Кажется меня взломали - как не потерять биткионы и не только их

[fullzero 35620]

10 hours ago, benzotrav said:

Если флешка хранит в себе информацию, а аппаратный кошелек делает внутри себя все транзакции и выводит на экран устройства владельца лишь готовые транзакции к просмотру

Аппаратник только подписывает транзакцию, затем она транслируется в кошелёк с подключением к сети и уже оттуда идёт её загрузка в сеть. Сам он по сути ничего не отсылает в сеть. 

 

10 hours ago, benzotrav said:

 при заражении устройства владельца ему не грозит взлом аппаратника, то почему через юсб подключение, как на флешке ничего скинутся на аппаратник не может? Он же высылает данные.

Потому что аппаратник не умеет принимать файлы (скачивать). У него только один функционал: подпись транзакций. 

 

8 hours ago, Nikitazap said:

Что в принципе и стоило доказать. Кто его знает, может быть назначение подобных ссылок посеять недоверие к аппаратным кошелькам и заманить как можно больше народа хранить депозиты на биржевых и онлайновых кошельках. А такие неучи просто разносят эту заразу в массы,

Почему же? Это поучительная история ещё раз доказывает, что нефиг давать свой аппаратник в чужие шаловливые ручки.😆 Хотя не все шаловливые ручки умеют поменять прошивку на аппартнике.

 

1 час назад, mdv said:

Дак в том то и дело, что это не взлом, а игра в поддавки - отдай аппаратник в руки, да еще и в лабораторию к классным спецам в криптографии. Затем смешной пароль 1234, который и школьник без особых усилий сломает. А в итоге пшик - если стоит пассфраз, то дальше тупик, он не хранится там - взлом не состоялся, сид без него абсолютно бесполезен, но и пассфраз должен быть достаточно сильным. Зато красивый газетный заголовок - хакнули за 15 минут. Эти заголовки рассчитаны на толпу, кто вообще не в теме.

Действительно, это больше похоже на эксперимент, ведь для того, чтобы такое провернуть в реальной жизни, должно сойтись очень много факторов. А это, как мы убедились, совсем не просто.

[mdv 37587]

1 hour ago, Yriyst said:

Полностью согласен. Такое вообще в принципе повсеместно встречается. Заголовки рассчитаны на людей, которые если и разбираются в теме, то только поверхностно.

Да и даже в уважаемых изданиях видел полно статей шитых белыми нитками, где явно видно, что сам автор не очень в теме, а лишь написал шаблонную статью на заказ. Дилетант написал, дилетанты прочитали, и понеслось.

10 minutes ago, fullzero said:

Действительно, это больше похоже на эксперимент, ведь для того, чтобы такое провернуть в реальной жизни, должно сойтись очень много факторов. А это, как мы убедились, совсем не просто.

Ты прав, там слишком много но. Свести воедино все условности в реальной жизни не получится. И кстати, эксперименты подобного рода очень хороши уже тем, что хоть они и не особо реальны, но разрабы все же на них реагируют, не сидят на попе ровно.

[CrazyPool 25796]

16 hours ago, fullzero said:

Я то думал действительно что-то интересное, а это даже физический доступ, который и взломом можно с натяжкой назвать. Я понимаю дистанционно... Тогда уж легче физическими действиями привлечь хозяина кошелька раскрыть все данные, чем проводить такие манипуляции с кошельком. 

 Через физический доступ решаются все необходимые проблемы - так как технология блокчейна имеет достаточно внушительную защиту,остается только физический доступ как например: Программисты смогли взломать аппаратный кошелек единственное условие (Он должен быть у них на руках) и всё доступ открывается ко всем средствам.В сети это сделать практически не реально,технология до такого прогресса ещё не доросла. 

[mdv 37587]

6 minutes ago, CrazyPool said:

единственное условие (Он должен быть у них на руках) и всё доступ открывается ко всем средствам.

Да и там еще есть куча условностей, одного физического доступа мало. Использование пассфраз дает совершенно другой кошелек со своим набором адресов - хешируется сид вместе с пассфразом. Выдернуть то сид при определенных условиях можно, но беда, пассфраз чип не хранит. Поэтому хакер на выходе получит просто совершенно другой кошелек со своими пустыми адресами.) 

[CrazyPool 25796]

1 minute ago, mdv said:

Да и там еще есть куча условностей, одного физического доступа мало. Использование пассфраз дает совершенно другой кошелек со своим набором адресов - хешируется сид вместе с пассфразом. Выдернуть то сид при определенных условиях можно, но беда, пассфраз чип не хранит. Поэтому хакер на выходе получит просто совершенно другой кошелек со своими пустыми адресами.) 

 Сейчас ради интереса я решил немного проштурмовать интернет и посмотреть кто ещё смог взломать аппаратный кошелек (естественно статьи о 15 летних программистов я отсеиваю) был случай уже когда пользователь просто использовать стандартную строку и изменил внешний вид Mew сказав что у него 15 эфиров (это было в далеком 2017 году).
 Вот касательно аппаратника - большинство статей и новостей были опубликованы в 2018-2019-2020 году моменты где рассказывают каким образом они взламывают кошельки - https://blog.kraken.com/post/3248/flaw-found-in-keepkey-crypto-hardware-wallet-part-2/ 
 Статья вроде старая,но мне показалась интересная а так как я не являюсь программистом мне немного кажется что это сказка.

[dmitro777 8318]

22 hours ago, alievanton263 said:

Все верно, но я думаю что вполне достаточно отдельного браузера и хорошего антивируса, если много крипты то стоит потратится на холодный кошелек.

Кстати про холодильник, мой хороший знакомый сказал, что всё проще, взял ключи и забыл про головняк, так что всё проще.

[mdv 37587]

16 minutes ago, CrazyPool said:

 Сейчас ради интереса я решил немного проштурмовать интернет и посмотреть кто ещё смог взломать аппаратный кошелек (естественно статьи о 15 летних программистов я отсеиваю) был случай уже когда пользователь просто использовать стандартную строку и изменил внешний вид Mew сказав что у него 15 эфиров (это было в далеком 2017 году).
 Вот касательно аппаратника - большинство статей и новостей были опубликованы в 2018-2019-2020 году моменты где рассказывают каким образом они взламывают кошельки - https://blog.kraken.com/post/3248/flaw-found-in-keepkey-crypto-hardware-wallet-part-2/ 
 Статья вроде старая,но мне показалась интересная а так как я не являюсь программистом мне немного кажется что это сказка.

Я в общем то за темой слежу, для меня это не новинка. На тапке также подписан почти на все темы, которые прямо или косвенно касаются кошельков - там тоже пристально следят. Все это так или иначе касается именно прямого доступа к девайсу. Разрабы тоже не дураки, и следят и оперативно реагируют. Удаленный взлом пока еще произвести никому не удавалось, такой информации нет. Есть некоторые историй пропаж, но в них явно видно, что человек сидфразу просто сам подарил. Ну как пример - https://www.reddit.com/r/TREZOR/comments/f369r7/trezor_one_hacked_all_coins_stolen/  - чел ввел сид на каком то онлайн фейке.

 

[mdv 37587]

16 hours ago, benzotrav said:

Ответ как раз таки верный

Это вам так кажется, что верный. Но как видите с вами не очень то согласны, и я не единственный) Попробуйте вашу позицию озвучить на тапке - там может быть помогут вам против меня найти сильнейшие аргументы. Ну и убьете меня ими наповал - я же легко соглашаюсь, если аргументы сильные.) Кстати, тапок для вас авторитетный источник? Там есть нормальные спецы, кто шарит в вопросе?

16 hours ago, benzotrav said:

к какому месту этот вопрос про блокчейн биткоина?

К тому, что я плавно хотел подвести к сути, начиная с самых основ криптографии, но по моему бесполезно, мои доводы на вас совсем не действуют.) Похоже, что вы их толком и не прочитываете.)

16 hours ago, benzotrav said:

Для этого надо взламывать сотни тысяч серверов одновременно

Тоже утверждение не верное - ноды хранят лишь копии блокчейна, и нет никакой необходимости их ломать. Достаточно внести в сам протокол битка изменения, и ноды их подхватят - это если говорить о взломе, и это я имел ввиду когда спрашивал. Но можно и не ломать, а устроить атаку 51, сеть просто разделится. Ну да ладно.

16 hours ago, benzotrav said:

Квантовый компьютер через десяток лет и не такое творить будет, но для чего сравнивать сеть и устройство?)

Не будет вытворять, ибо и такой сценарий уже давно предусмотрен.) А сравнивать потому, что принципы работы криптографии универсальны.

 

[Foorgal 1]

Главное вирусов не подхватить на компьютер

[CrazyPool 25796]

16 hours ago, benzotrav said:

Так и я о том же, мне здесь просто говорят, что вирусы заточены под операционную систему, они универсальные вообще-то и ими спокойно управлять могут владельцы этого вируса так-то, зачем по вашему стиллеры закидывают в игры и сборки, чтобы воровать аккаунты игровые? Или кошельки или банковские карточки при сильных шпионах и таких вирусах, которые даже наборы с клавиатуры запоминают и таким образом все, что вы печатаете - видно тому, кто вас заразил) И все уверены в том, что апаратник неуязвим, ну такое себе)

 Мы это уже обсуждали,разновидностей более чем достаточно в добавок они могут их улучшать.Не знаю на счет игровых сборок и репаков у меня с этим ни разу проблем не возникало за 15 лет использования да и кто захочет в своём уме тратить время на всяких школьников? 
 Ни одна защита не может быть идеальной,есть те кто стоят на одну ступеньку выше по сравнению с другими а разница может казаться не ощутимой на первый взгляд тут уже смотрите сами.

[Gaspar 1857]

52 minutes ago, nikolajmitkalik said:

Если жалко терять свои заработанные средства ,то конечно лучше все таки заморочится с холодным я пока не создавал честно говоря .

Проблема многих в том, что начинают потом куралесить) То ключи вводить где попало, то еще что-нибудь, тем самым теряя свои средства, но когда пишут где-то статьи, то они не виноват, виноваты именно создатели, что украли у них средства.

[sn7540872 9665]

Если вас уже обокрали,то надейтесь на киберполицию,когда это работать никто не знает,не совершайте прежних ошибок,даже защита не поможет,если вы будете у себя все открывать,переходить по ссылкам и лазить везде,где можно легко поймать вирус,подключить хороший антивирусник,он просто будет не давать вам заходить на подозрительные ресурсы.

[CrazyPool 25796]

1 hour ago, mdv said:

Я в общем то за темой слежу, для меня это не новинка. На тапке также подписан почти на все темы, которые прямо или косвенно касаются кошельков - там тоже пристально следят. Все это так или иначе касается именно прямого доступа к девайсу. Разрабы тоже не дураки, и следят и оперативно реагируют. Удаленный взлом пока еще произвести никому не удавалось, такой информации нет. Есть некоторые историй пропаж, но в них явно видно, что человек сидфразу просто сам подарил. Ну как пример - https://www.reddit.com/r/TREZOR/comments/f369r7/trezor_one_hacked_all_coins_stolen/  - чел ввел сид на каком то онлайн фейке.

 

 Значит у нас есть знаток в данной теме :D техника сама по себе вещь хрупкая,одно лишнее напряжение и можно уничтожить аппарат,к счастью для нас нету ещё способа взломать аппаратник дистанционно разработчики в этом плане хорошо стараются обновляя собственную систему защиты (в принципе так вы и сказали).
 Я только 3 видел подобные истории и находятся они в бтт,правда там человек почему-то решил купить аппаратник с рук а не заказывать новый с заграницы.Интересно,прочитаю

[benzotrav 37724]

1 hour ago, mdv said:

Это вам так кажется, что верный. Но как видите с вами не очень то согласны, и я не единственный) Попробуйте вашу позицию озвучить на тапке - там может быть помогут вам против меня найти сильнейшие аргументы. Ну и убьете меня ими наповал - я же легко соглашаюсь, если аргументы сильные.) Кстати, тапок для вас авторитетный источник? Там есть нормальные спецы, кто шарит в вопросе?

К тому, что я плавно хотел подвести к сути, начиная с самых основ криптографии, но по моему бесполезно, мои доводы на вас совсем не действуют.) Похоже, что вы их толком и не прочитываете.)

Тоже утверждение не верное - ноды хранят лишь копии блокчейна, и нет никакой необходимости их ломать. Достаточно внести в сам протокол битка изменения, и ноды их подхватят - это если говорить о взломе, и это я имел ввиду когда спрашивал. Но можно и не ломать, а устроить атаку 51, сеть просто разделится. Ну да ладно.

Не будет вытворять, ибо и такой сценарий уже давно предусмотрен.) А сравнивать потому, что принципы работы криптографии универсальны.

 

Конечно тапок достоверный источник информации, там пользователи давным-давно зарегистрированы и ведут свою активность пользовательскую еще до нашего форума так-то. Я даже прочитал про блокчейн биткоина и точную цифру серверов вам озвучу - не несколько сотен тысяч, а 150 тысяч одновременно) Сегодня это невозможно, и вы думаете что не будет такого сценария? Нет в этой жизни ничего невозможного, блокчейн также возможно взломать, просто для этого надо что-то нереальное по меркам сегодняшних  технологий и усилий.

[loltt 3277]

5 hours ago, GreenApple123 said:

Не надо попадаться на самые простые разводы мошенников. Ведь из-за таких разводов чаще всего теряют доступ к своим кошелькам. Нужно быть внимательным и не переходить по странным ссылкам, а тем более не вводить там пароли. 

Не только не стоит переходить по странным ссылкам не стоит так же тыкать на кликбейтные фото и все то что вызывает внимание , это так же может быть замаскированной угрозой .

[Santos2002 7635]

5 minutes ago, Odonis said:

Самым лучшим решением будет все свои деньги с кошелька перенести на другой кошелёк. После чего просто переустановить винду, и поменять везде пароли, а так-же сменить почты.

Только вопрос в том, как вы поймёте, что вас взломали. Скорее всего у вас уже все деньги выведут и вы только потом сможете этого заметить. Так что это всё не поможет.

 

[benzotrav 37724]

3 hours ago, fullzero said:

Аппаратник только подписывает транзакцию, затем она транслируется в кошелёк с подключением к сети и уже оттуда идёт её загрузка в сеть. Сам он по сути ничего не отсылает в сеть. 

Потому что аппаратник не умеет принимать файлы (скачивать). У него только один функционал: подпись транзакций. 

Отлично, немного уже не по криптовалютной тематике говорим, давайте посмотрим на этот вопрос со стороны программирования. Если аппаратник подписывает транзакции и отсылает их в кошелек с подключением к сети, то с какой радости этот кошелек не может быть взломан? Каким образом на устройстве владельца тогда можно просмотреть транзакции готовые, если аппаратный кошелек не умеет принимать файлы? Каким образом тогда происходит вывод условно? Вот я хочу вывести деньги с аппаратного, как мне это сделать, если он не умеет принимать файлы а.к.а команды?)

[mdv 37587]

1 hour ago, CrazyPool said:

 Значит у нас есть знаток в данной теме 😄 техника сама по себе вещь хрупкая,одно лишнее напряжение и можно уничтожить аппарат,к счастью для нас нету ещё способа взломать аппаратник дистанционно разработчики в этом плане хорошо стараются обновляя собственную систему защиты (в принципе так вы и сказали).
 Я только 3 видел подобные истории и находятся они в бтт,правда там человек почему-то решил купить аппаратник с рук а не заказывать новый с заграницы.Интересно,прочитаю

Ну знаток, это слишком громко, скажем так - слегка продвинутый дилетант, которому тема интересна, и он за ней следит.) Это естественно, ведь я и сам владелец аппаратника, и было бы странно, если бы покупая его, я ничего о нем не знал. Ну да, истории эти уже давно все обмусолили, там особо ничего интересного нет - люди просто безалаберно хранят сидфразу как правило. Но и правильно вы заметили - покупка с рук штука не надежная, его уже могли модифицировать и вам подсунуть. Есть некоторые тонкости, но и выходы из положения тоже есть.

[benzotrav 37724]

18 hours ago, fullzero said:

Так вы не ответили на вопрос: как заразить аппаратник вирусом? 

Банально почитайте о взломах во множестве статьях об этом пишется и если пару лет назад аппаратный кошелек был неуязвимым, то уже сегодня самый популярная его модель от компании Леджер взламывается дистанционно. Взламывать даже не надо. Владелец задает транзакцию, например он хранит криптовалюту и выводит ее, задает таким образом команду аппаратному кошельку и он исполняет ее внутри себя, так что при взломе устройства владельца ничего не будет аппаратнику, но при заражении аппаратного кошелька злоумышленник спокойно может подменить адрес, есть же черви на компе, которые мониторят не только все транзакции, а и все сочетания клавиатуры и весь текст сохраняют в открытом его виде и отправляют тому, кому вирус принадлежит. Леджер то уже взламывали пару лет назад дистанционно и пользователей аппаратника пошел в убыток на 70 тысяч долларов в криптовалюте, ибо его взломали)

[Andrey39 7870]

4 hours ago, CrazyPool said:

 Через физический доступ решаются все необходимые проблемы - так как технология блокчейна имеет достаточно внушительную защиту,остается только физический доступ как например: Программисты смогли взломать аппаратный кошелек единственное условие (Он должен быть у них на руках) и всё доступ открывается ко всем средствам.В сети это сделать практически не реально,технология до такого прогресса ещё не доросла. 

Взломать аппаратный кошелек на данный момент никто не может, если секретная фраза есть только у вас и вы никуда её не сливали. Блокчейн это уже довольно продвинутая технология, к биткоину присоединяются новые люди ежедневно, так как видят в этом перспективу и будущее, поэтому я думаю что всё ещё впереди и надежность будет только улучшаться, так как мошенников сейчас очень много))

[fullzero 35620]

5 hours ago, mdv said:

но разрабы все же на них реагируют, не сидят на попе ровно.

Такие псевдо взломы даже полезны для разработчиков, которые их устраняют. 

 

5 hours ago, CrazyPool said:

 Через физический доступ решаются все необходимые проблемы - так как технология блокчейна имеет достаточно внушительную защиту,остается только физический доступ 

Точно, это тоже самое, что взломать банковскую карту, если она у тебя есть на руках. А попробуй это сделать, когда её нет. 

 

3 hours ago, mdv said:

 Достаточно внести в сам протокол битка изменения, и ноды их подхватят - это если говорить о взломе, и это я имел ввиду когда спрашивал. 

 

Это вы про код биткоина? Но ведь это невозможно без участия сообщества, которое явно будет против внесения изменений, что еще раз доказывает невозможность взлома. Верно? 

 

1 час назад, benzotrav said:

Отлично, немного уже не по криптовалютной тематике говорим, давайте посмотрим на этот вопрос со стороны программирования. Если аппаратник подписывает транзакции и отсылает их в кошелек с подключением к сети, то с какой радости этот кошелек не может быть взломан? 

Аппаратник подключается к внешнему кошельку, который может быть взломан, я согласен, но не сам аппаратник. Да и это сложно сделать. 

 

1 hour ago, benzotrav said:

Вот я хочу вывести деньги с аппаратного, как мне это сделать, если он не умеет принимать файлы а.к.а команды?)

Да не хранится на аппаратнике ничего, все биткоины присваивается приватному ключу, который даёт право отправлять. И приватник этот можно вставить в другой кошелёк и выводить средства через него. Аппаратник - это только оболочка для хранения ключа и подписывания транзакций безопасно. 

 

32 minutes ago, benzotrav said:

 Леджер то уже взламывали пару лет назад дистанционно и пользователей аппаратника пошел в убыток на 70 тысяч долларов в криптовалюте, ибо его взломали)

Ссылку, пожалуйста, ибо как говорил классик - "Не верю"! 

[alievanton263 643]

Я знаю что в кошельках защита достаточно хорошая, главное самому создать хороший пароль, и регулярно проверять компьютер антивирусом.

[benzotrav 37724]

4 hours ago, CrazyPool said:

 Мы это уже обсуждали,разновидностей более чем достаточно в добавок они могут их улучшать.Не знаю на счет игровых сборок и репаков у меня с этим ни разу проблем не возникало за 15 лет использования да и кто захочет в своём уме тратить время на всяких школьников? 
 Ни одна защита не может быть идеальной,есть те кто стоят на одну ступеньку выше по сравнению с другими а разница может казаться не ощутимой на первый взгляд тут уже смотрите сами.

Школьники идеальная среда обитания вирусов ибо там все наивные детишки и им подсувают .ехе файлы с названием "Взлом майнкрафта на алмазы" и все в этом духе, ну я думаю вы суть моих мыслей уловили) Банально аппаратник в том числе может быть заражен вирусом, если там нет операционной системы - ничего это не меняет, флешки же как-то заражаются вирусами, не так ли?)

[benzotrav 37724]

1 час назад, fullzero said:

Аппаратник подключается к внешнему кошельку, который может быть взломан, я согласен, но не сам аппаратник. Да и это сложно сделать. 

 

Да не хранится на аппаратнике ничего, все биткоины присваивается приватному ключу, который даёт право отправлять. И приватник этот можно вставить в другой кошелёк и выводить средства через него. Аппаратник - это только оболочка для хранения ключа и подписывания транзакций безопасно. 

 

Ссылку, пожалуйста, ибо как говорил классик - "Не верю"! 

https://bits.media/polzovatel-ledger-soobshchil-o-krazhe-svoikh-aktivov-na-summu-2-000/

https://24gadget.ru/1161066439-shkolnik-vzlomal-elektronnyy-koshelek-dlya-kriptovalyuty-ledger.html

Банально объясните мне функционал аппаратного кошелька? Он оболочка и подписывает транзакции, все идет цепочкой. По вашему вирус как в многих статьях о взломах Леджера и Трезора и Електрума не может заменить этот адрес? То есть вы вбиваете свой адрес для вывода, вирус же заменяет его на адрес злоумышленника, как это и происходит в взломах этих. Там одна и та же технология хранения - микрочип, который на сим картах используется, на банковских карточках и прочее. Нет ничего неуязвимого, даже блокчейн когда-то взломают, хоть и для этого надо хакнуть 150 тысяч серверов одновременно - когда-то это произойдет, это же возможно, не так ли?) Нереально по сегодняшним меркам, но теоритически возможно.

[ViktorB 0]

Если мошенник вошёл в твой кошелёк или биржу - пиши гг

Так как - крипта анонимна - он вынесет всё очень быстро и незаметно 

Старайся хранить крипту на физическом носителе