп стал зомби и проходите через какое-то прокси – то что видите на экране ложь! Зайдите с другой комп и с другое IP – примерно с комп друга. Ничего уже не теряете – баланса нет, а акаунт скомпрометирован.

Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.

На биттрексе не требуется. Там одного api ключа за глаза хватает. Это на полониксе, битфинексе есть такое...

Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.

[FS2018]

Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.

Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...

[realter]

Скриншот с телефона - сделан в тот же день что и произошел вывод

http://joxi.ru/LmGjvDkIwgKEEr - этот на текущий момент
http://joxi.ru/E2pbQgGs74bEzr - это ключи не в обрезке

По поводу 20 против 6 - Возможно Zorn запутался.

По поводу зомби - вывели бы все со всех бирж.
С другого компа/локации заходил - контент не отличается.

Опят та же песня – один скриншот с телефона, другой обрезка не зная с чего. Так никто не поможет вам – мне достало, разбирайтесь сами что напутали. От того что вы видите 20+ кея, а съпорт только 6, мне говорить что ваш комп стал зомби и проходите через какое-то прокси – то что видите на экране ложь! Зайдите с другой ком и с другое IP – примерно с комп друга. Ничего уже не теряете – баланса нет, а акаунт скомпрометирован.

Требуется несколько ключей ибо бот торгует на конкретной паре и могут быть проблемы с "nonce" если одни и теже ключи используются для разных пар.

На биттрексе не требуется. Там одного api ключа за глаза хватает. Это на полониксе, битфинексе есть такое...

Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.

По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)

[JohnSilver]

Что характерно, у двоих включены на ключей маркет ордера – такая функция на Битрексе пока нет. Если съпорт путается сразу спрашивайте конкретно об этом. Ничего не теряете, а там все документируется.

Ага, у меня библиотека отсылает параметр nonce (целое число юникс тайм по 1000) с всех запросов (и на пъблик) дабы не получать кешированные резултаты. Один кей хватает на все, кроме если не нужно другой только с права чтения для какой-то сайт с статистики.

Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...

Я тоже на версия 1.1 работаю. а только част из запросов к 2.0 отправляю, но движок один.

[FS2018]

По нонсе - там бот открывает новый процесс для каждой пары торгов и могут быть накладки.
Например по какомуто запросу произошло увеличение таймаута, а другой более свежий запрос успел проскользнуть в этот таймаут - тогда запрос со старым нонсе будет отвергнут и бот уйдет в шатдаун.(это для очень коротких промежутков врмени)

Ну он к часам привязан,  если пинг стабилен,  то по-идее все хорошо и так должно работать. У меня все пары параллельно работают. Проблема эта известная,  но мне кажется, что код кривоват в этом плане.

В любом случае,  ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано,  что там в моменте появлялась возможность такое повернуть.

[JohnSilver]

Для смены прав нужен 2фа.

А он у вас включен?

Ну он к часам привязан,  если пинг стабилен,  то по-идее все хорошо и так должно быть

Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.

В любом случае,  ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано,  что там в моменте появлялась возможность такое повернуть.

Время когда провернули краже довольно совпадает...

[

[Vitaliwit]

У меня стоит убунта - 2фа на телефоне конечно.

У меня включён  2фа .

Проблема в том, что вывели по ключам без прав вывода. С биржи прекрасно все видят. Если меняли права, то когда и с какого айпи. И видят, что вывели по ключам без прав вывода.

[realter]

Да 2фа включон.

И ip одинаков и на один и тотже кошель btc увели.
Увел один хацкер. Но как он это сделал без прав на вывод не пойму.
Ощущение что получив базу ключей он прошелся по ним и что смог вывести то и вывел.
По идее ключи были созданы в середине 2017года, права доступа изначально были без вывода.

Возможно обновление на стороне битры дало вощможность на тех ключах без прав вывести, хотя в интерфейсе они отображены как без права вывода.

Для смены прав нужен 2фа.

А он у вас включен?

Ну он к часам привязан,  если пинг стабилен,  то по-идее все хорошо и так должно быть

Пинг не имеет отношение. Время течет линейно и даже если нету ответа от бирж, то каждый новой запрос будет с нонсе побольше и будет отличатся от предыдущим. Совпадение до 0.001 секунд крайне маловероятно даже если запускаете многократно одна и та же программа. Ну в крайнем случае получите ошибка и все разнесется в времени и продолжить работать в штатном режиме.

В любом случае,  ключики то скорее всего увели. Тут главный вопрос как вывели без возможности вывода. Может оно как-то с обновлением связано,  что там в моменте появлялась возможность такое повернуть.

Время когда провернули краже довольно совпадает...

https://a.radikal.ru/a10/1903/4f/4d9f249e7eda.jpg
[

https://b.radikal.ru/b08/1903/9c/9718b4c408a7.jpg

[JohnSilver]

При положение что все верно с скрийншотами, то одно ясно – Битрекс морозится и не хочет признавать свою ошибку и дыра в API систему. Ну я вам говорил – переоткривайте тот же тикет и задавайте конкретных вопросов съпорту. Даже если опубликовали ключи в открытом доступе, то вина за вывода не в вас...

Месяц назад пробовал работают ли маркет ордера и при изменение права на ключе в активити отмечается как API-key SET (что-то в том же духе – по память говорю, лень сейчас смотреть), а само изменение запрашивает 2ФА пароль. Также приходит письмо об изменениях. У вас такое нет в актив-лога и ключи без прав на вывода.

Все случилось после таго как делали ъпдейт портфелях на биржу – возможно наняли кого-то стороннего для процеса и он засунул руки где можно: https://twitter.com/BittrexExchange/status/1101609032014544896

ПС: Советую всем удалить старых ключей на Битрексе и создать новых!

[realter]

Вот хочется узнать, может у кого еще возникла подобная проблема.
Или может ктото попробует на своих ключах без вывода - вывести средства.
Напомню те ключи по которым вывели созданы ориентировочно летом 2017.
Прецедент поможет нам как разобраться так и указать на вину биржи.

Сам проверить не могу - аккаунт дисаблед.

[JohnSilver]

Бот у нас с Виталей один (не считая табтрейдера)...

А какой именно?

Сам проверить не могу - аккаунт дисаблед.

Вообще подход у вас неверный и в тикетах и сюда – надо трубить не что вас хакнули... Где ваша тема в английскую ветку? Тут мало кто торгует на Битрексе из за проблемную верификацию и наверно я единственной не русский кто обратил вам внимание.

Я хз как в версии v2.0, а в первой версии там хоть "ддос" устраивай из параллельных запросов. Ну бывают ошибки конечно, но не из-за nonce, он там вообще по-моему для галочки. А лимиты 200k ордеров в сутки чтоли было...

Не только для галочки! Пример: если делаете сходный запрос с тех же параметров что и раньше, то подпись с привейт ключа будет один и тот же, а это уже дыра в коммуникациях и поддается на атак мен-ин-дъ-мидл.

[Vitaliwit]

Подскажи, в какую ветку написать о BITTREX. Где будет более эффективным сообщение?

[TopTort777]

Помощи от биржи на форуме врядли найти. Сомневаюсь что тут есть представители биржи. Но я бы минимум в Scam Accusations создал топик и попытался бы раскачать тему, чтобы больше людей увидело.

[JohnSilver]

Подскажи, в какую ветку написать о BITTREX. Где будет более эффективным сообщение?

Anyway, try to move your thread to more proper section like Beginners & help or Exchanges, you probably will get more response there.

Тебе позавчера уже написали...

[a_kha]

Та же самая проблема - вывели с Bittrex через API-ключ на котором не было права вывода.
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...

[kazakhanonim]

Та же самая проблема - вывели с Bittrex через API-ключ на котором не было права вывода.
И тоже в ответ техподдержка стала гнать про скомпроментированные почту, 2FA, логин/пароль зараженный компьютер, телефон, фишинг и сразу закрывала тикет. Только с 3-го подхода признались, что вывели через API-ключи, якобы их модифицировали, разрешив вывод, вывели средства, потом опять модифицировали, короче, не выдерживает никакой критики.
Сейчас продолжают придеживаться той же версии, не отвечая по нескольку ней. Видимо, надеятся, что мне надоест и я отстану...

Сожалею, надеюсь что сумма была не критичная для вас. Интересно почему биржа не предпринимает никаких мер, если известна эта уязвимость?