Bitcoin Forum
July 28, 2021, 12:35:55 AM *
News: Latest Bitcoin Core release: 0.21.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 3 4 5 6 »  All
  Print  
Author Topic: Подозрительная кража битков  (Read 1490 times)
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 02:21:48 PM
 #1

У друга обчистили кошелек 23 июня, на 16 биткойнов. При этом последний раз он открывался в мае примерно. Судя по транзакциям, монеты ушли в миксер. Система использовалась чистая, Windows 7 x64, антивирус Kaspersky, кошелек Electrum 3.3.4 x64.
https://www.blockchain.com/btc/tx/50b308ebde798dad84e824dc8d98e4e4788abc8a1b65f0e7359b299c42eb56e8
https://www.blockchain.com/btc/tx/5a41cf8472f2b76db35c4c1728bcebfa5d13175e291211c7f9f26b37bd11c23a
Все настраивал я собственноручно, и по собственной оценке достаточно непробиваемо для атаки извне. Хочется разобраться с сценарием атаки, т.к. теперь я и за свои биткойны переживаю сильно. Если какая-то зараза стащила ключи в мае, почему так долго выжидали?

Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
1627432555
Hero Member
*
Offline Offline

Posts: 1627432555

View Profile Personal Message (Offline)

Ignore
1627432555
Reply with quote  #2

1627432555
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1627432555
Hero Member
*
Offline Offline

Posts: 1627432555

View Profile Personal Message (Offline)

Ignore
1627432555
Reply with quote  #2

1627432555
Report to moderator
1627432555
Hero Member
*
Offline Offline

Posts: 1627432555

View Profile Personal Message (Offline)

Ignore
1627432555
Reply with quote  #2

1627432555
Report to moderator
1627432555
Hero Member
*
Offline Offline

Posts: 1627432555

View Profile Personal Message (Offline)

Ignore
1627432555
Reply with quote  #2

1627432555
Report to moderator
investgroup
Full Member
***
Offline Offline

Activity: 644
Merit: 127


View Profile
January 19, 2020, 02:48:37 PM
 #2

к инету подключен был?

Че-нить вроде teamviewer стояло?   (если нет - то поставят - точнее ставят свой всегда даже если стояло)
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 02:51:57 PM
 #3

Никакого удаленного доступа в помине не было. Единственная точка проникновения, это браузер  Chrome  и эксплойты на сайтах вроде bitcoinwisdom.io. Однако я на таком сайте постоянно сижу, через подобный браузер, и тьфу-тьфу нет проблем

Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
investgroup
Full Member
***
Offline Offline

Activity: 644
Merit: 127


View Profile
January 19, 2020, 02:59:26 PM
 #4

А провайдер случайно не ростелелком на GPON? Wink

Ставят тимвьювер, там командный файл чистит логи потом, ну и самого себя - причем ставят всегда свой, даже если стоял, или не стоял, пофиг (что правильно и профессионально, кстати).


В общем звони срочно в ФСБ(СОРМ) и отдел-к - там в буфере СОРМ 12 часов будут храниться IP откуда зашли...


PS  не забудь записать звонок тк скорее всего это они-же и через СОРМ - будут прикидываться шлангами(типа фсб не знает что такое сорм, отдел-к начнет выяснять откуда и какие битки и тп) и тянуть время(будут требовать заявления письменного для начала расследования) - в общем всю эту байду запиши, потом подскажем что с ними делать...
kzv
Legendary
*
Offline Offline

Activity: 1694
Merit: 1252

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
January 19, 2020, 03:04:59 PM
 #5

Антивирь ничего не обнаруживает? В исключениях антивиря есть что-нибудь интересное? Винда лицензионная? Каспер лицензионный? Что раньше установили: каспера или электрум?
Увели одной транзакцией? Ключи созданы по сид фразе?

OpenTrade - Open Source Cryptocurrency Exchange
investgroup
Full Member
***
Offline Offline

Activity: 644
Merit: 127


View Profile
January 19, 2020, 03:08:24 PM
 #6

а вообще...  смелые вы люди, кошельки под виндой хранить!

Как отойдете - помедитируйте над этой идеей - в принципе можно сразу и насчет безопасности подумать, кому пересобрать ядро найдем, но донейты бы не помешали(потом можно будет свой коин замутить, но первое время донейты нужны, можно конвертнуть в премайновые монеты)...

https://bitcointalk.org/index.php?topic=5217066.msg53609043#msg53609043
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 03:14:23 PM
 #7

Ларчик кажется открылся просто:

https://github.com/spesmilo/electrum/issues/5452
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.

Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".




Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
investgroup
Full Member
***
Offline Offline

Activity: 644
Merit: 127


View Profile
January 19, 2020, 03:31:17 PM
 #8

Проверил файл кошелька:
https://www.virustotal.com/

ВСЕ коды майнеров, когда-то использованные в вирусах, в итоге попали в базу вирусов - если какому-то вирусу был нужен код кошелька(хотя бы для того чтобы искать его в памяти, например), то скорее всего и его занесли в базу...
igor72
Legendary
*
Offline Offline

Activity: 1092
Merit: 1098


View Profile
January 19, 2020, 04:06:02 PM
Last edit: January 19, 2020, 04:17:07 PM by igor72
 #9

Ларчик кажется открылся просто:

https://github.com/spesmilo/electrum/issues/5452
Так в чем дело, по-вашему? А то ничего не понял...
Quote
Проверил файл кошелька:
https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detection
Подозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого.

Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье".
Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11".
Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 04:47:52 PM
 #10

1. Так в чем дело, по-вашему? А то ничего не понял...

2. Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11".
Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.

Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
igor72
Legendary
*
Offline Offline

Activity: 1092
Merit: 1098


View Profile
January 19, 2020, 04:52:14 PM
 #11

1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 04:55:25 PM
 #12

В версии 3.3.4 фишинг уже был пофиксен. Раз вы сами ее устанавливали, то эту версию можно исключить.
Остается вариант, что перед этим и была фишинговая версия. Уже не упомнить, обновлял-ли я клиент после установки программы с оригинального сайта.
Однако, с учетом того что в 20-ых числах были ограблены и кошельки Bitcoin Core, история остается до крайности мутной.

Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
igor72
Legendary
*
Offline Offline

Activity: 1092
Merit: 1098


View Profile
January 19, 2020, 05:00:43 PM
 #13

история остается до крайности мутной.
Пароли на кошельках стояли? Достаточно сложные?
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 05:15:23 PM
 #14

Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать).

Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
SaracenRomero213
Hero Member
*****
Offline Offline

Activity: 1190
Merit: 516



View Profile
January 19, 2020, 05:26:00 PM
Merited by klarki (1)
 #15

Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать).
Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил?
johhnyUA
Legendary
*
Offline Offline

Activity: 1988
Merit: 1464


Crypto for the Crypto Throne!


View Profile
January 19, 2020, 05:26:30 PM
 #16

1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.


Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается.

В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.

Да фигня. Не помню конкретно в какой версии, но сначала ссылка была кликабельна, потом в версии не то 3.3.3 не то 3.3.4 ее просто сделали не кликабельной, но тело сообщения все равно выпрыгивало при попадании на подставной сервер. И люди брали, копировали ссылку и качали просто с нее  Smiley

Притом автор говорит что версия кошелька старая была.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
SaracenRomero213
Hero Member
*****
Offline Offline

Activity: 1190
Merit: 516



View Profile
January 19, 2020, 05:31:48 PM
 #17

1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.


Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается.
Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
johhnyUA
Legendary
*
Offline Offline

Activity: 1988
Merit: 1464


Crypto for the Crypto Throne!


View Profile
January 19, 2020, 05:46:32 PM
 #18

Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?

Да непонятная история. Я только что написал огромный пост, но капля воды упавшая на тачпад решила что он недостаточно хорош. Есть короче вероятность что друг хранил пароль на том же самом устройстве, а потом как то подхватил снифер. Каспер довольно дырявый на самом деле. Лучше уж встроенный Виндовс антивирус, майрософт ессеншиал как по мне.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
alpet
Legendary
*
Offline Offline

Activity: 1913
Merit: 1017


View Profile WWW
January 19, 2020, 06:07:39 PM
 #19

Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил?
Очень слабая вероятность. Ключевую фразу никуда не сохраняли, а копию зашифрованного кошеля я держал у себя все это время (ни разу не открывая). Ещё одна копия у него на флешке.

Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
Друг очень плавает в пользовании ПК, и конкретно с этим ноутбуком все операции обслуживания только мне доверял. У меня последние пару лет большая проблема с внимательностью, из-за сосудов головы или шейного отдела, поэтому допускаю что мог через фишинговую ссылку обновиться.


Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?

Novacoin we trust!
https://svcpool.io - PoS стейкинг и обменник NVC/BTC.
johhnyUA
Legendary
*
Offline Offline

Activity: 1988
Merit: 1464


Crypto for the Crypto Throne!


View Profile
January 19, 2020, 06:24:32 PM
 #20

Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?

Через электрум или coinbin довольно удобно и безопастно. А вообще для 16 битков можно было бы и аппаратник купить

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
Pages: [1] 2 3 4 5 6 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!