Bitcoin Core

[jam72]

14 минут назад, SSS_Viva сказал:

тут возникает несколько вопросов, с 21 версии, в core отключен прямой импорт приватных ключей в консоли, плюс, когда человек подписывал транзакцию, по идее использовались данные кошелька с которого происходила трата, а сдача вернулась на другой, то есть надо приватник уже от этого кошелька, ну либо, на основании дочернего  и паблик восстанавливать основной приватник, это то на что хватает моих знаний, возможно заблуждаюсь.

 

1. В коре можно импортировать приватник в любой версии.

2. О какой сдаче речь? В той транзакции не было сдачи.

 

17 минут назад, SSS_Viva сказал:

Еlectrum в связке с его Cold Storage, по моему мнению, лучше ещё ничего не придумали, но этим можно покрыть только LTC и BTC, на данный момент, на сколько мне известно, а зоопарк монет у пользователей сейчас значительно больше.

Есть и другие возможности. Можно для зоопарка и хороший аппаратник использовать: Trezor или Keystone, например.

20 минут назад, SSS_Viva сказал:

Думаю, если бы кто-то получил доступ к приватнику, вряд ли бы он морочился с какой-то хитрой транзакцией с тратой самому себе, которая на самом деле уводила монеты на другой кошелёк.

Насчет "самому себе" есть некоторые сомнения. Приемный адрес в той транзакции разве принадлежит этому кошельку?

[vovon]

@SSS_Viva Посмотрите в кошельке есть ли адрес bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy это адрес куда все объеденилось

Если этого адреса нет, то значит угнали валет.дат и пароль, и объеденили в другом кошельке, а в вашем после синхронизации появился этот значек.

[jam72]

2 минуты назад, vovon сказал:

Если этого адреса нет, то значит угнали валет.дат и пароль, и объеденили в другом кошельке, а в вашем после синхронизации появился этот значек.

Вы точно знаете, что данный значок обозначает именно это? У меня, например, в коре (используется как нода для sparrow) есть консолидирующие транзакции кучи входов с одного адреса на этот же адрес, так значок обыкновенный - стрелка наружу.

Да и если, как вы говорите, в другом кошельке была сделана транзакция на левый адрес, на каком основании этот кор покажет, что транзакция была самому себе? Не вижу связи.

[SSS_Viva]

@jam72 1. В коре можно импортировать приватник в любой версии. - до 21 версии надо было (если кошелёк с паролем) walletpassphrase “ваш пароль” 1000 - dumpprivkey “адрес” , после 21, вроде, для  дескрипторных кошельков ее отключили, теперь для этого надо walletpassphrase “ваш пароль” 1000 - getaddressinfo "адрес" - записываем значения "parent_desc" и "ischange" - listdescriptors true - ищем приватный дескриптор соответствующий родительскому дескриптору адреса (это будет wpkh) - поскольку их будет, как минимум, два, выбираем тот, у которого значение internal совпадает с вашим ischange (true или false) -  копируем его мастер-приватный ключ, который начинается с длинного "xprv" - далее надо сторонний инструмент, на подобии  BIP39 от iancoleman(как с этим работать не буду описывать),  но суть в том что уже с его помощью получается приватник нужного формата, для нужного адреса.

 

Хотя в данном случае, скорее всего, говорить про дескрипторный кошелёк вряд ли приходится, так что да, тут dumpprivkey, а лучше walletdump.

 

2. О какой сдаче речь? В той транзакции не было сдачи. - о той транзакции, которую человек делал сам в ноябре, там небольшая сумма и сдача.

 

Есть и другие возможности. Можно для зоопарка и хороший аппаратник использовать: Trezor или Keystone, например. - самое смешное что у него есть подобное устройство.

 

Насчет "самому себе" есть некоторые сомнения. Приемный адрес в той транзакции разве принадлежит этому кошельку? - кажется начало немного складываться, злоумышленник получил 30 приватников, он их импортирует себе и делает отправку с 30 входящих на один свой, получается как сам себе, тем самым объединяя все в одно, в этот момент на кошельках жертв и появиться такая транзакция, но опять это на то, что мне хватает знаний.

 

 

@vovon bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy  - с вероятностью 99.99999%  нет конечно, но все же попрошу доступ и проверю, если бы он там был, то человек бы молчал, так как у него стало бы больше денег), спасибо.

Edited 7 Feb 2025, 12:14 by SSS_Viva

[vovon]

19 минут назад, jam72 сказал:

Вы точно знаете, что данный значок обозначает именно это? У меня, например, в коре (используется как нода для sparrow) есть консолидирующие транзакции кучи входов с одного адреса на этот же адрес, так значок обыкновенный - стрелка наружу.

Да и если, как вы говорите, в другом кошельке была сделана транзакция на левый адрес, на каком основании этот кор покажет, что транзакция была самому себе? Не вижу связи.

Да точно 

это не левый адрес, а адрес сгенерированый в том же валет.дат что и у автора

[vovon]

32 минуты назад, SSS_Viva сказал:

с вероятностью 99.99999%  нет конечно, но все же попрошу доступ и проверю, если бы он там был, то человек бы молчал, так как у него стало бы больше денег), спасибо

Нет не стало бы больше, а даже меньше на сумму комисии. И да когда будет доступ подведи курсор к значку.

[jam72]

33 минуты назад, SSS_Viva сказал:

кажется начало немного складываться, злоумышленник получил 30 приватников, он их импортирует себе и делает отправку с 30 входящих на один свой, тем самым объединяя все в одно, в этот момент на кошельках жертв и появиться такая транзакция

Транзакция на кошельке жертвы, конечно, появится. Но почему с таким значком? Если этот значок означает платеж на свой адрес, то значит приватник от bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy должен быть в wallet.dat жертвы.

 

[SSS_Viva]

@vovon Больше, даже с учётом комиссии, так как входов на кошелёк bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy 30 и только 2 с его, остальное, по идее в +.

Да, подведу курсор, сделаю скриншот.

@jam72 это надо глубже колупаться, условно говоря, если  я создам два кошелька, во торой из первого импортирую приватник от одного адреса и сделаю транзакцию сам себе  во втором, что будет в первом ...

Edited 7 Feb 2025, 12:56 by SSS_Viva

[vovon]

3 минуты назад, jam72 сказал:

Транзакция на кошельке жертвы, конечно, появится. Но почему с таким значком? Если этот значок означает платеж на свой адрес, то значит приватник от bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy должен быть в wallet.dat жертвы.

 

Ну может быть этот адрес есть в пуле валет.дат, но явным образом не отображается в списке адресов получения.

[SSS_Viva]

@vovon В wallet.dat тьма адресов, которых никак не видно в GUI, это из опыта, в данном случае, когда дадут доступ, посмотрю.

[jam72]

3 минуты назад, SSS_Viva сказал:

это надо глубже колупаться, условно говоря, если  я создам два кошелька, во торой из первого импортирую приватник от одного адреса и сделаю транзакцию сам себе  во втором, что будет в первом ...

Значок будет со стрелкой наружу.

3 минуты назад, vovon сказал:

Ну может быть этот адрес есть в пуле валет.дат, но явным образом не отображается в списке адресов получения.

Я про это и говорю, значит в wallet.dat есть соответствующий приватник.

 

@SSS_Viva Надо дать команду в консоли:

getaddressinfo "bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy"

и посмотреть, что в строке ismine

[SSS_Viva]

@jam72

getaddressinfo "bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy"

что в строке ismine

Сделаю, думаю, в ближайшее время договорюсь о встрече.

Edited 7 Feb 2025, 13:07 by SSS_Viva

[vovon]

4 минуты назад, SSS_Viva сказал:

 Больше, даже с учётом комиссии, так как входов на кошелёк bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy 30 и только 2 с его, остальное, по идее в +.

Вот смотри транзакции https://mempool.space/ru/address/bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy

в первой 2226699e2097f3cd857f05b25c8f2a4d97accf6124ebf508414dcfa96b7cc2d5 собрал из 30 входов в один выход на bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy

во второй bfadec112ae4ba16c3e32a8c791d72ed752b488fd96af2859468891185ed3b7f отправил на 34B1XGPUL4UhQrrQHu3KCQahz6XBd5eXQD

все транзакции без сдачи

[SSS_Viva]

@vovon Все верно, но на кошелёк bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy собраны деньги нескольких жертв, то есть если допустить, что этот кошелёк сгенерирован, в wallet товарища, пока, по логике, получается так, исходя из сути транзакции сам себе, то к его деньгами прибавились бы деньги других жертв...

Ну или я уже запутался ))). 

Edited 7 Feb 2025, 13:15 by SSS_Viva

[vovon]

1 минуту назад, SSS_Viva сказал:

@vovon Все верно, но на кошелёк bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy собраны деньги нескольких жертв, то есть если допустить, что этот кошелёк сгенерирован, в wallet товарища, пока по логике получается так, исходя из сути транзакции сам себе, то к его деньгами прибавились бы деньги других жертв...

Ну или я уже запутался ))). 

Нет никаких несколько жертв, все адреса в одном кошельке

[jam72]

11 минут назад, SSS_Viva сказал:

на кошелёк bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy собраны деньги нескольких жертв

В таком случае проверьте адрес 1C4hkaghi4zpFWf3kKk8Ti7hdrV6QJd2dg, он есть в кошельке? Может, просто сдача улетела вместо своего на кошелек злоумышленника?

[sir85@bk.ru]

Начала истории не знаю, но из опыта предположу, банальное воровство wallet.dat через троян. 
Существуют множество баз слитых паролей, поэтому, если он хозяин его не обновлял, то в словарях можно найти с вероятностью, примерно 20-25%, тем более по РФ.

Существуют смежные форумы по подбору паролей по хэшу за небольшое вознаграждение. Тем более, что может был установлен еще кейлоггер, который слил пароль подобный при вводе в другом сервисе. 

В сложные версии, типа в оперативной памяти был пароль или распакованный wallet крайне маловероятно, скорее пароль хранился в txt или в виде фото. 2 btc как я понял увели? печально...

[SSS_Viva]

@sir85@bk.ru

В 08.02.2025 в 08:46, sir85@bk.ru сказал:

Существуют множество баз слитых паролей, поэтому, если он хозяин его не обновлял, то в словарях можно найти с вероятностью, примерно 20-25%, тем более по РФ.

Существуют смежные форумы по подбору паролей по хэшу за небольшое вознаграждение. Тем более, что может был установлен еще кейлоггер, который слил пароль подобный при вводе в другом сервисе. 

Пароль 23 буквы, заглавные и  нет, ENG раскладка, набор случайных букв, я не силён в  брутфорсе, но что-то мне подсказывает, словари тут не помогут, да и методом перебора займет не мало времени.

 

В 08.02.2025 в 08:46, sir85@bk.ru сказал:

Тем более, что может был установлен еще кейлоггер

Вполне возможно., буду ещё смотреть, проверять, если будут результаты, напишу.

В 08.02.2025 в 08:46, sir85@bk.ru сказал:

пароль хранился в txt или в виде фото

Пароль больше нигде не использовался, фото не было и ни в каком виде не сохранялся (но это все конечно же со слов человека, зная пользователей, я склонен, больше не верить, чем верить).

[SSS_Viva]

@vovon

@jam72"address": "bc1qqaldpledkkwfqvw6zpfw7wx6qz7kepy39cn7sy", "ismine": false,

@jam72 "address": "1C4hkaghi4zpFWf3kKk8Ti7hdrV6QJd2dg", "ismine": true,

[jam72]

@SSS_Viva Из информации, которую имею, следует такой вывод: злоумышленник получил приватные ключи (один ключ или несколько - вам виднее), импортировал их в свой кошелек и отправил самому себе на новый адрес. А спустя 10-15 минут вывел куда-то (на биржу или обменник).

[SSS_Viva]

6 минут назад, jam72 сказал:

Из информации, которую имею, следует такой вывод: злоумышленник получил приватные ключи (один ключ или несколько - вам виднее), импортировал их в свой кошелек и отправил самому себе на новый адрес

Да, я тоже так думаю, о чем ранее и писал.

Edited 10 Feb 2025, 09:26 by SSS_Viva

[SSS_Viva]

@jam72 "ismine": false  - за что отвечает данный флаг ?

[jam72]

21 минуту назад, SSS_Viva сказал:

@jam72 "ismine": false  - за что отвечает данный флаг ?

ismine показывает, есть ли в wallet.dat приватный ключ для данного адреса

[jam72]

@SSS_Viva 

1 час назад, jam72 сказал:

ismine показывает, есть ли в wallet.dat приватный ключ для данного адреса

Хотя нет, вру. Проверил сейчас - показывает "true" и в дескрипторном "только для чтения". Значит наличие приватника необязательно, главное, чтобы адрес принадлежал кошельку.

[SSS_Viva]

@jam72 Спасибо, ещё поколупаю wallet.dat, посмотрю что там и как.