Перейти к публикации
Tomcat_MkII

Взломан онлайн-кошелек Эфириума MyEtherWallet

Рекомендованные сообщения

MEW

 

24 апреля MyEtherWallet, один из самых популярных онлайн-кошельков Эфириума был атакован. Взломанные DNS сервера перенаправляли пользователей на фишинговый сайт. На момент написания статьи (21-30 Мск) известно об одном случае кражи: похищено 215 ETH (около $150 000). Пользователи, заходившие на myetherwallet.com через DNS Google (8.8.8.8./8.8.4.4) перенаправлялись на сервер злоумышленника с недействительным сертификатом, который мог похитить их приватные ключи:

 

Сертификат

 

Судя по всему, на 20-30 Мск Google разрешил проблему: индикатор SSL соединения на сайте показывает, что все в порядке (название компании зеленого цвета и символ замка в левом верхнем углу адресной строки браузера). Однако, никакого официального заявления пока не было, так что нельзя утверждать с полной уверенностью, что проблема ликвидирована.

 

Бывший сотрудник MyEtherWallet, а ныне разработчик конкурирующего проекта MyCrypto в посте на Reddit дает пользователям следующие советы:

 

 

Читать полностью

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поставил на vpn-vps сервере как раз гугловый dns... ну и кого теперь ставить?... и у этих зашквар?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
16 минут назад, iRybin сказал:

поставил на vpn-vps сервере как раз гугловый dns... ну и кого теперь ставить?... и у этих зашквар?

с гугловских пересел на Cloudflare, пока что в режиме теста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взломан не кошелек, а серверы гугла, которые к нему отношения не имеют вообще никакого. Таким же образом можно "взломать" хоть microsoft.com.

 

Ранее уже писал на эту тему:

 

https://forum.bits.media/index.php?/topic/33998-eth-простой-ethereum-пул-pps-pot/&page=341&tab=comments#comment-1417466

https://forum.bits.media/index.php?/topic/33998-eth-простой-ethereum-пул-pps-pot/&do=findComment&comment=1417580

 

Когда кто-то игнорирует сообщение браузера о том, что его перенаправили на левый сервер, которому нельзя доверять, на ум приходит только один комментарий - "если человек идиот, то это надолго".

 

P.S. По состоянию на 1:50 по МСК кэш гугловского DNS давно уже прочистился, но нижестоящие провайдеры и локальные хранилища все еще могут хранить поддельные записи некоторое время.

 

5adfb594d883b_2018-04-251_53_59.thumb.png.0a7b438bb4b6255fc9f8a321d444b7fa.png

 

 

Изменено пользователем Balthazar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

 

Если вы заходили на MEW в течение последних четырех часов через Metamask, Ledger Nano S или Trezor - ваши средства в безопасности, поскольку ключи, ключевые файлы и пароли не передавались в сеть даже при отправке транзакции.

 

 

 

Если страница и javascript код на ней аутентичны, то ключи не "передаются в сеть" в любом случае, в этом весь смысл client-side подписывания. Независимо от того, используется аппаратный кошелек или нет. Что ж, неудивительно, что он бывший сотрудник.

 

Возможно, конечно, он хотел сказать что сервер злоумышленника не мог украсть средства с аппаратного кошелька. Но это тоже не(совсем)правда, страница злоумышленника может заменить в транзакции адрес получателя непосредственно перед её отправкой на устройство для подписывания. И пользователь этого не заметит, если не перепроверит результат подписывания непосредственно перед отправкой транзакции в сеть. Потому что на дисплее Ledger Nano не отображается адрес получателя, только валюта и сумма.

 

Иными словами, подконтрольная злоумышленнику страница может украсть средства и с аппаратного кошелька, но только ровно ту сумму, что хотел перевести пользователь.

Изменено пользователем Balthazar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в самое сердце бьют, надо всегда быть настороже

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уточняющий вопрос. Может ли злоумышленник подсунуть левый действительный сертификат, который выдавал бы ту же строку "MyEtherWallet Inc (US)" в информации о подписи сайта (слева от адреса)?

Изменено пользователем Borian

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Borian сказал:

Уточняющий вопрос. Может ли злоумышленник подсунуть левый действительный сертификат, который выдавал бы ту же строку "MyEtherWallet Inc (US)" в информации о подписи сайта (слева от адреса)?

Для этого надо взломать SSL. Пока не додумались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Qandros  А зачем ломать сам алгоритм шифрования, когда можно просто взломать долбаный сервер сертификатов? Или даже "договориться" с хозяевами. Думаю, это проще. :wink:

 

И вопрос о подсовывании строки "MyEtherWallet Inc (US)"  левым сертификатом остаётся открытым.

Изменено пользователем Borian

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, Borian сказал:

левым сертификатом остаётся открытым

Ну, тут я не в теме, знаю только, что в РФ сертификаты Ru-Center раздает, так что, наверно, там искать надо. Если совсем страшно, можно сделать транзу в офлайн MEW и запустить ее в CMD прямо командой geth. Когда кошельков еще не было, так и отправляли. Или все же MyCrypto пользоваться, вся команда же там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Balthazar Ledger Nano S при отправке не только сумму показывает но и полный адрес получателя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сайт MyCrypto выглядит клоном MyEtherWallet.

Вопрос, а зачем 19 из 20 разработчиков MyEtherWallet создали его клон?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, HolodGLD сказал:

а зачем 19 из 20 разработчиков MyEtherWallet создали его клон?

Разругались. В тексте ссылка на статью с подробностями

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@HolodGLD  Ну как бы известная уже история, вот пост от Тэйлор Монахен (в конце ссылка на него в реддит, где он подписан её ключом): https://medium.com/mycrypto/mycrypto-launch-6a066bf41093

В посте много эмоций и "воды", но суть отделения MyCrypto, как я понял - новая кодовая база, изначально рассчитанная на большую нагрузку и большое кол-во юзеров. Хотя, наверняка есть ещё причины. В чём конкретно они разругались - нам не знать. :blink:

 

Новость конечно правильнее назвать не "взломан", а "скомпрометирован". А вообще, раз пошла такая пьянка, взлом DNS, то точно так же могло быть и с MyCrypto.

 

Мне вот интересно, неужели все онлайн-сервисы банков например также могут быть скомпрометированы через DNS? Могут быть от этого какие-то защитные механизмы (кроме сертификатов)? Но банковские операции хоть спасает то, что везде уже двухфакторка, подтверждение по смс и всё такое. В крипте конечно по сравнению с этим просто дичь. Двухфакторка нужна. Хотя истинные адепты подписывают транзакцию на оффлайн-машине и спят спокойно. :smile:

Изменено пользователем Borian

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, Borian сказал:

Двухфакторка нужна.

 

тема для стартапа? Блокчейн-двухфакторная авторизация без гуглов и компани? - насколько я понимаю - должно быть вполне реализуемо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
24 минуты назад, Borian сказал:

также могут быть скомпрометированы через DNS?

Да, и это было много раз. Разница в том, что в случае с банком есть с кого спросить и кому пожаловаться. А тут нет.  Авторизация - так полно проектов, Civic, Uport, да много еще.  Двухфакторка меня бесит, много движений и Mitm возможен. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Borian сказал:

И вопрос о подсовывании строки "MyEtherWallet Inc (US)"  левым сертификатом остаётся открытым.

Я сходу вижу два варианта, но оба не то чтобы сильно простые.

Первый способ. Получить доступ к емейлу владельца домена, ИЛИ некоторые продавцы допускают адреса вида [email protected] [email protected] и т.п.. Сгенерировать новый валидный сертификат для своего сервера. 

Если есть доступ к ДНС записям, то можно подменить MX серверы на свои и получить код верификации из письма от продавца сертификатов. Но не уверен, тут пробовать надо. В теории сходу нерешаемых проблем не вижу.

 

Также надо понимать, что почти мгновенно выпускается обычный сертификат. В браузере виден как зеленый замок или зеленая надпись HTTPS. Чтобы получить Extended Validation сертификат, типа чтобы на зеленой плашке было написано название компании, нужно сильно больше времени, + заморочка с регистрацией юр.морды на подставных лиц, верификацией и т.п.. То есть или атаку сильно заранее и аккуратно готовить, или забить на этот способ. Большая часть тех, кто попадется все равно обычно не очень внимательны, есть что-то зеленое слева у строки адреса и ладно.

 

Второй способ, это договориться с кем-то из удостоверяющих центров и выпустить нужный сертификат. Взломать их - задача весьма сложная, а вот шантаж/подкуп людей изнутри - более реалистично. Ну и все сильно упрощается, если над этим работают гос. силовые структуры, это тоже имеет смысл держать в голове.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
17 минут назад, polym0rph сказал:

Чтобы получить Extended Validation сертификат, типа чтобы на зеленой плашке было написано название компании, нужно сильно больше времени, + заморочка с регистрацией юр.морды на подставных лиц, верификацией и т.п.

 

А вообще выдаст ли добросовестный удостоверяющий центр название на плашке (которое мы видим рядом с зелёным замочком) если такое же, или очень похожее, уже было кому-то выдано (данным центром или каким-то другим)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, Borian сказал:

 

А вообще выдаст ли добросовестный удостоверяющий центр название на плашке (которое мы видим рядом с зелёным замочком) если такое же, или очень похожее, уже было кому-то выдано (данным центром или каким-то другим)?

Скорее всего да, технически это не представляет никакой трудности, как и юридически, тем более, как уже сказали выше, для этого нужно регистрировать юрика и если кто-то начнёт бушевать по такой схеме его найдут в 2 счёта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, billsmith сказал:

@Balthazar Ledger Nano S при отправке не только сумму показывает но и полный адрес получателя.

Да, но сначала показывается валюта и сумма и предлагает подтвердить. У меня так, по крайней мере. Уверен, что большинство юзеров не идет дальше проверки суммы. По крайней мере, это мне кажется весьма вероятным в свете количества украденного через подставной сайт с самоподписанным сертификатом.

Если человек проигнорировал крики браузера, то адрес он уж точно смотреть не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, ____ сказал:

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Так гугловские ДНС-сервера ломанули. Разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
35 минут назад, ____ сказал:

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Дефицит йода у вас, как говорится, прямо на лице.

Изменено пользователем Balthazar
опечатка

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

    YoBit.Net
×