Jump to content
sergwayne

украли 6 биткоинов (Trezor)

Recommended Posts

У моего хорошего знакомого увели 6+ битков с кошелька Трезор, сам таким не пользуюсь, кто может что подсказать у кого такой же девайс, как такое могло произойти.

 

  • модель: Trezor one
  • firmware:  v. 1.6.3
  • ноутбук: windows 7

 

сид фраза у него была только на бумажке.

вот транзакция:

https://blockchair.com/bitcoin/transaction/3dd3f63339e9eb9a5872c849f12abb0a18d703cf1ea0771460ab3b3b95246e6e

 

в момент транзакции ноутбук и трезор были выключены.

что это?

вирусня на компе?

взломаный трезор?

 

пс. параллельно еще в саппорт трезора написали.

Share this post


Link to post
Share on other sites

А точно, что увели?

Share this post


Link to post
Share on other sites

говорит в кошельке ноль показывает

 

image.thumb.png.de269a01438ee2eb413bf45002b416ee.pngimage.thumb.png.49ca5a46121065c56a24700cd97dfa86.png

Share this post


Link to post
Share on other sites

Может он должен был их кому-то? )

Share this post


Link to post
Share on other sites

Просто подозрительно. Комса маленькая, лежат мертвым грузом на новом адресе.

Может не помнит, что куда-то перевел? За окном яхта не стоит?

Share this post


Link to post
Share on other sites

Пользуюсь сам трезором и как то стремно стало от таких новостей. А он точно сид фразу на бумажке хранил? Не в облаке ни в черновиках на почте. Может копия на смарт сделана была?

Edited by GendosMorev

Share this post


Link to post
Share on other sites
13 минут назад, Lexis77 сказал:

Комса маленькая, лежат мертвым грузом на новом адресе.

Мало времени прошло, хакер, сука, счастливый спать завалился...

Share this post


Link to post
Share on other sites

@Helber разве что вирусяка-бот и хозяин еще не в курсе.

Share this post


Link to post
Share on other sites

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

Как иначе? Там подтверждение надо тапать на дисплее.

кстати мог ещё экспорт приватника сделать, его и срисовали.

Edited by moneymaker

Share this post


Link to post
Share on other sites
16 minutes ago, Lexis77 said:

разве что вирусяка-бот и хозяин еще не в курсе.

 

я думаю не просто вирус, ведь сид или приватники из трезора вытащить не должно быть возможно так просто без случайного пароля, подозреваю может быть какой-то баг и эксплойт его в старой версии, тк хозяин не обновлял прошивку на трезоре от слова соовсем.

 

3 minutes ago, moneymaker said:

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

 

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Share this post


Link to post
Share on other sites

@sergwayne все врут! Др. Хаус.

Share this post


Link to post
Share on other sites

На правах параноика, хочу задать вопрос. А это его личные средства и принадлежат на 100% ему?

Share this post


Link to post
Share on other sites

@Lexis77 на сколько я понимаю, да. по крайне мере говорит что доступ только у него был к кошельку.

Share this post


Link to post
Share on other sites

Я не про доступ

Share this post


Link to post
Share on other sites

Имею личное предвзятое отношение к Трезору, пользуюсь Леджером и всем рекомендую.

Но я не производитель, гарантий никаких не даю, но и ничего не крали.

 

23 минуты назад, sergwayne сказал:

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Возможно так и было. Но если он хоть раз вводил его в комп (даже там не сохраняя), то этого уже достаточно, кошелек уже в тот момент стал полностью бессмысленным.

 

4 минуты назад, sergwayne сказал:

по крайне мере говорит что доступ только у него был к кошельку.

Возможно, так удобно говорить.  Теперь вы (и все) знаете, что биткойнов у него больше нет.  В далекой перспективе это плюс для знакомого, ни у кого не будет искушения прийти к нему с паяльником.

 

 

По сути ситуация сейчас такая, что правду никто никогда не узнает, так как нет способа ее выяснить, по крайней мере я его не вижу.   Возможно, что саппорт Трезора сможет прояснить ситуацию, если транзакция была отправлена с самого Трезора и через ПО трезора,  то на серверах компании Трезор могут быть соответсивующие логи.

Share this post


Link to post
Share on other sites

Посмотрел транзакцию, ничего необычного с первого взгляда, но возникает вопрос. Как это так быстро обнаружилась пропажа?  Практически спустя пару часов после совершения транзакции. 

Транзакция была 5 часов 10 минут назад, эта тема создана 2 часа 40 минут назад.

 

Итого за 2.5 часа нужно было во-первых обнаружить каким-то образом, что биткойнов больше нет,  что-то у себя на компе потыкать попроверять, проверить на вирусы, какие нибудь логи потыкать, ну хоть что-то.

 

Вот если Леджер к меня где-то лежит, то о краже я узнаю только в след раз, когда попытаюсь им воспользоваться в очередной раз.  Если у знакомого было все выключено - как он узнал?  Просто надрачивал на свои адреса в интернете?  Так как все потраченные адреса разные, то это определено не майнинг и не повторные платежи, а значит каждый раз запрашивался новый адрес в кошельке.

 

Крайний раз он, вероятно, пользовался кошельком 3 дня назад.

7568a432d36c8cca4aae05243fdc5e91c28bc259bf8e70f740567605f806a1e3/31oj3qMBQnRgs2AwQM2XM2vRjDQMy5kEJT

Так как эта сумма похожа на сдачу. И отматывая назад можно видеть подобные транзакции, с 1 входом и 2 выходами, типичная транзакции оплаты чего-то на другой адрес + сдача.

 

В общем у меня складывается впечатление, что эта история совсем не про Трезор.. 

Share this post


Link to post
Share on other sites

@e46btc  он сказал что последний раз сам переводил во вторник, сегодня пропажу обнаружил гдето через полчаса после этого перевода,(собирался еще 1 перевод сделать) Я специально его спросил точно во сколько он включил ноутбук и подключил трезор, это было после 21.00 мск, а транзакция прошла в 20.35

пс. да для меня это тоже все очень странно.

Share this post


Link to post
Share on other sites

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

 

После этого курил тему пропаж с аппаратных кошельков, как понимаю это случается крайне редко но все же периодически.

 

Прогноз по ответу из поддержки - мы ни при делах никакой инфой помочь не сможем, во всяком случае моя долгая переписка с поддержкой леджера именно этим и закончилась :(

Edited by Lookingfor

Share this post


Link to post
Share on other sites

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

Share this post


Link to post
Share on other sites

Есть статейка на эту тему, в ней приведен пример, когда устройство у хакера в руках, но возможно она натолкнет на какие-то размышления

 

Найден способ извлечь seed и pin с любого такого устройства, устранить эту уязвимость архитектурно невозможно; единственный способ защититься - использовать passphrase адекватной длины https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor/

Share this post


Link to post
Share on other sites
4 минуты назад, Lookingfor сказал:

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

На 99.9% я верю в украденный сид.

 

2 минуты назад, sergwayne сказал:

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

У меня только догадки.

1) можно попытаться по косвенным признакам, для этого нужен глубокий анализ транзакций с трезора (не обязательно с этого), номер версии, локтайм, наличие RBF, порядок входов и выходов, способ их подписи и подобные штуки, то есть довольно ощутимая работа, готового анализа у меня нет.

2) для этого как минимум обязательно нужен физический доступ к трезору.

 

Судя по тому, что я вижу, такие ничем не подтвржденные догадки - транзакция была отправлена именно с трезора, по формату она очень похожа на все предыдущие по описанным выше признакам.

 

Что бы сделал я, украв у кого-то фразу?  Ход мыслей был примерно таким бы.  "О ништяк бабосики бабосики, нужно поскорее их куда-то перекинуть, пока хозяин не отдуплил. Так, это сид фраза, значит адресов может быть несколько, как же мне все оттуда забрать?  Воспользуюсь Электрумом, очень быстро и просто, к тому же Bitcoin Core не умеет сид фразы, а мобильными кошельками я не пользуюсь, да и это долго и неудобно, можно облажаться.  К тому же разные типы адресов (Legacy/Segwit/Bech32), в электруме будет легко все проверить"

 

Но с высокой вероятностью это был не Электрум, или по крайней мере не Электрум по умолчанию.

1) по умолчанию Электрум используется RBF, нет ни одной разумной причины обычному человеку его отключать, нужно быть прямо очень продвинутым и делать  это намеренно и с глубоким смыслом

2) в электруме есть кнопка максимальной комисии, было бы разумно ее нажать, чтобы максимально быстро подтвердилась транзакция, опять же если делать на скорость, то не нужно особо что-то экономить и считать комиссию вручную и в голове

3) Электрум ставит Locktime в транзакции, это неотключаемая вещь, по крайней мере через пользовательский интерфейс я не знаю как это сделать, в данной транзакции локтайма нет.

4) Нужно проверить, скорее всего сейчас электрум уже использует 02 версию транзакции, нет сейчас компа рядом, здесь еще 01.

 

Наверное можно использовать еще дофига разных кошельков кроме Электрума, но например я не пользуюсь всяким разным гоуном типа эксодусов и т.п.  Составлять сегвит транзакцию вручную с 8 входами это тоже оверкилл.

 

Share this post


Link to post
Share on other sites
8 минут назад, e46btc сказал:

На 99.9% я верю в украденный сид.

а я на 99.9% не верю в украденный сид, но это по сути ничего не меняет, и битки не вернет :(

 

P.S. к стати вместе с сидом там еще пароль 8 цифр на вход в железку случаем не надо до кучи потырить? :)

а то что то не получается в электруме свой собственный клон леджера по сиду создать без подключения железки, ну или я криворукий :) 

Share this post


Link to post
Share on other sites

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

8 минут назад, Lookingfor сказал:

а то что то не получается в электруме свой собственный клон леджера по сиду создать

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

Share this post


Link to post
Share on other sites
56 минут назад, e46btc сказал:

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

я попытался это сделать после увода битка, до этого сид единожды списанный с экрана на бумагу при первичной установке кошелька никуда никогда больше не вводился

и пытался это сделать что бы исключить глюк железа, так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

 

 

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Edited by Lookingfor

Share this post


Link to post
Share on other sites
27 минут назад, Lookingfor сказал:

так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

Через электрум сможете потратить.

 

27 минут назад, Lookingfor сказал:

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

Восстанавливаете на максимально безопасном компе и сразу перебрасываете весь баланс на другой кошелек. Наверное, можно предположить, что не обязательно это делать для утерянного кошелька, маловероятно, что кто-то угадает пин код с 3 попыток, но вы никак не можете достоверно знать, что можно сделать с кошельком при наличии к нему физического доступа. Даже если сейчас ничего, то через год найдут дыру и станет можно. Да и к тому же не факт, что его потеряли, его могли и целеноправленно украсть.

 

Если Леджер умер физически и есть другой запасной, то можно восстановить сид в новый Леджер, тогда сид останется в безопасности, так как ни у какого вредоносного ПО не будет возможности его перехватить каким-либо образом.  А умерший Леджер отправляется в камин и ни в коем случае не на завод по гарантии, даже если она есть.

 

27 минут назад, Lookingfor сказал:

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Видимо да, некоторым образом оффтоп, но с другой стороны все это справедливо и для Трезора в точно такой же степени.  К тому же по сути темы уже мало что можно добавить ИМХО.

 

Возможные варианты по теме:

- реально дырявый Трезор, учитывая, что внутри по сути флешка (в отличии от Леджера)

- знакомый что-то недоговаривает

- у него каким-то образом украли сид в электронном виде, возможно он тоже хотел иметь копию на компе, например, для просмотра или для удобного принятия новых платежей не подключая железку

- у него украли сид в бумажном виде, где-то он его ведь хранил?  в сейфе? в шкафу? 

 

К тому же есть одно очень серьезное заблуждение, что аппаратный кошелек можно использовать даже на самом завирусованном компе - это не так, нельзя.

Edited by e46btc

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Чарли Шрем: «всего от 5 до 10 биткоинов изменят всю вашу жизнь через 20 лет»

      Сейчас добыто чуть более 18 миллионов биткоинов, а максимальное количество BTC не может превышать 21 миллион. Энтузиаст биткоина Чарли Шрем считает, что уже через несколько лет даже 5 BTC смогут изменить жизнь их владельца.   Конечно, 5-10 биткоинов это от 45 до 90 тысяч долларов по текущему курсу, и такие деньги далеко не каждому по силам. Но, с другой стороны, даже 1 BTC, в случае многократного роста, может изменить жизнь владельца. Недавно криптовалютная биржа Binance

      in Новости криптовалют

    • Биржа Bitfinex запустила поддержку SegWit для вывода биткоинов

      Крупная криптовалютная биржа Bitfinex объявила о добавлении поддержки адресов SegWit формата Bech32 для вывода биткоинов.   Адреса Bech32 начинаются с символов «bс1» и транзакции при их использовании получается сжать больше, чем при использовании адресов P2SH, которые начинаются с символа «3».   Биржа сообщила, что поддержка вывода средств на адреса Bech32 позволит снизить комиссии. Также использование таких адресов позволит «исключить возможность межблокчейновых тр

      in Новости криптовалют

    • Нужен ли сервис проверки биткоинов на чистоту?

      Всем привет! Мы планируем запустить сервис по проверке btc-адресов и btc-транзакций на предмет "чистоты" биткоинов, количества поступлений с грязных источников (вроде черного рынка, взломанных адресов, вирусов и т.п.). В Европе с 10 января 2020 года такие проверки станут обязательными в связи с тем, что вступит в силу 5-я Директива AML (5AMLD). Хочется узнать - вы бы стали пользоваться таким сервисом? Мы подготовили небольшой опросник, его заполнение займет 2 минуты: https://docs.google.com/

      in Безопасность

    • Casa представила решение для передачи биткоинов по наследству

      Кастодиальный стартап Casa представил решение Casa Covenant, которое должно решить проблему передачи криптоактивов наследникам в случае смерти владельца.   Обычно люди для таких целей либо доверяют члену семьи пароли от кошельков, либо используют стороннего хранителя идентификационных данных. Но в первом случае владелец криптовалютных активов может лишиться их еще при жизни, а во втором — наследники могут не получить доступ к активам.   Casa Conenant представляет со

      in Новости криптовалют

    • Украли btc с blockchain.info

      Помогите разобраться. Увели 0.04613354 BTC. Неприятно, но хочется понять каким образом это могло произойти. В момент перевода на сайт не заходил, стоит 2FA. Где искать проблему?

      in Безопасность

×
×
  • Create New...