Перейти к публикации
xkn0tx

Увели эфиры из кошелька непонятно как

Рекомендованные сообщения

Всем привет!

4 октября с баланса на эфирном кошельке улетели все эфиры. Кошелёк Mist последней версии, установлен на чистый комп с Windows 10. В момент транзакции компьютер был неактивен, не было никаких удалённых подключений. Физический доступ к компьютеру исключён (охраняемое помещение,  сигналка, камеры, охранник и всё такое). Файл кошелька синхронизируется на 2 резервных компа через Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - никаких левых подключений не было, да и что можно сделать с файлом кошелька без пароля, который в открытом виде нигде не хранится. Короче говоря, проанализировал все возможные варианты (физический доступ, бэкап, удалённый доступ RDP или аналог) - нет никаких идей.

Эфиры пропали, их скорее всего не вернуть, но хотелось бы понять механизм процесса их кражи.

Вот на всякий случай транзакция: https://etherchain.org/tx/0x6ba7b184496270ba9ee87d751d8c96e62d5011fb187462a1de931f05d3d22d73

Да, и ещё. На адрес, куда улетели эфиры, в то же время было совершено ещё 2 транзакции, причём одна из них попала в один блок с моей.

Не понимаю, как это могло произойти и очень хочу разобраться в ситуации для исключения повторений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надо написать письмо Виталику!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 06.10.2017 в 08:09, xkn0tx сказал:

Кошелёк Mist последней версии, установлен на чистый комп с Windows 10.

Чистота компа проверена чем и в какой момент? "Чистый комп" больше ни для чего не использовался, кроме содержания кошелька?

По симптомам похоже на троян, который собрал с зараженных машин ETH балансы. Удалось Вам в итоге разгадать механизм кражи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это в наше время стандартная ситуация уже - жулики хитрые стали, стырив ключ, не спешат сливать копейку, могут ждать месяцами, наблюдать за кошелем и тд - а потом слив с "чистой системы без левых конектов в логах".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) винда с инета?

2) в интерент ходили с компа?

3) работа с админскими правами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, ortopa сказал:

Чистота компа проверена чем и в какой момент? "Чистый комп" больше ни для чего не использовался, кроме содержания кошелька?

По симптомам похоже на троян, который собрал с зараженных машин ETH балансы. Удалось Вам в итоге разгадать механизм кражи?

"Чистый комп" - только что установленная винда, со всеми обновлениями. Использование - только содержание кошельков. Не упомянул в самом начале тот факт, что помимо эфирного кошелька на этом же компе установлен bitcoin core, в котором на момент инцидента хранилась сумма не менее значительная, чем в эфирах, но она в целости и сохранности. По логике вещей при доступе к компу злоумышленник должен был похитить и биткоины, но этого не произошло. Следы трояна не были найдены, был снят и проанализирован полный образ жёсткого диска (анализ удалённых файлов, их фрагментов и пустого места в том числе), нет никаких признаков действия какого-либо ПО для осуществления кражи. Механизм кражи так и остался загадкой.

5 часов назад, vvvb1 сказал:

1) винда с инета?

2) в интерент ходили с компа?

3) работа с админскими правами?

1) Лицензия 10 про

2) Только стандартным браузером для закачки установщика кошелька из официальных источников конечно

3) Только в момент установки ПО

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если cureit и потом касперским проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, abudabi сказал:

Если cureit и потом касперским проверить?

Уже сделано, результат нулевой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - 

 

Либо уязвимости винды, роутера(последняя прошивка?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
54 минуты назад, xkn0tx сказал:

Уже сделано, результат нулевой.

Попробуйте этой утилитой.

Она хорошо выцепляет разного рода "руткиты".

В моей практике не раз помогала.

На рекламу не обращайте внимания. Везде сейчас так.

Качайте свободный вариант. Его достаточно для проверки.

А в принципе для таких вещей лучше виртуалка с Линуксом.

В случае чего можно перенести в другое место.

И никто не взломает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну раз биток не тронули то это не троян сто процентов

да и в целом твой пк никто не взламывал

скорее всего проблема как раз в твоем кошельке

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, abudabi сказал:

Resilio Sync (бывший Bitorrent Sync), просмотрел все логи - 

 

Либо уязвимости винды, роутера(последняя прошивка?)

Всё обновлено до актуальных на данный момент версий. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
34 минуты назад, abroz сказал:

ну раз биток не тронули то это не троян сто процентов

да и в целом твой пк никто не взламывал

скорее всего проблема как раз в твоем кошельке

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А приватный ключ генерировали прямо на этом "чистом компе" mistoм или где-то еще и потом импортировали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Bolearis сказал:

Попробуйте этой утилитой.

Она хорошо выцепляет разного рода "руткиты".

В моей практике не раз помогала.

На рекламу не обращайте внимания. Везде сейчас так.

Качайте свободный вариант. Его достаточно для проверки.

А в принципе для таких вещей лучше виртуалка с Линуксом.

В случае чего можно перенести в другое место.

И никто не взломает.

Проверил, результат как и в случае антивирусов нулевой. Линукс на виртуалке уже установлен и работает, видимо единственный на данный момент надёжный вариант)

2 минуты назад, ortopa сказал:

А приватный ключ генерировали прямо на этом "чистом компе" mistoм или где-то еще и потом импортировали?

Прямо на этом "чистом компе".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, xkn0tx сказал:

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

7 минут назад, xkn0tx сказал:

Тот факт что увели только эфир это странно конечно, но уверен, что существуют трояны ориентированные сугубо на эфир. Хотя мне почему-то кажется, что даже если я этот комп вообще выключил на момент инцидента, эфиры всё равно бы улетели.

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

 

Вот тут мужик пишет о проблемах Resilio Sync.

Цитата:

" I have an older Macbook Pro which I'm trying to use as a Desktop Machine for the occasional work-at-home machine.

I was using Resilio Sync to sync my projects between my main laptop and every time there's a problem with the sync, it seems to delete random files and folders. So anyone using Resilio Sync, think again."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кошелек зашифрован сильным паролем или из словаря? И те места, куда бэкапы сливались ,тоже чистые?

Исключена атака типа "взяли кошелек из бэкапа, по словарю подобрали пароль"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, Bolearis сказал:

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

Вы сделали резервную копию кошелька?

Может что случилось с файлом кошелька?

 

Вот тут мужик пишет о проблемах Resilio Sync.

Цитата:

" I have an older Macbook Pro which I'm trying to use as a Desktop Machine for the occasional work-at-home machine.

I was using Resilio Sync to sync my projects between my main laptop and every time there's a problem with the sync, it seems to delete random files and folders. So anyone using Resilio Sync, think again."

Резервирование только через вышеупомянутый Resilio Sync в режиме "только чтение" на 2 хоста. Были проверены логи на всех и не найдено никакой подозрительной активности. Учитывая тот факт, что файл кошелька без пароля не имеет смысла, утечку через Resilio Sync не рассматриваю. Хотя может я не полностью информирован о принципе действия эфирных кошельков, а именно паре файл_кошелька+пароль.

4 минуты назад, ortopa сказал:

А кошелек зашифрован сильным паролем или из словаря? И те места, куда бэкапы сливались ,тоже чистые?

Исключена атака типа "взяли кошелек из бэкапа, по словарю подобрали пароль"?

Пароль не из словаря, очень сложный. Подобрать точно не получится. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@xkn0tx 

Сами понимаете чудес в таких делах не бывает.

Еще раз проанализируйте всю цепочку.

От последней(предпоследней) транзакции до настройки вашего Resilio Sync.

Все что делает человек подвержено глюкам в той или иной степени.

Возможно вы пропустили какой-то малозначимый нюанс.

Изменено пользователем Bolearis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, Bolearis сказал:

@xkn0tx 

Сами понимаете чудес в таких делах не бывает.

Еще раз проанализируйте всю цепочку.

От последней(предпоследней) транзакции до настройки вашего Resilio Sync.

Все что делает человек подвержено глюкам в той или иной степени.

Возможно вы пропустили какой-то малозначимый нюанс.

Я уже сто раз всё проверил. Все действия запротоколированы, ни в одном из этапов не было передачи информации о доступе к кошельку в открытом виде. Более 10 лет работаю в сфере ИТ безопасности и тут такое дело. У меня уже паранойя развилась своеобразная, потому что нет уверенности в инструменте хранения накоплений ввиду отсутствия понимания механизма утечки средств. Как выше говорил noodlкоторого заминусовали, даже написал письмо Виталику, которое он конечно не прочитает)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, xkn0tx сказал:

Все действия запротоколированы

Удалось выяснить, транзакция-кража с Вашего компа-кошелька или откуда-то еще ушла в сеть? Как я понял, Вы подозреваете второй вариант?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, ortopa сказал:

Удалось выяснить, транзакция-кража с Вашего компа-кошелька или откуда-то еще ушла в сеть? Как я понял, Вы подозреваете второй вариант?

Да, подозреваю второй вариант. Хорошо было бы посмотреть IP адреса, с которых была проведена транзакция по аналогии с эксплорером блоков в биткоин-сети, но к сожалению с аналогичным инструментом для эфиров я не знаком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте спросить на форумах, или других местах, поддержки по эфиру.

Может там что толковое вам подскажут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не слежу за эфирными делами, но судя по etherscan в эфирном блокчейне не хранятся адреса, откуда пришла транзакция. Вы Виталику фичареквест не отправляли на эту тему: сохранять адрес, с которого впервые в сеть пришла транзакция. Хотя, конечно, это не защитит никак и поиск более-менее умного хакера не облегчит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вся суть в закрытом ключе,вообщем взял я свой закрытый ключ,и начал менять там символы,и нашёл один кошелёк с 0.00032 эфира. В итоге я могу попросту их вывести на свой кошелёк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×