Помогите разобраться как ушел биток!

[manguse]

Всем привет!
Не могу понять как такое возможно.
На мой адрес отправили бит 1,95 (1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU) он появился в блоке и через 3 секунды без подтверждений о приходе ушел на другой адрес(1AMUfE3EiMrz9tU8UFm85cTgirfQfYrEKd) в этом же блоке,

17A16QmavnUfCW11DAApiJxp7ARnxN5pGX отправляли с этого адреса. до этого приходил 0,0001 BTC с этого же адреса и они остались. 

f1624a2bc14175b9ee429dfcda7f81424b3426b6e1bad7db2ae8efa811a36e4d хеш первой транзакции

3bef7225e17e7128cf8f80511639b0cd5aaf285857a5d1fb3e0ce34340bd168e вот хеш второй транзакции
Кошелек на Blockchein.info
Стоит 2фа, пароль на отправку,подтверждение о входе на почту, вход по определенному ip-адресу.
Так же подтверждение о приходе монет приходит на почту и смс(по этой транзакции ничего не пришло)
Кошельком не пользовался больше года и нигде его не светил. Фразы восстановления записаны на бумаге и убраны. 

Тех. поддержка blockchein.info молчит. 

Естественно все что было уже вывел на другой кошелек.

[Old Miner]

26 минут назад, manguse сказал:

На мой адрес отправили бит 1,95 (1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU) он появился в блоке и через 3 секунды без подтверждений о приходе ушел на другой адрес(1AMUfE3EiMrz9tU8UFm85cTgirfQfYrEKd) в этом же блоке,

 

Каким-то образом приватный ключ от адреса 1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU оказался скомпрометирован, то есть, стал известен кому-то ещё кроме вас.

 

Нюанс заключается в том, что если кому-то постороннему стала известна фраза из 12-ти слов, которую вы сохранили на бумажке, то для перевода биткойнов с вашего адреса 1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU на свой адрес ему не нужно пользоваться сайтом blockchain.com, поэтому никаких оповещений вы не получили и 2FA никак не помешала переводу.

[manguse]

Это

2 минуты назад, Old Miner сказал:

 

Каким-то образом приватный ключ от адреса 1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU оказался скомпрометирован, то есть, стал известен кому-то ещё кроме вас.

 

Нюанс заключается в том, что если кому-то постороннему стала известна фраза из 12-ти слов, которую вы сохранили на бумажке, то для перевода биткойнов с вашего адреса 1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU на свой адрес ему не нужно пользоваться сайтом blockchain.com, поэтому никаких оповещений вы не получили и 2FA никак не помешала переводу.

Это понятно. 
Но каким образом ушел биток до подтверждения и попал в тот же блок что и транзакция на мой кошелек? Ведь пока он не подтвержден по факту его нет на кошельке! А исходящая транзакция была через 3 секунды после входящей еще да первого подтверждения!

 

[Old Miner]

7 минут назад, manguse сказал:

Но каким образом ушел биток до подтверждения и попал в тот же блок что и транзакция на мой кошелек? Ведь пока он не подтвержден по факту его нет на кошельке!

 

Когда вам отправили транзакцию, она тут же стала известна всем участникам сети Биткойн. Да, она пока не подтверждена, то есть не включена в блок, но все про неё знают.

 

Можно создать и отправить следующую транзакцию, которая отправит биткойны с первой транзакции куда-то дальше, даже если первая транзакция ещё не подтверждена - это не запрещено сетью. Эта вторая транзакция может попасть в тот же блок, что и первая, а может попасть в один из следующих блоков - как повезёт. В вашем случае вторая транзакция попала в тот же блок, что и первая.

[moneymaker]

Получается что кто-то знал приватник и отправил собранную руками транзакцию в тот же момент когда был инициирован вывод на этот адрес с комиссией достаточной для включения в блок? По итогу в блоке обработали две транзакции. Почту пасут? На компьютере троян?

@Old Miner опередил)

Edited 6 Jul 2019, 22:15 by moneymaker

[manguse]

2 минуты назад, moneymaker сказал:

Получается что кто-то знал приватник и отправил собранную руками транзакцию в тот же момент когда был инициирован вывод на этот адрес с комиссией достаточной для включения в блок? По итогу в блоке обработали две транзакции. Почту пасут? На компьютере троян?

@Old Miner опередил)

То есть за 3 секунды собрали транзу???

6 минут назад, Old Miner сказал:

 

Когда вам отправили транзакцию, она тут же стала известна всем участникам сети Биткойн. Да, она пока не подтверждена, то есть не включена в блок, но все про неё знают.

 

Можно создать и отправить следующую транзакцию, которая отправит биткойны с первой транзакции куда-то дальше, даже если первая транзакция ещё не подтверждена - это не запрещено сетью. Эта вторая транзакция может попасть в тот же блок, что и первая, а может попасть в один из следующих блоков - как повезёт. В вашем случае вторая транзакция попала в тот же блок, что и первая.

 

Он мог уйти обратно на биржу? Это могла быть отмена платежа? И что то в этом роде?

[moneymaker]

4 минуты назад, manguse сказал:

То есть за 3 секунды собрали транзу???

Ну не руками, автоматически. На почту пришло письмо с выводом на адрес,  троян срисовал и бот сгенерировал транзакцию. Попадание в один блок интересное совпадение. Посмотрите для начала на почте переадресацию, IP логинов, может с мобильного данные ушли, кто знает.

Edited 6 Jul 2019, 22:22 by moneymaker

[Old Miner]

1 минуту назад, manguse сказал:

То есть за 3 секунды собрали транзу???

 

Можно быть уверенным в одном: эти две транзакции оказались в одном блоке. А откуда blockchain.com берёт время транзакции - мне неизвестно, на это время не стоит обращать внимание.

[manguse]

4 минуты назад, moneymaker сказал:

Ну не руками, автоматически. На почту пришло письмо с выводом на адрес,  троян срисовал и бот сгенерировал транзакцию. Попадание в один блок интересное совпадение. Посмотрите для начала на почте переадресацию, IP логинов, может с мобильного данные ушли, кто знает.

переадресации нет. IP логины не знаю как посмотреть. С мобильного вообще не захожу в кошельки. Только в отдельного компа

 

[estsovest]

6 часов назад, manguse сказал:

 Только в отдельного компа

 

Какая операционка была ?

Подтвердите для моего спокойствия что это был не линукс .

[Drow]

А много еще было крипты на блокчейн-кошельке? Тут два варианта, или учетка уже давно скомпрометирована и мошенник просто ждал прихода крупной суммы, или конкретно скомпрометирован один адрес 1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU.

Попробуй создать еще один адрес в кошельке и перевести на него 1-2 битка и посмотри что получится. ? (шучу)

[e46btc]

12 часов назад, moneymaker сказал:

На компьютере троян

Вероятнее веб инжект, который ждал, пока человек совершит операцию в веб кошельке, после этого смог получить приватный ключ и отправить все монеты.

 

https://encyclopedia.kaspersky.ru/glossary/web-injection/

https://habr.com/ru/company/eset/blog/254267/

https://habr.com/ru/company/eset/blog/254775/

 

Поэтому нигде не будет никаких логинов, так как все это сделано с компа и в браузере пользователя в той же самой сессии.

 

upd:  Невнимательно читал.  Но про веб инжекты все же рекомендую ознакомиться.

Edited 7 Jul 2019, 10:16 by e46btc

[AlexShmalex]

Может зловред подменил ДНС на свой и сам сайт фэйковый. Или реверс-прокси по типу Модлишка... вариантов много если комп скомпрометирован.

[Desconect]

10 часов назад, manguse сказал:

Кошелек на Blockchein.info

Ничему люди не учатся. сколько можно то пользоваться этим кошельком ?

и зачем.

реально сегодня ноутбук с Жестким на 1 терабайт которого хватит на кошелек  биткоина на еще лет 5. 

стоит 0.07 биткоина . и пользуйтесь им как кошельком. ну или на крайней случай можно железными кошельками пользоваться они дешевле раза в 3. 

не ужели  вам не жалко свои деньги ?

 

Если вам не жалко свои деньги просто бросайте мне в подписи есть адрес.

вам по фиг мне приятно. и полюс вам не будет так обидно я не вор :) 

 

П.С. честно поражаюсь людям. Здесь на форуме каждую неделю горят что использовать сторонние ресурс только на свой страх и риск. 

 

И каждую неделю новый персонаж. 

[Helber]

4 часа назад, e46btc сказал:

Вероятнее веб инжект, который ждал, пока человек совершит операцию в веб кошельке, после этого смог получить приватный ключ и отправить все монеты.

Так ведь 

 

12 часов назад, manguse сказал:

Кошельком не пользовался больше года

 

11 часов назад, manguse сказал:

С мобильного вообще не захожу в кошельки. Только в отдельного компа

Если, конечно, ТС не заходил в кошелек перед получением перевода с биржи, например, для контроля, что может зайти.

[e46btc]

@Helber я не внимательно прочел, тогда это не про веб инжекты.  Сорри.

Я понял (неверно) так, что человек сам отправил транзакцию и следом слили баланс во второй.

 

В таком случае определенно ушел приватный ключ.

Скрипт мониторит адреса, от которых есть приватные ключи, как только что-то появляется на балансе - генерирует транзакцию и сливает.

Почему через 3 минуты, а не через 1 и не через 5?   Как дошла очередь, так и обработал.

 

 

[moneymaker]

3 минуты назад, e46btc сказал:

Почему через 3 минуты, а не через 1 и не через 5?   Как дошла очередь, так и обработал.

Там даже быстрее произошло, за десяток секунд. Но если компьютер был заражён, то это уже не принципиально.

[Drow]

Т.е. получается что троян уже был в момент создания сида, и пока автор его переписывал сид был слит.

[moneymaker]

41 минуту назад, Drow сказал:

Т.е. получается что троян уже был в момент создания сида, и пока автор его переписывал сид был слит.

Мы достоверно не знаем, может быть все было намного проще - сид какое-то время болтался на компе, может он его в облако скриншотом мобильника загрузил, может подготовленная ОС скачана с торрентов, как раз года полтора-два назад на хайпе шустрые ребята подсуетились. 

*надевая шапочку из фольги - может быть у него домработница нашла листик, сфоткала и отдала племяннику-хацкеру.

Короче вариантов много, результат один. Совпадение с одним блоком интересное, т.к. комиссия была "средняя по больнице".

[sankopolo]

14 hours ago, manguse said:

 

Он мог уйти обратно на биржу? Это могла быть отмена платежа? И что то в этом роде?

Вы очень плохо знаете матчасть. Исправляйте это.

Вам уже верно написали, что 2FA, почта и прочее, скорее всего, в этом случае вообще не понадобились, а

Надоело писать одно и то же.

 

Кратко и по сути: Этот адрес был импортирован в blockchain.com? Если да, то откуда(где сгенерирован, где и как хранился-пересылался)? Думаю, дальше многие смогут продолжить.

[manguse]

8 часов назад, estsovest сказал:

Какая операционка была ?

Подтвердите для моего спокойствия что это был не линукс .

винда 7

 

8 часов назад, Drow сказал:

А много еще было крипты на блокчейн-кошельке? Тут два варианта, или учетка уже давно скомпрометирована и мошенник просто ждал прихода крупной суммы, или конкретно скомпрометирован один адрес 1MoSBTCQQHeHzsyxzNPNwD37NQyzQ25xcU.

Попробуй создать еще один адрес в кошельке и перевести на него 1-2 битка и посмотри что получится. ? (шучу)

он у меня транзитный. После вывожу все на другие кошельки

6 часов назад, Desconect сказал:

Ничему люди не учатся. сколько можно то пользоваться этим кошельком ?

и зачем.

реально сегодня ноутбук с Жестким на 1 терабайт которого хватит на кошелек  биткоина на еще лет 5. 

стоит 0.07 биткоина . и пользуйтесь им как кошельком. ну или на крайней случай можно железными кошельками пользоваться они дешевле раза в 3. 

не ужели  вам не жалко свои деньги ?

 

Если вам не жалко свои деньги просто бросайте мне в подписи есть адрес.

вам по фиг мне приятно. и полюс вам не будет так обидно я не вор :) 

 

П.С. честно поражаюсь людям. Здесь на форуме каждую неделю горят что использовать сторонние ресурс только на свой страх и риск. 

 

И каждую неделю новый персонаж. 

Я конечно понимаю ты ОЧЕНЬ умный! Только адрес это знал человек уже года два. Я им давно уже не пользуюсь. Он мне позвонил и ссказал что перевел на кошель биток. Я даже зайти сразу не смог. Так как сам еле пароль вспомнил. А когда зашел увидел это!

[manguse]

1 час назад, moneymaker сказал:

Мы достоверно не знаем, может быть все было намного проще - сид какое-то время болтался на компе, может он его в облако скриншотом мобильника загрузил, может подготовленная ОС скачана с торрентов, как раз года полтора-два назад на хайпе шустрые ребята подсуетились. 

*надевая шапочку из фольги - может быть у него домработница нашла листик, сфоткала и отдала племяннику-хацкеру.

Короче вариантов много, результат один. Совпадение с одним блоком интересное, т.к. комиссия была "средняя по больнице".

OC Лицензия. Торрент не стоит. Даже ворда нет. Только операционка и дрова на ноут. +каспер

[Drow]

6 минут назад, manguse сказал:

он у меня транзитный. После вывожу все на другие кошельки

 

Это не ответ, сколько было крипты на учетке, это сравнимо с украденным? Пишите что используете как транзитный, но при этом говорите что два года учетку не использовали, не понятно.

[manguse]

Только что, Drow сказал:

 

Это не ответ, сколько было крипты на учетке, это сравнимо с украденным? Пишите что используете как транзитный, но при этом говорите что два года учетку не использовали, не понятно.

раньше я активно пользовался этим кошельком. После того как у моих друзей с маков точно так же увели биток. Перестал его использовать и хранить на нем монеты. Мой клиент просто знал этот адрес и отправил на него. После сказал мне что отправил монеты. А я сам зашел в учетку только через час после отправки. И охренел очень сильно растроился

 

[Drow]

А 2фа как в блокчейне работает, только на авторизацию или на каждую отправку?