alpet (OP)
Legendary
 Offline
Activity: 1912
Merit: 1020
|
 |
January 19, 2020, 02:21:48 PM |
|
У друга обчистили кошелек 23 июня, на 16 биткойнов. При этом последний раз он открывался в мае примерно. Судя по транзакциям, монеты ушли в миксер. Система использовалась чистая, Windows 7 x64, антивирус Kaspersky, кошелек Electrum 3.3.4 x64. https://www.blockchain.com/btc/tx/50b308ebde798dad84e824dc8d98e4e4788abc8a1b65f0e7359b299c42eb56e8https://www.blockchain.com/btc/tx/5a41cf8472f2b76db35c4c1728bcebfa5d13175e291211c7f9f26b37bd11c23aВсе настраивал я собственноручно, и по собственной оценке достаточно непробиваемо для атаки извне. Хочется разобраться с сценарием атаки, т.к. теперь я и за свои биткойны переживаю сильно. Если какая-то зараза стащила ключи в мае, почему так долго выжидали? |
|
|
|
|
investgroup
|
|
January 19, 2020, 02:48:37 PM |
|
к инету подключен был?
Че-нить вроде teamviewer стояло? (если нет - то поставят - точнее ставят свой всегда даже если стояло)
|
|
|
|
|
alpet (OP)
Legendary
Offline
Activity: 1912
Merit: 1020
|
|
January 19, 2020, 02:51:57 PM |
|
Никакого удаленного доступа в помине не было. Единственная точка проникновения, это браузер Chrome и эксплойты на сайтах вроде bitcoinwisdom.io. Однако я на таком сайте постоянно сижу, через подобный браузер, и тьфу-тьфу нет проблем
|
|
|
|
|
investgroup
|
|
January 19, 2020, 02:59:26 PM |
|
А провайдер случайно не ростелелком на GPON?  Ставят тимвьювер, там командный файл чистит логи потом, ну и самого себя - причем ставят всегда свой, даже если стоял, или не стоял, пофиг (что правильно и профессионально, кстати). В общем звони срочно в ФСБ(СОРМ) и отдел-к - там в буфере СОРМ 12 часов будут храниться IP откуда зашли... PS не забудь записать звонок тк скорее всего это они-же и через СОРМ - будут прикидываться шлангами(типа фсб не знает что такое сорм, отдел-к начнет выяснять откуда и какие битки и тп) и тянуть время(будут требовать заявления письменного для начала расследования) - в общем всю эту байду запиши, потом подскажем что с ними делать... |
|
|
|
|
kzv
Legendary
Offline
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
|
|
January 19, 2020, 03:04:59 PM |
|
Антивирь ничего не обнаруживает? В исключениях антивиря есть что-нибудь интересное? Винда лицензионная? Каспер лицензионный? Что раньше установили: каспера или электрум?
Увели одной транзакцией? Ключи созданы по сид фразе?
|
|
|
|
|
investgroup
|
|
January 19, 2020, 03:08:24 PM |
|
а вообще... смелые вы люди, кошельки под виндой хранить! Как отойдете - помедитируйте над этой идеей - в принципе можно сразу и насчет безопасности подумать, кому пересобрать ядро найдем, но донейты бы не помешали(потом можно будет свой коин замутить, но первое время донейты нужны, можно конвертнуть в премайновые монеты)... https://bitcointalk.org/index.php?topic=5217066.msg53609043#msg53609043 |
|
|
|
|
|
|
|
investgroup
|
|
January 19, 2020, 03:31:17 PM |
|
ВСЕ коды майнеров, когда-то использованные в вирусах, в итоге попали в базу вирусов - если какому-то вирусу был нужен код кошелька(хотя бы для того чтобы искать его в памяти, например), то скорее всего и его занесли в базу... |
|
|
|
|
igor72
Legendary
Offline
Activity: 2016
Merit: 2081
Crypto Swap Exchange
|
|
January 19, 2020, 04:06:02 PM
Last edit: January 19, 2020, 04:17:07 PM by igor72 |
|
Так в чем дело, по-вашему? А то ничего не понял... Проверил файл кошелька: https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detectionПодозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого. Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье". Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11". Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум. |
|
|
|
alpet (OP)
Legendary
Offline
Activity: 1912
Merit: 1020
|
|
January 19, 2020, 04:47:52 PM |
|
1. Так в чем дело, по-вашему? А то ничего не понял...
2. Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11".
Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки 2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны. |
|
|
|
igor72
Legendary
Offline
Activity: 2016
Merit: 2081
Crypto Swap Exchange
|
|
January 19, 2020, 04:52:14 PM |
|
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить. |
|
|
|
alpet (OP)
Legendary
Offline
Activity: 1912
Merit: 1020
|
|
January 19, 2020, 04:55:25 PM |
|
В версии 3.3.4 фишинг уже был пофиксен. Раз вы сами ее устанавливали, то эту версию можно исключить.
Остается вариант, что перед этим и была фишинговая версия. Уже не упомнить, обновлял-ли я клиент после установки программы с оригинального сайта. Однако, с учетом того что в 20-ых числах были ограблены и кошельки Bitcoin Core, история остается до крайности мутной. |
|
|
|
igor72
Legendary
Offline
Activity: 2016
Merit: 2081
Crypto Swap Exchange
|
|
January 19, 2020, 05:00:43 PM |
|
история остается до крайности мутной. Пароли на кошельках стояли? Достаточно сложные? |
|
|
|
alpet (OP)
Legendary
Offline
Activity: 1912
Merit: 1020
|
|
January 19, 2020, 05:15:23 PM |
|
Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать). |
|
|
|
|
SaracenRomero213
|
|
January 19, 2020, 05:26:00 PM |
|
Пароли на кошельках стояли? Достаточно сложные?
Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать). Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил? |
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1850
Crypto for the Crypto Throne!
|
|
January 19, 2020, 05:26:30 PM |
|
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.
Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается. В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
Да фигня. Не помню конкретно в какой версии, но сначала ссылка была кликабельна, потом в версии не то 3.3.3 не то 3.3.4 ее просто сделали не кликабельной, но тело сообщения все равно выпрыгивало при попадании на подставной сервер. И люди брали, копировали ссылку и качали просто с нее  Притом автор говорит что версия кошелька старая была. |
|
|
|
|
SaracenRomero213
|
|
January 19, 2020, 05:31:48 PM |
|
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки
2. Это уже подозрительно получается тогда, если кошелек оригинальный, а биткойны утекли. На всякий случай я его удалил напрочь, поэтому дальнейшие проверки невозможны.
Если украли в 20х чтслах, то так скорее всего и было. По Электруму куча фишинговых файлов ходит, здесь никакой Касперский и фсб не помогут. Вообще сложно людям объяснить как так может быть, что в официальном кошельке вполне могут выскочить "просьбы обнов" от хакеров. Не понимают такого люди, масс адопшн пока откладывается. Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул? |
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1850
Crypto for the Crypto Throne!
|
|
January 19, 2020, 05:46:32 PM |
|
Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
Да непонятная история. Я только что написал огромный пост, но капля воды упавшая на тачпад решила что он недостаточно хорош. Есть короче вероятность что друг хранил пароль на том же самом устройстве, а потом как то подхватил снифер. Каспер довольно дырявый на самом деле. Лучше уж встроенный Виндовс антивирус, майрософт ессеншиал как по мне. |
|
|
|
alpet (OP)
Legendary
Offline
Activity: 1912
Merit: 1020
|
|
January 19, 2020, 06:07:39 PM |
|
Может проблема не в кошельке и пароле, а просто где то на другой машине с сетью был засвечен сид или приватные ключи от этих адресов? Могло такое быть? Как он копии хранил?
Очень слабая вероятность. Ключевую фразу никуда не сохраняли, а копию зашифрованного кошеля я держал у себя все это время (ни разу не открывая). Ещё одна копия у него на флешке. Откуда тогда обратно правильный кошелек взялся с официального сайта? То есть друг понял что лажанул, потом накатил нормальную версию и теперь alpet задачку подкинул?
Друг очень плавает в пользовании ПК, и конкретно с этим ноутбуком все операции обслуживания только мне доверял. У меня последние пару лет большая проблема с внимательностью, из-за сосудов головы или шейного отдела, поэтому допускаю что мог через фишинговую ссылку обновиться. Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно? |
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1850
Crypto for the Crypto Throne!
|
|
January 19, 2020, 06:24:32 PM |
|
Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. История с множественными кражами в 2019-ом, показывает чуть-ли не мистические ситуации с взломами. Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно?
Через электрум или coinbin довольно удобно и безопастно. А вообще для 16 битков можно было бы и аппаратник купить |
|
|
|
|
