Увели эфиры из кошелька непонятно как

[xkn0tx]

Всем привет!

4 октября с баланса на эфирном кошельке улетели все эфиры. Кошелёк Mist последней версии, установлен на чистый комп с Windows 10. В момент транзакции компьютер был неактивен, не было никаких удалённых подключений. Физический доступ к компьютеру исключён (охраняемое помещение,  сигналка, камеры, охранник и всё такое). Файл кошелька синхронизируется на 2 резервных компа через Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - никаких левых подключений не было, да и что можно сделать с файлом кошелька без пароля, который в открытом виде нигде не хранится. Короче говоря, проанализировал все возможные варианты (физический доступ, бэкап, удалённый доступ RDP или аналог) - нет никаких идей.

Эфиры пропали, их скорее всего не вернуть, но хотелось бы понять механизм процесса их кражи.

Вот на всякий случай транзакция: https://etherchain.org/tx/0x6ba7b184496270ba9ee87d751d8c96e62d5011fb187462a1de931f05d3d22d73

Да, и ещё. На адрес, куда улетели эфиры, в то же время было совершено ещё 2 транзакции, причём одна из них попала в один блок с моей.

Не понимаю, как это могло произойти и очень хочу разобраться в ситуации для исключения повторений.

[noodl]

Надо написать письмо Виталику!

[zeus2017]

тут можно подобрать https://www.cryptocompare.com/wallets/#/overview

 

[ortopa]

В 06.10.2017 в 08:09, xkn0tx сказал:

Кошелёк Mist последней версии, установлен на чистый комп с Windows 10.

Чистота компа проверена чем и в какой момент? "Чистый комп" больше ни для чего не использовался, кроме содержания кошелька?

По симптомам похоже на троян, который собрал с зараженных машин ETH балансы. Удалось Вам в итоге разгадать механизм кражи?

[AlexShmalex]

Это в наше время стандартная ситуация уже - жулики хитрые стали, стырив ключ, не спешат сливать копейку, могут ждать месяцами, наблюдать за кошелем и тд - а потом слив с "чистой системы без левых конектов в логах".

[vvvb1]

1) винда с инета?

2) в интерент ходили с компа?

3) работа с админскими правами?

[xkn0tx]

5 часов назад, ortopa сказал:

Чистота компа проверена чем и в какой момент? "Чистый комп" больше ни для чего не использовался, кроме содержания кошелька?

По симптомам похоже на троян, который собрал с зараженных машин ETH балансы. Удалось Вам в итоге разгадать механизм кражи?

"Чистый комп" - только что установленная винда, со всеми обновлениями. Использование - только содержание кошельков. Не упомянул в самом начале тот факт, что помимо эфирного кошелька на этом же компе установлен bitcoin core, в котором на момент инцидента хранилась сумма не менее значительная, чем в эфирах, но она в целости и сохранности. По логике вещей при доступе к компу злоумышленник должен был похитить и биткоины, но этого не произошло. Следы трояна не были найдены, был снят и проанализирован полный образ жёсткого диска (анализ удалённых файлов, их фрагментов и пустого места в том числе), нет никаких признаков действия какого-либо ПО для осуществления кражи. Механизм кражи так и остался загадкой.

5 часов назад, vvvb1 сказал:

1) винда с инета?

2) в интерент ходили с компа?

3) работа с админскими правами?

1) Лицензия 10 про

2) Только стандартным браузером для закачки установщика кошелька из официальных источников конечно

3) Только в момент установки ПО

[abudabi]

Если cureit и потом касперским проверить?

[xkn0tx]

4 минуты назад, abudabi сказал:

Если cureit и потом касперским проверить?

Уже сделано, результат нулевой.

[abudabi]

Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - 

 

Либо уязвимости винды, роутера(последняя прошивка?)

[Bolearis]

54 минуты назад, xkn0tx сказал:

Уже сделано, результат нулевой.

Попробуйте этой утилитой.

Она хорошо выцепляет разного рода "руткиты".

В моей практике не раз помогала.

На рекламу не обращайте внимания. Везде сейчас так.

Качайте свободный вариант. Его достаточно для проверки.

А в принципе для таких вещей лучше виртуалка с Линуксом.

В случае чего можно перенести в другое место.

И никто не взломает.

[abroz]

ну раз биток не тронули то это не троян сто процентов

да и в целом твой пк никто не взламывал

скорее всего проблема как раз в твоем кошельке

[xkn0tx]

1 час назад, abudabi сказал:

Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - 

 

Либо уязвимости винды, роутера(последняя прошивка?)

Всё обновлено до актуальных на данный момент версий. 

[xkn0tx]

34 минуты назад, abroz сказал:

ну раз биток не тронули то это не троян сто процентов

да и в целом твой пк никто не взламывал

скорее всего проблема как раз в твоем кошельке

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

[ortopa]

А приватный ключ генерировали прямо на этом "чистом компе" mistoм или где-то еще и потом импортировали?

[xkn0tx]

1 час назад, Bolearis сказал:

Попробуйте этой утилитой.

Она хорошо выцепляет разного рода "руткиты".

В моей практике не раз помогала.

На рекламу не обращайте внимания. Везде сейчас так.

Качайте свободный вариант. Его достаточно для проверки.

А в принципе для таких вещей лучше виртуалка с Линуксом.

В случае чего можно перенести в другое место.

И никто не взломает.

Проверил, результат как и в случае антивирусов нулевой. Линукс на виртуалке уже установлен и работает, видимо единственный на данный момент надёжный вариант)

2 минуты назад, ortopa сказал:

А приватный ключ генерировали прямо на этом "чистом компе" mistoм или где-то еще и потом импортировали?

Прямо на этом "чистом компе".

[Bolearis]

3 минуты назад, xkn0tx сказал:

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

7 минут назад, xkn0tx сказал:

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

 

Вот тут мужик пишет о проблемах Resilio Sync.

Цитата:

" I have an older Macbook Pro which I'm trying to use as a Desktop Machine for the occasional work-at-home machine.

I was using Resilio Sync to sync my projects between my main laptop and every time there's a problem with the sync, it seems to delete random files and folders. So anyone using Resilio Sync, think again."

[ortopa]

А кошелек зашифрован сильным паролем или из словаря? И те места, куда бэкапы сливались ,тоже чистые?

Исключена атака типа "взяли кошелек из бэкапа, по словарю подобрали пароль"?

[xkn0tx]

10 минут назад, Bolearis сказал:

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

 

Вот тут мужик пишет о проблемах Resilio Sync.

Цитата:

" I have an older Macbook Pro which I'm trying to use as a Desktop Machine for the occasional work-at-home machine.

I was using Resilio Sync to sync my projects between my main laptop and every time there's a problem with the sync, it seems to delete random files and folders. So anyone using Resilio Sync, think again."

Резервирование только через вышеупомянутый Resilio Sync в режиме "только чтение" на 2 хоста. Были проверены логи на всех и не найдено никакой подозрительной активности. Учитывая тот факт, что файл кошелька без пароля не имеет смысла, утечку через Resilio Sync не рассматриваю. Хотя может я не полностью информирован о принципе действия эфирных кошельков, а именно паре файл_кошелька+пароль.

4 минуты назад, ortopa сказал:

А кошелек зашифрован сильным паролем или из словаря? И те места, куда бэкапы сливались ,тоже чистые?

Исключена атака типа "взяли кошелек из бэкапа, по словарю подобрали пароль"?

Пароль не из словаря, очень сложный. Подобрать точно не получится. 

[Bolearis]

@xkn0tx 

Сами понимаете чудес в таких делах не бывает.

Еще раз проанализируйте всю цепочку.

От последней(предпоследней) транзакции до настройки вашего Resilio Sync.

Все что делает человек подвержено глюкам в той или иной степени.

Возможно вы пропустили какой-то малозначимый нюанс.

Edited 3 Nov 2017, 06:12 by Bolearis

[xkn0tx]

7 минут назад, Bolearis сказал:

@xkn0tx 

Сами понимаете чудес в таких делах не бывает.

Еще раз проанализируйте всю цепочку.

От последней(предпоследней) транзакции до настройки вашего Resilio Sync.

Все что делает человек подвержено глюкам в той или иной степени.

Возможно вы пропустили какой-то малозначимый нюанс.

Я уже сто раз всё проверил. Все действия запротоколированы, ни в одном из этапов не было передачи информации о доступе к кошельку в открытом виде. Более 10 лет работаю в сфере ИТ безопасности и тут такое дело. У меня уже паранойя развилась своеобразная, потому что нет уверенности в инструменте хранения накоплений ввиду отсутствия понимания механизма утечки средств. Как выше говорил noodl, которого заминусовали, даже написал письмо Виталику, которое он конечно не прочитает)

[ortopa]

10 минут назад, xkn0tx сказал:

Все действия запротоколированы

Удалось выяснить, транзакция-кража с Вашего компа-кошелька или откуда-то еще ушла в сеть? Как я понял, Вы подозреваете второй вариант?

[xkn0tx]

4 минуты назад, ortopa сказал:

Удалось выяснить, транзакция-кража с Вашего компа-кошелька или откуда-то еще ушла в сеть? Как я понял, Вы подозреваете второй вариант?

Да, подозреваю второй вариант. Хорошо было бы посмотреть IP адреса, с которых была проведена транзакция по аналогии с эксплорером блоков в биткоин-сети, но к сожалению с аналогичным инструментом для эфиров я не знаком.

[Bolearis]

Попробуйте спросить на форумах, или других местах, поддержки по эфиру.

Может там что толковое вам подскажут.

[ortopa]

Не слежу за эфирными делами, но судя по etherscan в эфирном блокчейне не хранятся адреса, откуда пришла транзакция. Вы Виталику фичареквест не отправляли на эту тему: сохранять адрес, с которого впервые в сеть пришла транзакция. Хотя, конечно, это не защитит никак и поиск более-менее умного хакера не облегчит.