Jump to content

украли 6 биткоинов (Trezor)


sergwayne
 Share

Recommended Posts

У моего хорошего знакомого увели 6+ битков с кошелька Трезор, сам таким не пользуюсь, кто может что подсказать у кого такой же девайс, как такое могло произойти.

 

  • модель: Trezor one
  • firmware:  v. 1.6.3
  • ноутбук: windows 7

 

сид фраза у него была только на бумажке.

вот транзакция:

https://blockchair.com/bitcoin/transaction/3dd3f63339e9eb9a5872c849f12abb0a18d703cf1ea0771460ab3b3b95246e6e

 

в момент транзакции ноутбук и трезор были выключены.

что это?

вирусня на компе?

взломаный трезор?

 

пс. параллельно еще в саппорт трезора написали.

Link to comment
Share on other sites

Просто подозрительно. Комса маленькая, лежат мертвым грузом на новом адресе.

Может не помнит, что куда-то перевел? За окном яхта не стоит?

Link to comment
Share on other sites

Пользуюсь сам трезором и как то стремно стало от таких новостей. А он точно сид фразу на бумажке хранил? Не в облаке ни в черновиках на почте. Может копия на смарт сделана была?

Edited by GendosMorev
Link to comment
Share on other sites

13 минут назад, Lexis77 сказал:

Комса маленькая, лежат мертвым грузом на новом адресе.

Мало времени прошло, хакер, сука, счастливый спать завалился...

Link to comment
Share on other sites

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

Как иначе? Там подтверждение надо тапать на дисплее.

кстати мог ещё экспорт приватника сделать, его и срисовали.

Edited by moneymaker
Link to comment
Share on other sites

16 minutes ago, Lexis77 said:

разве что вирусяка-бот и хозяин еще не в курсе.

 

я думаю не просто вирус, ведь сид или приватники из трезора вытащить не должно быть возможно так просто без случайного пароля, подозреваю может быть какой-то баг и эксплойт его в старой версии, тк хозяин не обновлял прошивку на трезоре от слова соовсем.

 

3 minutes ago, moneymaker said:

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

 

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Link to comment
Share on other sites

На правах параноика, хочу задать вопрос. А это его личные средства и принадлежат на 100% ему?

Link to comment
Share on other sites

Имею личное предвзятое отношение к Трезору, пользуюсь Леджером и всем рекомендую.

Но я не производитель, гарантий никаких не даю, но и ничего не крали.

 

23 минуты назад, sergwayne сказал:

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Возможно так и было. Но если он хоть раз вводил его в комп (даже там не сохраняя), то этого уже достаточно, кошелек уже в тот момент стал полностью бессмысленным.

 

4 минуты назад, sergwayne сказал:

по крайне мере говорит что доступ только у него был к кошельку.

Возможно, так удобно говорить.  Теперь вы (и все) знаете, что биткойнов у него больше нет.  В далекой перспективе это плюс для знакомого, ни у кого не будет искушения прийти к нему с паяльником.

 

 

По сути ситуация сейчас такая, что правду никто никогда не узнает, так как нет способа ее выяснить, по крайней мере я его не вижу.   Возможно, что саппорт Трезора сможет прояснить ситуацию, если транзакция была отправлена с самого Трезора и через ПО трезора,  то на серверах компании Трезор могут быть соответсивующие логи.

Link to comment
Share on other sites

Посмотрел транзакцию, ничего необычного с первого взгляда, но возникает вопрос. Как это так быстро обнаружилась пропажа?  Практически спустя пару часов после совершения транзакции. 

Транзакция была 5 часов 10 минут назад, эта тема создана 2 часа 40 минут назад.

 

Итого за 2.5 часа нужно было во-первых обнаружить каким-то образом, что биткойнов больше нет,  что-то у себя на компе потыкать попроверять, проверить на вирусы, какие нибудь логи потыкать, ну хоть что-то.

 

Вот если Леджер к меня где-то лежит, то о краже я узнаю только в след раз, когда попытаюсь им воспользоваться в очередной раз.  Если у знакомого было все выключено - как он узнал?  Просто надрачивал на свои адреса в интернете?  Так как все потраченные адреса разные, то это определено не майнинг и не повторные платежи, а значит каждый раз запрашивался новый адрес в кошельке.

 

Крайний раз он, вероятно, пользовался кошельком 3 дня назад.

7568a432d36c8cca4aae05243fdc5e91c28bc259bf8e70f740567605f806a1e3/31oj3qMBQnRgs2AwQM2XM2vRjDQMy5kEJT

Так как эта сумма похожа на сдачу. И отматывая назад можно видеть подобные транзакции, с 1 входом и 2 выходами, типичная транзакции оплаты чего-то на другой адрес + сдача.

 

В общем у меня складывается впечатление, что эта история совсем не про Трезор.. 

Link to comment
Share on other sites

@e46btc  он сказал что последний раз сам переводил во вторник, сегодня пропажу обнаружил гдето через полчаса после этого перевода,(собирался еще 1 перевод сделать) Я специально его спросил точно во сколько он включил ноутбук и подключил трезор, это было после 21.00 мск, а транзакция прошла в 20.35

пс. да для меня это тоже все очень странно.

Link to comment
Share on other sites

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

 

После этого курил тему пропаж с аппаратных кошельков, как понимаю это случается крайне редко но все же периодически.

 

Прогноз по ответу из поддержки - мы ни при делах никакой инфой помочь не сможем, во всяком случае моя долгая переписка с поддержкой леджера именно этим и закончилась :(

Edited by Lookingfor
Link to comment
Share on other sites

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

Link to comment
Share on other sites

Есть статейка на эту тему, в ней приведен пример, когда устройство у хакера в руках, но возможно она натолкнет на какие-то размышления

 

Найден способ извлечь seed и pin с любого такого устройства, устранить эту уязвимость архитектурно невозможно; единственный способ защититься - использовать passphrase адекватной длины https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor/

Link to comment
Share on other sites

4 минуты назад, Lookingfor сказал:

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

На 99.9% я верю в украденный сид.

 

2 минуты назад, sergwayne сказал:

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

У меня только догадки.

1) можно попытаться по косвенным признакам, для этого нужен глубокий анализ транзакций с трезора (не обязательно с этого), номер версии, локтайм, наличие RBF, порядок входов и выходов, способ их подписи и подобные штуки, то есть довольно ощутимая работа, готового анализа у меня нет.

2) для этого как минимум обязательно нужен физический доступ к трезору.

 

Судя по тому, что я вижу, такие ничем не подтвржденные догадки - транзакция была отправлена именно с трезора, по формату она очень похожа на все предыдущие по описанным выше признакам.

 

Что бы сделал я, украв у кого-то фразу?  Ход мыслей был примерно таким бы.  "О ништяк бабосики бабосики, нужно поскорее их куда-то перекинуть, пока хозяин не отдуплил. Так, это сид фраза, значит адресов может быть несколько, как же мне все оттуда забрать?  Воспользуюсь Электрумом, очень быстро и просто, к тому же Bitcoin Core не умеет сид фразы, а мобильными кошельками я не пользуюсь, да и это долго и неудобно, можно облажаться.  К тому же разные типы адресов (Legacy/Segwit/Bech32), в электруме будет легко все проверить"

 

Но с высокой вероятностью это был не Электрум, или по крайней мере не Электрум по умолчанию.

1) по умолчанию Электрум используется RBF, нет ни одной разумной причины обычному человеку его отключать, нужно быть прямо очень продвинутым и делать  это намеренно и с глубоким смыслом

2) в электруме есть кнопка максимальной комисии, было бы разумно ее нажать, чтобы максимально быстро подтвердилась транзакция, опять же если делать на скорость, то не нужно особо что-то экономить и считать комиссию вручную и в голове

3) Электрум ставит Locktime в транзакции, это неотключаемая вещь, по крайней мере через пользовательский интерфейс я не знаю как это сделать, в данной транзакции локтайма нет.

4) Нужно проверить, скорее всего сейчас электрум уже использует 02 версию транзакции, нет сейчас компа рядом, здесь еще 01.

 

Наверное можно использовать еще дофига разных кошельков кроме Электрума, но например я не пользуюсь всяким разным гоуном типа эксодусов и т.п.  Составлять сегвит транзакцию вручную с 8 входами это тоже оверкилл.

 

Link to comment
Share on other sites

8 минут назад, e46btc сказал:

На 99.9% я верю в украденный сид.

а я на 99.9% не верю в украденный сид, но это по сути ничего не меняет, и битки не вернет :(

 

P.S. к стати вместе с сидом там еще пароль 8 цифр на вход в железку случаем не надо до кучи потырить? :)

а то что то не получается в электруме свой собственный клон леджера по сиду создать без подключения железки, ну или я криворукий :) 

Link to comment
Share on other sites

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

8 минут назад, Lookingfor сказал:

а то что то не получается в электруме свой собственный клон леджера по сиду создать

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

Link to comment
Share on other sites

56 минут назад, e46btc сказал:

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

я попытался это сделать после увода битка, до этого сид единожды списанный с экрана на бумагу при первичной установке кошелька никуда никогда больше не вводился

и пытался это сделать что бы исключить глюк железа, так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

 

 

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Edited by Lookingfor
Link to comment
Share on other sites

27 минут назад, Lookingfor сказал:

так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

Через электрум сможете потратить.

 

27 минут назад, Lookingfor сказал:

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

Восстанавливаете на максимально безопасном компе и сразу перебрасываете весь баланс на другой кошелек. Наверное, можно предположить, что не обязательно это делать для утерянного кошелька, маловероятно, что кто-то угадает пин код с 3 попыток, но вы никак не можете достоверно знать, что можно сделать с кошельком при наличии к нему физического доступа. Даже если сейчас ничего, то через год найдут дыру и станет можно. Да и к тому же не факт, что его потеряли, его могли и целеноправленно украсть.

 

Если Леджер умер физически и есть другой запасной, то можно восстановить сид в новый Леджер, тогда сид останется в безопасности, так как ни у какого вредоносного ПО не будет возможности его перехватить каким-либо образом.  А умерший Леджер отправляется в камин и ни в коем случае не на завод по гарантии, даже если она есть.

 

27 минут назад, Lookingfor сказал:

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Видимо да, некоторым образом оффтоп, но с другой стороны все это справедливо и для Трезора в точно такой же степени.  К тому же по сути темы уже мало что можно добавить ИМХО.

 

Возможные варианты по теме:

- реально дырявый Трезор, учитывая, что внутри по сути флешка (в отличии от Леджера)

- знакомый что-то недоговаривает

- у него каким-то образом украли сид в электронном виде, возможно он тоже хотел иметь копию на компе, например, для просмотра или для удобного принятия новых платежей не подключая железку

- у него украли сид в бумажном виде, где-то он его ведь хранил?  в сейфе? в шкафу? 

 

К тому же есть одно очень серьезное заблуждение, что аппаратный кошелек можно использовать даже на самом завирусованном компе - это не так, нельзя.

Edited by e46btc
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • Финляндия распродала запас конфискованных биткоинов

      По сообщению финских таможенных органов, служба продала большую часть запаса конфискованных биткоинов и передала в доход государству свыше €45 млн. Финансовый директор таможенной службы Финляндии (Tulli) Пекка Пюлкканен (Pekka Pylkkänen) рассказал, что большая часть биткоинов, ранее конфискованных по решению суда, проданы. Основная часть виртуальной валюты была конфискована в ходе рейдов до 2018 года, и власти долго решали, что с ней делать.    По словам Пюлкканена, таможня реализова

      in Новости криптовалют

    • Tesla продала большую часть своих биткоинов

      Крупнейший производитель электромобилей Tesla, в связи с экономическими проблемами, с апреля по июнь продал около 75% своих биткоинов. В результате компания выручила $936 млн. После публикации квартального финансового отчета Tesla, биткоин просел с $23 700 до $23 000, затем поднялся до $23 600, а сейчас торгуется по $22 900. На фоне глобального кризиса и разогнавшейся инфляции Tesla переживает не лучшие времена. В отчете говорится, что выручка компании снизилась с $18.76 млрд в I квартале д

      in Новости криптовалют

    • Объем биткоинов у Tesla уменьшился на $440 млн из-за кризиса крипторынка

      Затяжной кризис криптовалютного рынка привел к сокращению активов производителя электроавтомобилей Tesla, инвестированных в криптовалюту. В годовом отчете за 2021 год, поданном Tesla в Комиссию по ценным бумагам и биржам США (SEC), указано, что компания Илона Маска приобрела BTC на $1.5 млрд. На дату представления годового отчета стоимость биткоина обновила исторический максимум, достигнув $44 899. Как сообщалось, приобретение биткоинов было частью обновленного инвестиционного портфеля Tes

      in Новости криптовалют

    • Сальвадор продолжает закупки биткоинов на фоне падения рынка

      Президент Сальвадора Найиб Букеле сообщил о новой покупке биткоинов. В этот раз правительство страны потратило около $1.5 млн на приобретение 80 BTC по средней цене в $19 000. Сальвадор провел уже 11 закупок первой криптовалюты. Сейчас на кошельках латиноамериканской страны хранится 2 381 BTC, купленный по средней цене в $43 000. То есть, Сальвадор потратил более $100 млн на инвестиции в биткоин. Сейчас же запасы биткоинов страны оцениваются в $45 млн.   «Сегодня Сальвадор купил еще

      in Новости криптовалют

    • Cypherpunk Holdings продала все свои запасы биткоинов и эфиров за наличные

      Канадская инвестиционная компания Cypherpunk Holdings реализовала 205 ETH и 214.7 BTC, получив за них $4.7 млн наличными. Cypherpunk Holdings продала все свои запасы биткоина и эфира. Генеральный директор Джефф Гао (Jeff Gao) пояснил, что компания была вынуждена принять это решение из-за растущей волатильности криптовалют.   «Мы считаем, что сейчас наиболее разумно остаться в стороне до тех пор, пока волатильность криптовалют и неликвидность не придут к своему логическому завершению

      in Новости криптовалют

×
×
  • Create New...