украли 6 биткоинов (Trezor)

[sergwayne 157]

У моего хорошего знакомого увели 6+ битков с кошелька Трезор, сам таким не пользуюсь, кто может что подсказать у кого такой же девайс, как такое могло произойти.

 

• модель: Trezor one
• firmware:  v. 1.6.3
• ноутбук: windows 7

 

сид фраза у него была только на бумажке.

вот транзакция:

https://blockchair.com/bitcoin/transaction/3dd3f63339e9eb9a5872c849f12abb0a18d703cf1ea0771460ab3b3b95246e6e

 

в момент транзакции ноутбук и трезор были выключены.

что это?

вирусня на компе?

взломаный трезор?

 

пс. параллельно еще в саппорт трезора написали.

[Lexis77 9857]

А точно, что увели?

[sergwayne 157]

говорит в кошельке ноль показывает

 

[vvvb1 185]

Может он должен был их кому-то? )

[Lexis77 9857]

Просто подозрительно. Комса маленькая, лежат мертвым грузом на новом адресе.

Может не помнит, что куда-то перевел? За окном яхта не стоит?

[GendosMorev 51]

Пользуюсь сам трезором и как то стремно стало от таких новостей. А он точно сид фразу на бумажке хранил? Не в облаке ни в черновиках на почте. Может копия на смарт сделана была?

Edited 23 Aug 2019, 21:23 by GendosMorev

[Helber 568]

13 минут назад, Lexis77 сказал:

Комса маленькая, лежат мертвым грузом на новом адресе.

Мало времени прошло, хакер, сука, счастливый спать завалился...

[Lexis77 9857]

@Helber разве что вирусяка-бот и хозяин еще не в курсе.

[moneymaker 2335]

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

Как иначе? Там подтверждение надо тапать на дисплее.

кстати мог ещё экспорт приватника сделать, его и срисовали.

Edited 23 Aug 2019, 21:53 by moneymaker

[sergwayne 157]

16 minutes ago, Lexis77 said:

разве что вирусяка-бот и хозяин еще не в курсе.

 

я думаю не просто вирус, ведь сид или приватники из трезора вытащить не должно быть возможно так просто без случайного пароля, подозреваю может быть какой-то баг и эксплойт его в старой версии, тк хозяин не обновлял прошивку на трезоре от слова соовсем.

 

3 minutes ago, moneymaker said:

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

 

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

[moneymaker 2335]

@sergwayne все врут! Др. Хаус.

[Lexis77 9857]

На правах параноика, хочу задать вопрос. А это его личные средства и принадлежат на 100% ему?

[sergwayne 157]

@Lexis77 на сколько я понимаю, да. по крайне мере говорит что доступ только у него был к кошельку.

[Lexis77 9857]

Я не про доступ

[e46btc 3289]

Имею личное предвзятое отношение к Трезору, пользуюсь Леджером и всем рекомендую.

Но я не производитель, гарантий никаких не даю, но и ничего не крали.

 

23 минуты назад, sergwayne сказал:

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Возможно так и было. Но если он хоть раз вводил его в комп (даже там не сохраняя), то этого уже достаточно, кошелек уже в тот момент стал полностью бессмысленным.

 

4 минуты назад, sergwayne сказал:

по крайне мере говорит что доступ только у него был к кошельку.

Возможно, так удобно говорить.  Теперь вы (и все) знаете, что биткойнов у него больше нет.  В далекой перспективе это плюс для знакомого, ни у кого не будет искушения прийти к нему с паяльником.

 

 

По сути ситуация сейчас такая, что правду никто никогда не узнает, так как нет способа ее выяснить, по крайней мере я его не вижу.   Возможно, что саппорт Трезора сможет прояснить ситуацию, если транзакция была отправлена с самого Трезора и через ПО трезора,  то на серверах компании Трезор могут быть соответсивующие логи.

[e46btc 3289]

Посмотрел транзакцию, ничего необычного с первого взгляда, но возникает вопрос. Как это так быстро обнаружилась пропажа?  Практически спустя пару часов после совершения транзакции. 

Транзакция была 5 часов 10 минут назад, эта тема создана 2 часа 40 минут назад.

 

Итого за 2.5 часа нужно было во-первых обнаружить каким-то образом, что биткойнов больше нет,  что-то у себя на компе потыкать попроверять, проверить на вирусы, какие нибудь логи потыкать, ну хоть что-то.

 

Вот если Леджер к меня где-то лежит, то о краже я узнаю только в след раз, когда попытаюсь им воспользоваться в очередной раз.  Если у знакомого было все выключено - как он узнал?  Просто надрачивал на свои адреса в интернете?  Так как все потраченные адреса разные, то это определено не майнинг и не повторные платежи, а значит каждый раз запрашивался новый адрес в кошельке.

 

Крайний раз он, вероятно, пользовался кошельком 3 дня назад.

7568a432d36c8cca4aae05243fdc5e91c28bc259bf8e70f740567605f806a1e3/31oj3qMBQnRgs2AwQM2XM2vRjDQMy5kEJT

Так как эта сумма похожа на сдачу. И отматывая назад можно видеть подобные транзакции, с 1 входом и 2 выходами, типичная транзакции оплаты чего-то на другой адрес + сдача.

 

В общем у меня складывается впечатление, что эта история совсем не про Трезор.. 

[sergwayne 157]

@e46btc  он сказал что последний раз сам переводил во вторник, сегодня пропажу обнаружил гдето через полчаса после этого перевода,(собирался еще 1 перевод сделать) Я специально его спросил точно во сколько он включил ноутбук и подключил трезор, это было после 21.00 мск, а транзакция прошла в 20.35

пс. да для меня это тоже все очень странно.

[Lookingfor 111]

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

 

После этого курил тему пропаж с аппаратных кошельков, как понимаю это случается крайне редко но все же периодически.

 

Прогноз по ответу из поддержки - мы ни при делах никакой инфой помочь не сможем, во всяком случае моя долгая переписка с поддержкой леджера именно этим и закончилась :(

Edited 23 Aug 2019, 23:08 by Lookingfor

[sergwayne 157]

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

[taki183 4]

Есть статейка на эту тему, в ней приведен пример, когда устройство у хакера в руках, но возможно она натолкнет на какие-то размышления

 

Найден способ извлечь seed и pin с любого такого устройства, устранить эту уязвимость архитектурно невозможно; единственный способ защититься - использовать passphrase адекватной длины https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor/

[e46btc 3289]

4 минуты назад, Lookingfor сказал:

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

На 99.9% я верю в украденный сид.

 

2 минуты назад, sergwayne сказал:

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

У меня только догадки.

1) можно попытаться по косвенным признакам, для этого нужен глубокий анализ транзакций с трезора (не обязательно с этого), номер версии, локтайм, наличие RBF, порядок входов и выходов, способ их подписи и подобные штуки, то есть довольно ощутимая работа, готового анализа у меня нет.

2) для этого как минимум обязательно нужен физический доступ к трезору.

 

Судя по тому, что я вижу, такие ничем не подтвржденные догадки - транзакция была отправлена именно с трезора, по формату она очень похожа на все предыдущие по описанным выше признакам.

 

Что бы сделал я, украв у кого-то фразу?  Ход мыслей был примерно таким бы.  "О ништяк бабосики бабосики, нужно поскорее их куда-то перекинуть, пока хозяин не отдуплил. Так, это сид фраза, значит адресов может быть несколько, как же мне все оттуда забрать?  Воспользуюсь Электрумом, очень быстро и просто, к тому же Bitcoin Core не умеет сид фразы, а мобильными кошельками я не пользуюсь, да и это долго и неудобно, можно облажаться.  К тому же разные типы адресов (Legacy/Segwit/Bech32), в электруме будет легко все проверить"

 

Но с высокой вероятностью это был не Электрум, или по крайней мере не Электрум по умолчанию.

1) по умолчанию Электрум используется RBF, нет ни одной разумной причины обычному человеку его отключать, нужно быть прямо очень продвинутым и делать  это намеренно и с глубоким смыслом

2) в электруме есть кнопка максимальной комисии, было бы разумно ее нажать, чтобы максимально быстро подтвердилась транзакция, опять же если делать на скорость, то не нужно особо что-то экономить и считать комиссию вручную и в голове

3) Электрум ставит Locktime в транзакции, это неотключаемая вещь, по крайней мере через пользовательский интерфейс я не знаю как это сделать, в данной транзакции локтайма нет.

4) Нужно проверить, скорее всего сейчас электрум уже использует 02 версию транзакции, нет сейчас компа рядом, здесь еще 01.

 

Наверное можно использовать еще дофига разных кошельков кроме Электрума, но например я не пользуюсь всяким разным гоуном типа эксодусов и т.п.  Составлять сегвит транзакцию вручную с 8 входами это тоже оверкилл.

 

[Lookingfor 111]

8 минут назад, e46btc сказал:

На 99.9% я верю в украденный сид.

а я на 99.9% не верю в украденный сид, но это по сути ничего не меняет, и битки не вернет :(

 

P.S. к стати вместе с сидом там еще пароль 8 цифр на вход в железку случаем не надо до кучи потырить? :)

а то что то не получается в электруме свой собственный клон леджера по сиду создать без подключения железки, ну или я криворукий :) 

[e46btc 3289]

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

8 минут назад, Lookingfor сказал:

а то что то не получается в электруме свой собственный клон леджера по сиду создать

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

[Lookingfor 111]

56 минут назад, e46btc сказал:

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

я попытался это сделать после увода битка, до этого сид единожды списанный с экрана на бумагу при первичной установке кошелька никуда никогда больше не вводился

и пытался это сделать что бы исключить глюк железа, так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

 

 

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Edited 24 Aug 2019, 01:01 by Lookingfor

[e46btc 3289]

27 минут назад, Lookingfor сказал:

так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

Через электрум сможете потратить.

 

27 минут назад, Lookingfor сказал:

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

Восстанавливаете на максимально безопасном компе и сразу перебрасываете весь баланс на другой кошелек. Наверное, можно предположить, что не обязательно это делать для утерянного кошелька, маловероятно, что кто-то угадает пин код с 3 попыток, но вы никак не можете достоверно знать, что можно сделать с кошельком при наличии к нему физического доступа. Даже если сейчас ничего, то через год найдут дыру и станет можно. Да и к тому же не факт, что его потеряли, его могли и целеноправленно украсть.

 

Если Леджер умер физически и есть другой запасной, то можно восстановить сид в новый Леджер, тогда сид останется в безопасности, так как ни у какого вредоносного ПО не будет возможности его перехватить каким-либо образом.  А умерший Леджер отправляется в камин и ни в коем случае не на завод по гарантии, даже если она есть.

 

27 минут назад, Lookingfor сказал:

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Видимо да, некоторым образом оффтоп, но с другой стороны все это справедливо и для Трезора в точно такой же степени.  К тому же по сути темы уже мало что можно добавить ИМХО.

 

Возможные варианты по теме:

- реально дырявый Трезор, учитывая, что внутри по сути флешка (в отличии от Леджера)

- знакомый что-то недоговаривает

- у него каким-то образом украли сид в электронном виде, возможно он тоже хотел иметь копию на компе, например, для просмотра или для удобного принятия новых платежей не подключая железку

- у него украли сид в бумажном виде, где-то он его ведь хранил?  в сейфе? в шкафу? 

 

К тому же есть одно очень серьезное заблуждение, что аппаратный кошелек можно использовать даже на самом завирусованном компе - это не так, нельзя.

Edited 24 Aug 2019, 01:11 by e46btc