Перейти к содержанию

Увели эфиры из кошелька непонятно как


xkn0tx

Рекомендуемые сообщения

Всем привет!

4 октября с баланса на эфирном кошельке улетели все эфиры. Кошелёк Mist последней версии, установлен на чистый комп с Windows 10. В момент транзакции компьютер был неактивен, не было никаких удалённых подключений. Физический доступ к компьютеру исключён (охраняемое помещение,  сигналка, камеры, охранник и всё такое). Файл кошелька синхронизируется на 2 резервных компа через Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - никаких левых подключений не было, да и что можно сделать с файлом кошелька без пароля, который в открытом виде нигде не хранится. Короче говоря, проанализировал все возможные варианты (физический доступ, бэкап, удалённый доступ RDP или аналог) - нет никаких идей.

Эфиры пропали, их скорее всего не вернуть, но хотелось бы понять механизм процесса их кражи.

Вот на всякий случай транзакция: https://etherchain.org/tx/0x6ba7b184496270ba9ee87d751d8c96e62d5011fb187462a1de931f05d3d22d73

Да, и ещё. На адрес, куда улетели эфиры, в то же время было совершено ещё 2 транзакции, причём одна из них попала в один блок с моей.

Не понимаю, как это могло произойти и очень хочу разобраться в ситуации для исключения повторений.

Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...
В 06.10.2017 в 08:09, xkn0tx сказал:

Кошелёк Mist последней версии, установлен на чистый комп с Windows 10.

Чистота компа проверена чем и в какой момент? "Чистый комп" больше ни для чего не использовался, кроме содержания кошелька?

По симптомам похоже на троян, который собрал с зараженных машин ETH балансы. Удалось Вам в итоге разгадать механизм кражи?

Ссылка на комментарий
Поделиться на другие сайты

Это в наше время стандартная ситуация уже - жулики хитрые стали, стырив ключ, не спешат сливать копейку, могут ждать месяцами, наблюдать за кошелем и тд - а потом слив с "чистой системы без левых конектов в логах".

Ссылка на комментарий
Поделиться на другие сайты

1) винда с инета?

2) в интерент ходили с компа?

3) работа с админскими правами?

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, ortopa сказал:

Чистота компа проверена чем и в какой момент? "Чистый комп" больше ни для чего не использовался, кроме содержания кошелька?

По симптомам похоже на троян, который собрал с зараженных машин ETH балансы. Удалось Вам в итоге разгадать механизм кражи?

"Чистый комп" - только что установленная винда, со всеми обновлениями. Использование - только содержание кошельков. Не упомянул в самом начале тот факт, что помимо эфирного кошелька на этом же компе установлен bitcoin core, в котором на момент инцидента хранилась сумма не менее значительная, чем в эфирах, но она в целости и сохранности. По логике вещей при доступе к компу злоумышленник должен был похитить и биткоины, но этого не произошло. Следы трояна не были найдены, был снят и проанализирован полный образ жёсткого диска (анализ удалённых файлов, их фрагментов и пустого места в том числе), нет никаких признаков действия какого-либо ПО для осуществления кражи. Механизм кражи так и остался загадкой.

5 часов назад, vvvb1 сказал:

1) винда с инета?

2) в интерент ходили с компа?

3) работа с админскими правами?

1) Лицензия 10 про

2) Только стандартным браузером для закачки установщика кошелька из официальных источников конечно

3) Только в момент установки ПО

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, abudabi сказал:

Если cureit и потом касперским проверить?

Уже сделано, результат нулевой.

Ссылка на комментарий
Поделиться на другие сайты

Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - 

 

Либо уязвимости винды, роутера(последняя прошивка?)

Ссылка на комментарий
Поделиться на другие сайты

54 минуты назад, xkn0tx сказал:

Уже сделано, результат нулевой.

Попробуйте этой утилитой.

Она хорошо выцепляет разного рода "руткиты".

В моей практике не раз помогала.

На рекламу не обращайте внимания. Везде сейчас так.

Качайте свободный вариант. Его достаточно для проверки.

А в принципе для таких вещей лучше виртуалка с Линуксом.

В случае чего можно перенести в другое место.

И никто не взломает.

Ссылка на комментарий
Поделиться на другие сайты

ну раз биток не тронули то это не троян сто процентов

да и в целом твой пк никто не взламывал

скорее всего проблема как раз в твоем кошельке

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, abudabi сказал:

Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - 

 

Либо уязвимости винды, роутера(последняя прошивка?)

Всё обновлено до актуальных на данный момент версий. 

Ссылка на комментарий
Поделиться на другие сайты

34 минуты назад, abroz сказал:

ну раз биток не тронули то это не троян сто процентов

да и в целом твой пк никто не взламывал

скорее всего проблема как раз в твоем кошельке

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Ссылка на комментарий
Поделиться на другие сайты

А приватный ключ генерировали прямо на этом "чистом компе" mistoм или где-то еще и потом импортировали?

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Bolearis сказал:

Попробуйте этой утилитой.

Она хорошо выцепляет разного рода "руткиты".

В моей практике не раз помогала.

На рекламу не обращайте внимания. Везде сейчас так.

Качайте свободный вариант. Его достаточно для проверки.

А в принципе для таких вещей лучше виртуалка с Линуксом.

В случае чего можно перенести в другое место.

И никто не взломает.

Проверил, результат как и в случае антивирусов нулевой. Линукс на виртуалке уже установлен и работает, видимо единственный на данный момент надёжный вариант)

2 минуты назад, ortopa сказал:

А приватный ключ генерировали прямо на этом "чистом компе" mistoм или где-то еще и потом импортировали?

Прямо на этом "чистом компе".

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, xkn0tx сказал:

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

7 минут назад, xkn0tx сказал:

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

 

Вот тут мужик пишет о проблемах Resilio Sync.

Цитата:

" I have an older Macbook Pro which I'm trying to use as a Desktop Machine for the occasional work-at-home machine.

I was using Resilio Sync to sync my projects between my main laptop and every time there's a problem with the sync, it seems to delete random files and folders. So anyone using Resilio Sync, think again."

Ссылка на комментарий
Поделиться на другие сайты

А кошелек зашифрован сильным паролем или из словаря? И те места, куда бэкапы сливались ,тоже чистые?

Исключена атака типа "взяли кошелек из бэкапа, по словарю подобрали пароль"?

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, Bolearis сказал:

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

 

Вот тут мужик пишет о проблемах Resilio Sync.

Цитата:

" I have an older Macbook Pro which I'm trying to use as a Desktop Machine for the occasional work-at-home machine.

I was using Resilio Sync to sync my projects between my main laptop and every time there's a problem with the sync, it seems to delete random files and folders. So anyone using Resilio Sync, think again."

Резервирование только через вышеупомянутый Resilio Sync в режиме "только чтение" на 2 хоста. Были проверены логи на всех и не найдено никакой подозрительной активности. Учитывая тот факт, что файл кошелька без пароля не имеет смысла, утечку через Resilio Sync не рассматриваю. Хотя может я не полностью информирован о принципе действия эфирных кошельков, а именно паре файл_кошелька+пароль.

4 минуты назад, ortopa сказал:

А кошелек зашифрован сильным паролем или из словаря? И те места, куда бэкапы сливались ,тоже чистые?

Исключена атака типа "взяли кошелек из бэкапа, по словарю подобрали пароль"?

Пароль не из словаря, очень сложный. Подобрать точно не получится. 

Ссылка на комментарий
Поделиться на другие сайты

@xkn0tx 

Сами понимаете чудес в таких делах не бывает.

Еще раз проанализируйте всю цепочку.

От последней(предпоследней) транзакции до настройки вашего Resilio Sync.

Все что делает человек подвержено глюкам в той или иной степени.

Возможно вы пропустили какой-то малозначимый нюанс.

Изменено пользователем Bolearis
Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, Bolearis сказал:

@xkn0tx 

Сами понимаете чудес в таких делах не бывает.

Еще раз проанализируйте всю цепочку.

От последней(предпоследней) транзакции до настройки вашего Resilio Sync.

Все что делает человек подвержено глюкам в той или иной степени.

Возможно вы пропустили какой-то малозначимый нюанс.

Я уже сто раз всё проверил. Все действия запротоколированы, ни в одном из этапов не было передачи информации о доступе к кошельку в открытом виде. Более 10 лет работаю в сфере ИТ безопасности и тут такое дело. У меня уже паранойя развилась своеобразная, потому что нет уверенности в инструменте хранения накоплений ввиду отсутствия понимания механизма утечки средств. Как выше говорил noodlкоторого заминусовали, даже написал письмо Виталику, которое он конечно не прочитает)

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, xkn0tx сказал:

Все действия запротоколированы

Удалось выяснить, транзакция-кража с Вашего компа-кошелька или откуда-то еще ушла в сеть? Как я понял, Вы подозреваете второй вариант?

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, ortopa сказал:

Удалось выяснить, транзакция-кража с Вашего компа-кошелька или откуда-то еще ушла в сеть? Как я понял, Вы подозреваете второй вариант?

Да, подозреваю второй вариант. Хорошо было бы посмотреть IP адреса, с которых была проведена транзакция по аналогии с эксплорером блоков в биткоин-сети, но к сожалению с аналогичным инструментом для эфиров я не знаком.

Ссылка на комментарий
Поделиться на другие сайты

Попробуйте спросить на форумах, или других местах, поддержки по эфиру.

Может там что толковое вам подскажут.

Ссылка на комментарий
Поделиться на другие сайты

Не слежу за эфирными делами, но судя по etherscan в эфирном блокчейне не хранятся адреса, откуда пришла транзакция. Вы Виталику фичареквест не отправляли на эту тему: сохранять адрес, с которого впервые в сеть пришла транзакция. Хотя, конечно, это не защитит никак и поиск более-менее умного хакера не облегчит.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Elliptic: Хакеры из КНДР перевели украденные у HTX эфиры через Tornado Cash

      Аналитики компании Elliptic сообщили, что северокорейская хакерская группа Lazarus снова начала использовать для заметания следов своих транзакций попавший под санкции США криптовалютный миксер Tornado Cash. Исследователи обнаружили, что за последние три дня участники Lazarus перевели через Tornado Cash эфиры на сумму $12 млн. Эти средства были украдены в ноябре 2023 года в ходе взлома криптобиржи HTX и ее межсетевого моста HTX Eco Chain (HECO). Во время атаки злоумышленникам удалось опусто

      в Новости криптовалют

    • Из кошельков создателя Ronin Network украдены эфиры на $9,5 млн

      Сооснователь сайдчейна Ronin, используемого в игре Axie Infinity, Джефф Зирлин сообщил об атаке на его личные кошельки, в ходе которой хакерам удалось вывести 3 250 ETH на сумму $9,5 млн. Украденные эфиры были направлены через сетевой мост на три отдельных кошелька Эфириума, а затем переведены в криптовалютный миксер Tornado Cash. Этот автоматизированный сервис используется для смешивания средств, чтобы «замести следы». Джефф Зирлин (Jeff Zirlin) конкретизировал подробности атаки:  

      в Новости криптовалют

    • Увели ликвидность из пула Pancakeswap. Потерял 50 BNB. Посмотрите смартконтракт

      Захотел создать свой токен. Поэксперементировать. Посмотреть как работате пул ликвидности. Думал там все надежно и защищено   Образец контрака взял тут https://www.createyourowntoken.net/post/create-your-honeypot-token-honeypot-detector-proof   Привлекло то что токен проходит проверку и это не honeypot   Других работающих образцов не нашел   Злоумышленник используя мой контракт создал на 4 триллиона токенов и поменял на мои BNB   КОнечно глупо бы

      в DeFi, токены

    • Увели эфир из метамаска

      Недавно создал новый кошелек метамаск, закинул туда немного эфира для определенной транзакции. Транзакцию не провел, поскольку цена была транзакции большая и на несколько дней о кошельке не вспоминал. Сегодня с удивленнием увидел, что эфир с кошелька ушел на неизвестный мне адрес. Подскажите, что это за фигня такая? https://etherscan.io/tx/0x462e931fa8a6838f653dbe28c72935436ceae5fec505dd1aa68f76bf59fcba74   Апдейт: посмотрел в истории все сайты, куда заходил, оказалось, по по

      в Безопасность

    • Роберт Кийосаки: «Инвестируйте в золото, биткоины, эфиры и Solana»

      Автор бестселлера «Богатый папа, бедный папа» считает, что сейчас самое время вкладывать деньги в активы, способные защитить от инфляции. Роберт Кийосаки (Robert Kiyosaki) объявил в Твиттере, что в будущем мир ожидает падение американского доллара. Он призвал «накануне третьей мировой войны» инвестировать в золото и цифровые активы:   «Уилл Смит дал пощечину Крису Року на вручении «Оскара». Байден дает пощечину Путину на мировой арене. Токсичная мужественность. Мир в беде. Государств

      в Новости криптовалют

×
×
  • Создать...