Мой MetaMask взломан. Основы крипто-безопасности

[crypmike]

Около месяца назад я проснулся и увидел на экране телефона множество транзакций, связанных с моими эфирными адресами
Я сразу понял, что это взлом, и средства утеряны. Надо сказать, это было около 30% моих средств в крипте
Самое ужасное в тот момент было, что видеть, как хакер прямо на твоих глазах уводит все с кошельков, но это нельзя остановить



Все это время я анализировал причины и способы как этого избежать
У меня родился пост с разбором ошибок


Как меня взломали?

На самом деле хак стал возможным из трех факторов:

• Моя невнимательность, когда я сохранил и забыл сид от МетаМаска в Evernote
• Моё секьюрити-невежество, когда я позволил себе ввести данные в небезопансой сети и не имел 2FA
• Незащищенность Evernote, которые никак не смогли меня обезопасить от незнакомого входа

Но обо всем по порядку

Меня взломали, получив доступ к моему менеджеру заметок Evernote. Хакер с помощью бота проверил весть аккаунт и нашел сид-фразу в заметке, которую я создал 5 лет назад и совершенно про нее забыл. Я сам уже забыл и не знал, что она там есть.

Хорошие новости в том, что они не взяли никакие NFT.

Как он(и) получил доступ к моему Evernote? — я до сих пор до конца не понял. Приоритетная версия — я ввел данные аккаунта, находясь в небезопасной сети. Вторая версия - взлом самого Evernote, о чем свидетельствует странное поведение их системы. Но в сети новостей об этом я не нашел

Интересно то, как отработала защита Evernote — в ночь проишествия мне от них пришло письмо, что “В ваш аккаунт выполнен подозрительный вход. Если это вы, нажмите на кнопку в письме”. Кнопку я не нажимал, но доступ они все равно получили. Конечно, почту я тоже проверил от взлома, но там не было незнакомых логов.





Позже, Evernote мне сообщили, что кнопку никто не нажимал, *access was later gained via a login attempt that didn't meet the criteria to generate a notification to your email address*  — то есть вошли так, что нотификейшн просто не пришел на мою почту. Как это могло произойти, в компании рассказать отказались

Письмо пришло в 3:46. Первая операция на кошельке состоялась в 4:43

За это время, хакеры зашли в заметки, просканировали их и взломали ММ

То есть сделано быстро и с пониманием

Но вот дальше, они забыли вывести NFT, чем я и воспользовался. Правда, они это движение обнаружили и вывели бесполезное NFT от Coinlist



Как защититься?

• Понимать, что публичная сеть — это опасность,
• что незапароленная сеть может быть подставной
• Небезопасное соединение — уже не просто опасность, а критический риск
• Не жать по непонятным ссылкам, не участвовать в подозрительной халяве и тд.

Поэтому нужно

• Установить надежный антивирус;
• Не хранить ничего важного в облаках
• Везде включать 2FA аутентификацию
• Дополнительно можно страховаться hardware 2FA вроде YubiKey (например, для защиты аккаунта Google, к которому привязаны все 2FA)
• Установить плагин, который шифрует все соединения по протоколу HTTPS (лаборатория Касперского советует HTTPS Everywhere);
• Отключить автоматическое подключение к Wi-Fi сетям (по крайней мере, незнакомым);
• Не подключаться к сетям без шифрования (”небезопасная сеть”);
• Использовать VPN для шифрования данных в публичной сети
• Любые важные данные в общественном месте лучше вводить вообще через мобильную сеть (personal hotspot);
• Использовать менеджер паролей — он позволяет генерировать сложные пароли и надежно их хранить*
• Блокнот только для записей, что где хранится, в каком-то зашифрованном виде
• Не использовать приложения типа Metamask, которые хранят все адреса под одной сид-фразой. Если хакер получит доступ к сид-фразе, он получит доступ ко всем средствам сразу.
• Hе хранить сид от Metamask — достаточно хранить приватные ключи адресов
• Еще лучший вариант — использовать приложения, которые привязывают кошельки к разным сид-фразам (1inch Wallet или Zerion**).

*их тоже взламывают — не так давно был утекли данные LastPass. Я выбрал менеджер Keepr по совокупности отзывов на приложения iOS и Chrome.



Что делать, если взломали Metamask?

Если мы говорим про Metamask — вывести все c тех привязанных кошельков, откуда хакеры не вывели (ну а вдруг). Естественно, это должен быть кошелек, не привязанный к этому ММ . Это единственное, что можно сделать в момент хака.

Дальше можно для успокоения души оповестить поддержку Metamask, MEW, etherscan, бирж о кошельке хакера, но этим меры врядли не принесут результат

Я не нашел какого-то (де)централизированного сервиса для репортов на кошелки хакеров

Заявление написать в полицию тоже можно — ведь хакеру как-то придется выводить деньги, а при выводе он засветит свою личность. Но я не уверен, что кто-то будет этим активно заниматься.

Ну а дальше завести новый кошелек с учетом ошибок




Друзья, если вы можете как-то дополнить мой пост или просто оставить отзыв — буду рад увидеть в комментариях

[andy_pelevin]

У метамаска есть одна особенность, которую можно считать как багом, так и фичей,... если злоумышленник сможет завладеть сидфразой, то у него будет доступ ко всем Вашим адресам, в том числе и к новым. Но если Вы импортировали адрес, то к этому адресу нельзя получить доступ по сидфразе. Если Вы сгенерируйте себе в какой то другой программе, например, в MEW, несколько адресов и импортируете их в метамаск, то сидфраза не даст к ним доступ. Хранить на компе или в облаках ни чего не надо. Я всё храню в на флешках и в блокноте с избыточным дублированием.

Хранить в метамаске все свои адреса тоже не стоит. Импортировать или удалить адрес - минутное дело. Если это Ваш "сберегательный" адрес и Вы пользуетесь им 2-3 раза в год, то зачем его вообще держать в компе?

[xandry]

Как он(и) получил доступ к моему Evernote? — я до сих пор до конца не понял. Приоритетная версия — я ввел данные аккаунта, находясь в небезопасной сети. Вторая версия - взлом самого Evernote, о чем свидетельствует странное поведение их системы. Но в сети новостей об этом я не нашел

Интересно то, как отработала защита Evernote — в ночь проишествия мне от них пришло письмо, что “В ваш аккаунт выполнен подозрительный вход. Если это вы, нажмите на кнопку в письме”. Кнопку я не нажимал, но доступ они все равно получили. Конечно, почту я тоже проверил от взлома, но там не было незнакомых логов.





Позже, Evernote мне сообщили, что кнопку никто не нажимал, *access was later gained via a login attempt that didn't meet the criteria to generate a notification to your email address*  — то есть вошли так, что нотификейшн просто не пришел на мою почту. Как это могло произойти, в компании рассказать отказались

Письмо пришло в 3:46. Первая операция на кошельке состоялась в 4:43

За это время, хакеры зашли в заметки, просканировали их и взломали ММ

Занятно, так как я тоже не так давно получал два уведомления, но не о попытке войти, а о том, что запрошена смена пароля. Это было два раза с промежутком в несколько дней:
1. 19.12.2022
2. 23.12.2022

"Ломают" подумал тогда и просто удалил их. Затем решил как-то зайти на сам сайт (на котором я ничего не хранил никогда, регистрировался просто интереса ради) и после логина мне Evernote говорит

Требуется сброс пароля
Новый пароль должен отличаться от вашего текущего пароля. Нажмите «Изменить пароль». Вы получите письмо на адрес электронной почте, связанный с аккаунтом, со ссылкой для сброса пароля.

Не странно ли? Ну ок, сменил пароль и удалил аккаунт, чтоб не донимали больше.

[The0ldl_lser]

Не странно ли? Ну ок, сменил пароль и удалил аккаунт, чтоб не донимали больше.

скорее всего нужны более радикальные меры, смена устройства, хардрезет хотя бы

Edit. Моя теория в том, что нам подсовывают "обязательные" по новым законам приложения с бэкдорами. Совет не ставить "послевоенные" обновления может и не сработать.

[zasad@]

Я тоже иногда храню сид и приватники в текстовых файлах для разных новых монет, но суммы на этих кошельках мизерные.
Столько слов и рекомендаций, а неужели не было 80-150 долларов на леджер?  Если очень нравится управлять с телефона, nano Х спас бы от взлома.

[witcher_sense]

Название топика некорректно: технически говоря Metamask никто не взламывал, а взломали облачный менеджер заметок Evernote, в котром в недавнем прошлом предлагались такие интересные нововведения: Evernote’s new privacy policy allows employees to read your notes. Я не удивлюсь, если во "взломе" поучаствовал один из работников Evernote, которого заинтересовал набор слов, похожий на сид-фразу. Если бы она хранилась в зашифрованном виде, то хака удалось бы избежать, но кто в здравом уме отправляет заметки в зашифрованном виде?

Не использовать приложения типа Metamask, которые хранят все адреса под одной сид-фразой. Если хакер получит доступ к сид-фразе, он получит доступ ко всем средствам сразу.
Hе хранить сид от Metamask — достаточно хранить приватные ключи адресов

Я так понимаю эти советы касаются эфириумных кошельков (где одна сид-фраза соответсвует одному адресу), потому что обычно манипуляуии с одинарными ключами не совершают, ведь это крайне неудобно. Сид-фразу и изобрели, чтобы иметь возможность генерировать адреса пачками и для нескольких десятков блокчейнов, и отказываться от ее использования глупо. Как Вам уже посоветовали, купите аппаратный кошелек, который специально предназначен для безопасного хранения сид-фразы и интерактирования с блокчейном. Лучше надеяться на него, чем на шпионское ПО, скрывающееся под видом антивируса.

[bakasabo]

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

[zasad@]

https://bitcointalk.org/index.php?topic=5407489.msg60623511#msg60623511
Добавьте этот приватник во все свои облачные блокноты, пусть взламывают до бесконечности.

[Smartprofit]

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

Тут тоже есть свои риски, например, такие катастрофические события, как пожар или обрушение дома в результате взрыва газа, например.

Да даже серьёзное подтопление может уничтожить листок бумаги.

Также его может выбросить какой-нибудь родственник или съесть домашнее животное.

Я уже не говорю о таких ситуациях, как ограбление или обыск. Сейчас неприкосновенность жилище - это во многом иллюзия. Захотят - ты всё перевернут, уничтожат, а могут понять что это такое на самом деле и и просто перевести сатоши на свой адрес. С бумажными носителями тоже проблем хватает. И они не такие уже и надёжные.

[witcher_sense]

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

Любые серьезные web-ресурсы должны иметь защиту против атак перебором, если в течении определенного времени наблюдается необычная активность вроде ввода паролей, то врубаются разные защитные механизмы. Я вот к примеру пытался автоматизировать скачивание коллекций из Yandex Translate и воодил пароли не так часто (примерно 1-2 раза в минуту), но аккаунт заблокировали меньше чем за пять минут. Не думаю, что облачный сервис типа Evernote совсем плох в этом плане, так что инсайдерская работа остается более логичным вариантом. Хранить пароли на листочке бумаге - это опредленно безопасней, чем облачный сервис, но если не пользоваться компьютером вообще и жить в пещере как в каменном веке, то хакерам вам вообще не достать.

[bakasabo]

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

Тут тоже есть свои риски, например, такие катастрофические события, как пожар или обрушение дома в результате взрыва газа, например.

Да даже серьёзное подтопление может уничтожить листок бумаги.

Также его может выбросить какой-нибудь родственник или съесть домашнее животное.

Я уже не говорю о таких ситуациях, как ограбление или обыск. Сейчас неприкосновенность жилище - это во многом иллюзия. Захотят - ты всё перевернут, уничтожат, а могут понять что это такое на самом деле и и просто перевести сатоши на свой адрес. С бумажными носителями тоже проблем хватает. И они не такие уже и надёжные.

Риски есть всегда. По этому я советовал продублировать пароли на несколько листов и держать их в разных местах. Просто банально попробуйте вспомнить, сколько раз в сети вы натыкались на посты о том, как кто-то словил вирус или его взломали, и найдя пароли, украли средства. И сколько раз люди писали о том как потеряли средства, потому что кто-то нашел где-то на спрятанный лист с паролями. По моему первые случаи преобладают на вторыми.

Конечно данный способ не идеален, универсален и имеет свои изъяны. Но я чаще встречал случаи кражи паролей с компа, а случаи потери паролей по принципу "потом, пожар, собака съела, выбросили, ограбление, обыск, человек нашел и воспользовался" относились больше к каким-то курьезным или особым случаям.

[Smartprofit]

Я думаю что проблема в слабой или дырявой защите Evernote. Я в свое время пользовался данным блокнотом, хранил какие-то там заметки, ссылки, возможно пароли (раньше просто было модно пользоваться Evernote). Попользовался и забил. Но в течении года я так же получал уведомления на мейл о попытках входа и успешном входе в мою учетную запись. Подозреваю, что взломали мою и Вашу учетную запись банальным brute-force.

Я бы рекомендовал не использовать никакие менеджеры паролей, нигде ничего не сохранять в виде автозаполнения. И советовал бы по старинке выписывать всё на листик, и в случае паранойи дублировать данные листа на другой лист. 

Тут тоже есть свои риски, например, такие катастрофические события, как пожар или обрушение дома в результате взрыва газа, например.

Да даже серьёзное подтопление может уничтожить листок бумаги.

Также его может выбросить какой-нибудь родственник или съесть домашнее животное.

Я уже не говорю о таких ситуациях, как ограбление или обыск. Сейчас неприкосновенность жилище - это во многом иллюзия. Захотят - ты всё перевернут, уничтожат, а могут понять что это такое на самом деле и и просто перевести сатоши на свой адрес. С бумажными носителями тоже проблем хватает. И они не такие уже и надёжные.

Риски есть всегда. По этому я советовал продублировать пароли на несколько листов и держать их в разных местах. Просто банально попробуйте вспомнить, сколько раз в сети вы натыкались на посты о том, как кто-то словил вирус или его взломали, и найдя пароли, украли средства. И сколько раз люди писали о том как потеряли средства, потому что кто-то нашел где-то на спрятанный лист с паролями. По моему первые случаи преобладают на вторыми.

Конечно данный способ не идеален, универсален и имеет свои изъяны. Но я чаще встречал случаи кражи паролей с компа, а случаи потери паролей по принципу "потом, пожар, собака съела, выбросили, ограбление, обыск, человек нашел и воспользовался" относились больше к каким-то курьезным или особым случаям.

Я часто теряю пароли, потому что теряю какую-то бумажку или что-то в этом роде. То есть у меня на практике такое бывало неоднократно. Забывал даже важные пароли, выкидывал записные книжки и так далее. В централизованных системах можно восстановить по телефону или вспомнить свой старый e-mail, а вот с криптовалютой это не прокатит.

Недавно на форуме наткнулся на тему, когда пользователь потерял доступ к биткоину, потому что у него был пожар.

Его бумажный блокнот с сидом сгорел, аппаратный кошелёк оплавился.

То есть разные ситуации бывают, особенно в наше непростое время.

Ну и случаи взлома компьютеров конечно тоже очень огорчают. Особенно когда взламывают таких опытных пользователей, как разработчик bitcoin core. Уж он-то казалось бы должен был всё предусмотреть. По-хорошему у него мозг должен быть именно на это заточен.

Но оказалось всё не так, и риск существует всегда.

[crypmike]

Я тоже иногда храню сид и приватники в текстовых файлах для разных новых монет, но суммы на этих кошельках мизерные.
Столько слов и рекомендаций, а неужели не было 80-150 долларов на леджер?  Если очень нравится управлять с телефона, nano Х спас бы от взлома.

леджер есть, принципиально им не пользовался, тк постоянно подключась туда-сюда, с ним теряется мобильность. но это совсем другая тема

Недавно на форуме наткнулся на тему, когда пользователь потерял доступ к биткоину, потому что у него был пожар.

Его бумажный блокнот с сидом сгорел, аппаратный кошелёк оплавился.

это то, что я держу в уме, когда выбираю между хранением на бумаге или онлайн. от всех кейсов не застрахуешься

[Pavel.Savelev]

У меня несколько сид фраз было записано в "записках" в самусунге. интересно их только хакеры шерстят? как прочитал твой пост, сразу удалил оттуда давно хотел это сделать да все никак, признателен за то что отвесил мне магического ускоряющего пендаля.

[Smartprofit]

У меня несколько сид фраз было записано в "записках" в самусунге. интересно их только хакеры шерстят? как прочитал твой пост, сразу удалил оттуда давно хотел это сделать да все никак, признателен за то что отвесил мне магического ускоряющего пендаля.

У меня правда не было никогда смартфона samsung. Однако могу предположить, что записки эти завязаны на какое-нибудь облако или синхронизацию. Сейчас же оффлайн записок никто и не делает. Тем более если это часть экосистемы фирмы samsung.

А если там есть синхронизация и облако, почитать эти записки могут очень многие люди, и не обязательно хакеры.

Вот недавно google документы взломали, все выложили на обозрение.

Поэтому Сид который побывал в таком общедоступном можно сказать блокноте, нужно заменить.

Перевести деньги на другой кошелёк потихоньку. На кошелёк с другим сидом. ИМХО.

[Vadi2323]

Меня взломали, получив доступ к моему менеджеру заметок Evernote. Хакер с помощью бота проверил весть аккаунт и нашел сид-фразу в заметке, которую я создал 5 лет назад и совершенно про нее забыл. Я сам уже забыл и не знал, что она там есть.

Пароли, записанные в Блокноте и хранящиеся на компьютере, и подобные ситуации - это всегда приятный сюрприз для хакера, получившего доступ к компьютеру.

[Woodman]

Иногда перекидываю через телегу приватники и сид фразы между компом и смартфоном, потом удаляю, мне так быстро и удобно. Интересно их тоже могут вскрыть как то если взломают телегу?

[Smartprofit]

Иногда перекидываю через телегу приватники и сид фразы между компом и смартфоном, потом удаляю, мне так быстро и удобно. Интересно их тоже могут вскрыть как то если взломают телегу?

Да, думаю легко.... Во первых сиды и приватники нужно вводить, а не копировать.
Если их копировать, то информация попадает в буфер обмена а буфер обмена - это очень уязвимое для хакинга пространство.

Телега тоже непонятная тема. Начиная с того что ранее по умолчанию, она показывала всем заинтересованным лицам, номер телефона человека не скрывая его. То есть защиты там никакой нет.

Можно предположить что с телеги можно сделать скриншот, по умолчанию.

Да наверное много уязвимостей есть, которыми хакер может воспользоваться.

К Телеге вообще никакого доверия нет.

[witcher_sense]

Иногда перекидываю через телегу приватники и сид фразы между компом и смартфоном, потом удаляю, мне так быстро и удобно. Интересно их тоже могут вскрыть как то если взломают телегу?

Прочитайте этот тред на Реддите: https://www.reddit.com/r/Telegram/comments/ffkef3/can_telegram_staff_or_admins_see_my_saved_messages/

Если вкратце, то там говорится, что заметки Телеграм хранятся на серверах в зашифрованном виде, и при желании их могут расшифровать, потому что у работников Телеграм есть доступ к ключам. Если вы удалите сид-фразу из заметок или сообщений, то далеко не факт что она исчезнет и с их серверов. В худшем случае, она будет храниться там очень долго и со временем попадет не в те руки. Иными словами, если вы кидаете сид-фразу от кошелька в Телеграм, то кошелек становится зашквареным навсегда, то есть пользоваться им потенциально опасно.

Возможен такой сценарий:

1) В вашей стране вводят запрет на использование биткоина
2) Правительство обращается к руководству телеграм с требованием передать все сид-фразы, которые поступали на сервера с IP-адресов этой страны
3) Все переданные сид-фразы конфискуются и все средства утекают в бюджет

[Smartprofit]

Иногда перекидываю через телегу приватники и сид фразы между компом и смартфоном, потом удаляю, мне так быстро и удобно. Интересно их тоже могут вскрыть как то если взломают телегу?

Прочитайте этот тред на Реддите: https://www.reddit.com/r/Telegram/comments/ffkef3/can_telegram_staff_or_admins_see_my_saved_messages/

Если вкратце, то там говорится, что заметки Телеграм хранятся на серверах в зашифрованном виде, и при желании их могут расшифровать, потому что у работников Телеграм есть доступ к ключам. Если вы удалите сид-фразу из заметок или сообщений, то далеко не факт что она исчезнет и с их серверов. В худшем случае, она будет храниться там очень долго и со временем попадет не в те руки. Иными словами, если вы кидаете сид-фразу от кошелька в Телеграм, то кошелек становится зашквареным навсегда, то есть пользоваться им потенциально опасно.

Возможен такой сценарий:

1) В вашей стране вводят запрет на использование биткоина
2) Правительство обращается к руководству телеграм с требованием передать все сид-фразы, которые поступали на сервера с IP-адресов этой страны
3) Все переданные сид-фразы конфискуются и все средства утекают в бюджет

Да, telegram похоже со всеми правительствами сотрудничает. Если bitcoin будет запрещён, то он предоставит всю информацию, связанную с биткоином компетентным органам.

Павел Дуров только в начале играл в Нео, а потом стало понятно что он прежде всего бизнесмен,  и как бизнесмен он вполне договороспособен.

Что касается ситуации, когда сотрудники компании передавали данные или использовали для своих целей, то это очень часто встречается.

Тем более с биткоином всё очень просто. Создать новый адрес с помощью Сида который является ключом ко всему, перевести все деньги на этот Новый адрес.

Всё же очень просто...