Jump to content
Tomcat_MkII

Взломан онлайн-кошелек Эфириума MyEtherWallet

Recommended Posts

MEW

 

24 апреля MyEtherWallet, один из самых популярных онлайн-кошельков Эфириума был атакован. Взломанные DNS сервера перенаправляли пользователей на фишинговый сайт. На момент написания статьи (21-30 Мск) известно об одном случае кражи: похищено 215 ETH (около $150 000). Пользователи, заходившие на myetherwallet.com через DNS Google (8.8.8.8./8.8.4.4) перенаправлялись на сервер злоумышленника с недействительным сертификатом, который мог похитить их приватные ключи:

 

Сертификат

 

Судя по всему, на 20-30 Мск Google разрешил проблему: индикатор SSL соединения на сайте показывает, что все в порядке (название компании зеленого цвета и символ замка в левом верхнем углу адресной строки браузера). Однако, никакого официального заявления пока не было, так что нельзя утверждать с полной уверенностью, что проблема ликвидирована.

 

Бывший сотрудник MyEtherWallet, а ныне разработчик конкурирующего проекта MyCrypto в посте на Reddit дает пользователям следующие советы:

 

 

Читать полностью

 

 

Share this post


Link to post
Share on other sites

поставил на vpn-vps сервере как раз гугловый dns... ну и кого теперь ставить?... и у этих зашквар?

Share this post


Link to post
Share on other sites
16 минут назад, iRybin сказал:

поставил на vpn-vps сервере как раз гугловый dns... ну и кого теперь ставить?... и у этих зашквар?

с гугловских пересел на Cloudflare, пока что в режиме теста

Share this post


Link to post
Share on other sites

Взломан не кошелек, а серверы гугла, которые к нему отношения не имеют вообще никакого. Таким же образом можно "взломать" хоть microsoft.com.

 

Ранее уже писал на эту тему:

 

https://forum.bits.media/index.php?/topic/33998-eth-простой-ethereum-пул-pps-pot/&page=341&tab=comments#comment-1417466

https://forum.bits.media/index.php?/topic/33998-eth-простой-ethereum-пул-pps-pot/&do=findComment&comment=1417580

 

Когда кто-то игнорирует сообщение браузера о том, что его перенаправили на левый сервер, которому нельзя доверять, на ум приходит только один комментарий - "если человек идиот, то это надолго".

 

P.S. По состоянию на 1:50 по МСК кэш гугловского DNS давно уже прочистился, но нижестоящие провайдеры и локальные хранилища все еще могут хранить поддельные записи некоторое время.

 

5adfb594d883b_2018-04-251_53_59.thumb.png.0a7b438bb4b6255fc9f8a321d444b7fa.png

 

 

Edited by Balthazar

Share this post


Link to post
Share on other sites
Цитата

 

Если вы заходили на MEW в течение последних четырех часов через Metamask, Ledger Nano S или Trezor - ваши средства в безопасности, поскольку ключи, ключевые файлы и пароли не передавались в сеть даже при отправке транзакции.

 

 

 

Если страница и javascript код на ней аутентичны, то ключи не "передаются в сеть" в любом случае, в этом весь смысл client-side подписывания. Независимо от того, используется аппаратный кошелек или нет. Что ж, неудивительно, что он бывший сотрудник.

 

Возможно, конечно, он хотел сказать что сервер злоумышленника не мог украсть средства с аппаратного кошелька. Но это тоже не(совсем)правда, страница злоумышленника может заменить в транзакции адрес получателя непосредственно перед её отправкой на устройство для подписывания. И пользователь этого не заметит, если не перепроверит результат подписывания непосредственно перед отправкой транзакции в сеть. Потому что на дисплее Ledger Nano не отображается адрес получателя, только валюта и сумма.

 

Иными словами, подконтрольная злоумышленнику страница может украсть средства и с аппаратного кошелька, но только ровно ту сумму, что хотел перевести пользователь.

Edited by Balthazar

Share this post


Link to post
Share on other sites

в самое сердце бьют, надо всегда быть настороже

Share this post


Link to post
Share on other sites

Уточняющий вопрос. Может ли злоумышленник подсунуть левый действительный сертификат, который выдавал бы ту же строку "MyEtherWallet Inc (US)" в информации о подписи сайта (слева от адреса)?

Edited by Borian

Share this post


Link to post
Share on other sites
1 час назад, Borian сказал:

Уточняющий вопрос. Может ли злоумышленник подсунуть левый действительный сертификат, который выдавал бы ту же строку "MyEtherWallet Inc (US)" в информации о подписи сайта (слева от адреса)?

Для этого надо взломать SSL. Пока не додумались.

Share this post


Link to post
Share on other sites

@Qandros  А зачем ломать сам алгоритм шифрования, когда можно просто взломать долбаный сервер сертификатов? Или даже "договориться" с хозяевами. Думаю, это проще. :wink:

 

И вопрос о подсовывании строки "MyEtherWallet Inc (US)"  левым сертификатом остаётся открытым.

Edited by Borian

Share this post


Link to post
Share on other sites
6 минут назад, Borian сказал:

левым сертификатом остаётся открытым

Ну, тут я не в теме, знаю только, что в РФ сертификаты Ru-Center раздает, так что, наверно, там искать надо. Если совсем страшно, можно сделать транзу в офлайн MEW и запустить ее в CMD прямо командой geth. Когда кошельков еще не было, так и отправляли. Или все же MyCrypto пользоваться, вся команда же там.

Share this post


Link to post
Share on other sites

@Balthazar Ledger Nano S при отправке не только сумму показывает но и полный адрес получателя.

Share this post


Link to post
Share on other sites

Сайт MyCrypto выглядит клоном MyEtherWallet.

Вопрос, а зачем 19 из 20 разработчиков MyEtherWallet создали его клон?

Share this post


Link to post
Share on other sites
5 минут назад, HolodGLD сказал:

а зачем 19 из 20 разработчиков MyEtherWallet создали его клон?

Разругались. В тексте ссылка на статью с подробностями

Share this post


Link to post
Share on other sites

@HolodGLD  Ну как бы известная уже история, вот пост от Тэйлор Монахен (в конце ссылка на него в реддит, где он подписан её ключом): https://medium.com/mycrypto/mycrypto-launch-6a066bf41093

В посте много эмоций и "воды", но суть отделения MyCrypto, как я понял - новая кодовая база, изначально рассчитанная на большую нагрузку и большое кол-во юзеров. Хотя, наверняка есть ещё причины. В чём конкретно они разругались - нам не знать. :blink:

 

Новость конечно правильнее назвать не "взломан", а "скомпрометирован". А вообще, раз пошла такая пьянка, взлом DNS, то точно так же могло быть и с MyCrypto.

 

Мне вот интересно, неужели все онлайн-сервисы банков например также могут быть скомпрометированы через DNS? Могут быть от этого какие-то защитные механизмы (кроме сертификатов)? Но банковские операции хоть спасает то, что везде уже двухфакторка, подтверждение по смс и всё такое. В крипте конечно по сравнению с этим просто дичь. Двухфакторка нужна. Хотя истинные адепты подписывают транзакцию на оффлайн-машине и спят спокойно. :smile:

Edited by Borian

Share this post


Link to post
Share on other sites
7 минут назад, Borian сказал:

Двухфакторка нужна.

 

тема для стартапа? Блокчейн-двухфакторная авторизация без гуглов и компани? - насколько я понимаю - должно быть вполне реализуемо.

Share this post


Link to post
Share on other sites
24 минуты назад, Borian сказал:

также могут быть скомпрометированы через DNS?

Да, и это было много раз. Разница в том, что в случае с банком есть с кого спросить и кому пожаловаться. А тут нет.  Авторизация - так полно проектов, Civic, Uport, да много еще.  Двухфакторка меня бесит, много движений и Mitm возможен. 

Share this post


Link to post
Share on other sites
3 часа назад, Borian сказал:

И вопрос о подсовывании строки "MyEtherWallet Inc (US)"  левым сертификатом остаётся открытым.

Я сходу вижу два варианта, но оба не то чтобы сильно простые.

Первый способ. Получить доступ к емейлу владельца домена, ИЛИ некоторые продавцы допускают адреса вида [email protected] [email protected] и т.п.. Сгенерировать новый валидный сертификат для своего сервера. 

Если есть доступ к ДНС записям, то можно подменить MX серверы на свои и получить код верификации из письма от продавца сертификатов. Но не уверен, тут пробовать надо. В теории сходу нерешаемых проблем не вижу.

 

Также надо понимать, что почти мгновенно выпускается обычный сертификат. В браузере виден как зеленый замок или зеленая надпись HTTPS. Чтобы получить Extended Validation сертификат, типа чтобы на зеленой плашке было написано название компании, нужно сильно больше времени, + заморочка с регистрацией юр.морды на подставных лиц, верификацией и т.п.. То есть или атаку сильно заранее и аккуратно готовить, или забить на этот способ. Большая часть тех, кто попадется все равно обычно не очень внимательны, есть что-то зеленое слева у строки адреса и ладно.

 

Второй способ, это договориться с кем-то из удостоверяющих центров и выпустить нужный сертификат. Взломать их - задача весьма сложная, а вот шантаж/подкуп людей изнутри - более реалистично. Ну и все сильно упрощается, если над этим работают гос. силовые структуры, это тоже имеет смысл держать в голове.

Share this post


Link to post
Share on other sites
17 минут назад, polym0rph сказал:

Чтобы получить Extended Validation сертификат, типа чтобы на зеленой плашке было написано название компании, нужно сильно больше времени, + заморочка с регистрацией юр.морды на подставных лиц, верификацией и т.п.

 

А вообще выдаст ли добросовестный удостоверяющий центр название на плашке (которое мы видим рядом с зелёным замочком) если такое же, или очень похожее, уже было кому-то выдано (данным центром или каким-то другим)?

Share this post


Link to post
Share on other sites
3 минуты назад, Borian сказал:

 

А вообще выдаст ли добросовестный удостоверяющий центр название на плашке (которое мы видим рядом с зелёным замочком) если такое же, или очень похожее, уже было кому-то выдано (данным центром или каким-то другим)?

Скорее всего да, технически это не представляет никакой трудности, как и юридически, тем более, как уже сказали выше, для этого нужно регистрировать юрика и если кто-то начнёт бушевать по такой схеме его найдут в 2 счёта.

Share this post


Link to post
Share on other sites
5 часов назад, billsmith сказал:

@Balthazar Ledger Nano S при отправке не только сумму показывает но и полный адрес получателя.

Да, но сначала показывается валюта и сумма и предлагает подтвердить. У меня так, по крайней мере. Уверен, что большинство юзеров не идет дальше проверки суммы. По крайней мере, это мне кажется весьма вероятным в свете количества украденного через подставной сайт с самоподписанным сертификатом.

Если человек проигнорировал крики браузера, то адрес он уж точно смотреть не будет.

Share this post


Link to post
Share on other sites

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Share this post


Link to post
Share on other sites
4 минуты назад, ____ сказал:

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Так гугловские ДНС-сервера ломанули. Разве нет?

Share this post


Link to post
Share on other sites
35 минут назад, ____ сказал:

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Дефицит йода у вас, как говорится, прямо на лице.

Edited by Balthazar
опечатка

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...