Перейти к содержанию

Взломан онлайн-кошелек Эфириума MyEtherWallet


Tomcat_MkII

Рекомендуемые сообщения

MEW

 

24 апреля MyEtherWallet, один из самых популярных онлайн-кошельков Эфириума был атакован. Взломанные DNS сервера перенаправляли пользователей на фишинговый сайт. На момент написания статьи (21-30 Мск) известно об одном случае кражи: похищено 215 ETH (около $150 000). Пользователи, заходившие на myetherwallet.com через DNS Google (8.8.8.8./8.8.4.4) перенаправлялись на сервер злоумышленника с недействительным сертификатом, который мог похитить их приватные ключи:

 

Сертификат

 

Судя по всему, на 20-30 Мск Google разрешил проблему: индикатор SSL соединения на сайте показывает, что все в порядке (название компании зеленого цвета и символ замка в левом верхнем углу адресной строки браузера). Однако, никакого официального заявления пока не было, так что нельзя утверждать с полной уверенностью, что проблема ликвидирована.

 

Бывший сотрудник MyEtherWallet, а ныне разработчик конкурирующего проекта MyCrypto в посте на Reddit дает пользователям следующие советы:

 

 

Читать полностью

 

 

Ссылка на комментарий
Поделиться на другие сайты

поставил на vpn-vps сервере как раз гугловый dns... ну и кого теперь ставить?... и у этих зашквар?

Ссылка на комментарий
Поделиться на другие сайты

16 минут назад, iRybin сказал:

поставил на vpn-vps сервере как раз гугловый dns... ну и кого теперь ставить?... и у этих зашквар?

с гугловских пересел на Cloudflare, пока что в режиме теста

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

Взломан не кошелек, а серверы гугла, которые к нему отношения не имеют вообще никакого. Таким же образом можно "взломать" хоть microsoft.com.

 

Ранее уже писал на эту тему:

 

https://forum.bits.media/index.php?/topic/33998-eth-простой-ethereum-пул-pps-pot/&page=341&tab=comments#comment-1417466

https://forum.bits.media/index.php?/topic/33998-eth-простой-ethereum-пул-pps-pot/&do=findComment&comment=1417580

 

Когда кто-то игнорирует сообщение браузера о том, что его перенаправили на левый сервер, которому нельзя доверять, на ум приходит только один комментарий - "если человек идиот, то это надолго".

 

P.S. По состоянию на 1:50 по МСК кэш гугловского DNS давно уже прочистился, но нижестоящие провайдеры и локальные хранилища все еще могут хранить поддельные записи некоторое время.

 

5adfb594d883b_2018-04-251_53_59.thumb.png.0a7b438bb4b6255fc9f8a321d444b7fa.png

 

 

Изменено пользователем Balthazar
Ссылка на комментарий
Поделиться на другие сайты

Цитата

 

Если вы заходили на MEW в течение последних четырех часов через Metamask, Ledger Nano S или Trezor - ваши средства в безопасности, поскольку ключи, ключевые файлы и пароли не передавались в сеть даже при отправке транзакции.

 

 

 

Если страница и javascript код на ней аутентичны, то ключи не "передаются в сеть" в любом случае, в этом весь смысл client-side подписывания. Независимо от того, используется аппаратный кошелек или нет. Что ж, неудивительно, что он бывший сотрудник.

 

Возможно, конечно, он хотел сказать что сервер злоумышленника не мог украсть средства с аппаратного кошелька. Но это тоже не(совсем)правда, страница злоумышленника может заменить в транзакции адрес получателя непосредственно перед её отправкой на устройство для подписывания. И пользователь этого не заметит, если не перепроверит результат подписывания непосредственно перед отправкой транзакции в сеть. Потому что на дисплее Ledger Nano не отображается адрес получателя, только валюта и сумма.

 

Иными словами, подконтрольная злоумышленнику страница может украсть средства и с аппаратного кошелька, но только ровно ту сумму, что хотел перевести пользователь.

Изменено пользователем Balthazar
Ссылка на комментарий
Поделиться на другие сайты

Уточняющий вопрос. Может ли злоумышленник подсунуть левый действительный сертификат, который выдавал бы ту же строку "MyEtherWallet Inc (US)" в информации о подписи сайта (слева от адреса)?

Изменено пользователем Borian
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Borian сказал:

Уточняющий вопрос. Может ли злоумышленник подсунуть левый действительный сертификат, который выдавал бы ту же строку "MyEtherWallet Inc (US)" в информации о подписи сайта (слева от адреса)?

Для этого надо взломать SSL. Пока не додумались.

Ссылка на комментарий
Поделиться на другие сайты

@Qandros  А зачем ломать сам алгоритм шифрования, когда можно просто взломать долбаный сервер сертификатов? Или даже "договориться" с хозяевами. Думаю, это проще. :wink:

 

И вопрос о подсовывании строки "MyEtherWallet Inc (US)"  левым сертификатом остаётся открытым.

Изменено пользователем Borian
Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, Borian сказал:

левым сертификатом остаётся открытым

Ну, тут я не в теме, знаю только, что в РФ сертификаты Ru-Center раздает, так что, наверно, там искать надо. Если совсем страшно, можно сделать транзу в офлайн MEW и запустить ее в CMD прямо командой geth. Когда кошельков еще не было, так и отправляли. Или все же MyCrypto пользоваться, вся команда же там.

Ссылка на комментарий
Поделиться на другие сайты

@Balthazar Ledger Nano S при отправке не только сумму показывает но и полный адрес получателя.

Ссылка на комментарий
Поделиться на другие сайты

Сайт MyCrypto выглядит клоном MyEtherWallet.

Вопрос, а зачем 19 из 20 разработчиков MyEtherWallet создали его клон?

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, HolodGLD сказал:

а зачем 19 из 20 разработчиков MyEtherWallet создали его клон?

Разругались. В тексте ссылка на статью с подробностями

Ссылка на комментарий
Поделиться на другие сайты

@HolodGLD  Ну как бы известная уже история, вот пост от Тэйлор Монахен (в конце ссылка на него в реддит, где он подписан её ключом): https://medium.com/mycrypto/mycrypto-launch-6a066bf41093

В посте много эмоций и "воды", но суть отделения MyCrypto, как я понял - новая кодовая база, изначально рассчитанная на большую нагрузку и большое кол-во юзеров. Хотя, наверняка есть ещё причины. В чём конкретно они разругались - нам не знать. :blink:

 

Новость конечно правильнее назвать не "взломан", а "скомпрометирован". А вообще, раз пошла такая пьянка, взлом DNS, то точно так же могло быть и с MyCrypto.

 

Мне вот интересно, неужели все онлайн-сервисы банков например также могут быть скомпрометированы через DNS? Могут быть от этого какие-то защитные механизмы (кроме сертификатов)? Но банковские операции хоть спасает то, что везде уже двухфакторка, подтверждение по смс и всё такое. В крипте конечно по сравнению с этим просто дичь. Двухфакторка нужна. Хотя истинные адепты подписывают транзакцию на оффлайн-машине и спят спокойно. :smile:

Изменено пользователем Borian
Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, Borian сказал:

Двухфакторка нужна.

 

тема для стартапа? Блокчейн-двухфакторная авторизация без гуглов и компани? - насколько я понимаю - должно быть вполне реализуемо.

Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, Borian сказал:

также могут быть скомпрометированы через DNS?

Да, и это было много раз. Разница в том, что в случае с банком есть с кого спросить и кому пожаловаться. А тут нет.  Авторизация - так полно проектов, Civic, Uport, да много еще.  Двухфакторка меня бесит, много движений и Mitm возможен. 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Borian сказал:

И вопрос о подсовывании строки "MyEtherWallet Inc (US)"  левым сертификатом остаётся открытым.

Я сходу вижу два варианта, но оба не то чтобы сильно простые.

Первый способ. Получить доступ к емейлу владельца домена, ИЛИ некоторые продавцы допускают адреса вида admin@ adm@ и т.п.. Сгенерировать новый валидный сертификат для своего сервера. 

Если есть доступ к ДНС записям, то можно подменить MX серверы на свои и получить код верификации из письма от продавца сертификатов. Но не уверен, тут пробовать надо. В теории сходу нерешаемых проблем не вижу.

 

Также надо понимать, что почти мгновенно выпускается обычный сертификат. В браузере виден как зеленый замок или зеленая надпись HTTPS. Чтобы получить Extended Validation сертификат, типа чтобы на зеленой плашке было написано название компании, нужно сильно больше времени, + заморочка с регистрацией юр.морды на подставных лиц, верификацией и т.п.. То есть или атаку сильно заранее и аккуратно готовить, или забить на этот способ. Большая часть тех, кто попадется все равно обычно не очень внимательны, есть что-то зеленое слева у строки адреса и ладно.

 

Второй способ, это договориться с кем-то из удостоверяющих центров и выпустить нужный сертификат. Взломать их - задача весьма сложная, а вот шантаж/подкуп людей изнутри - более реалистично. Ну и все сильно упрощается, если над этим работают гос. силовые структуры, это тоже имеет смысл держать в голове.

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, polym0rph сказал:

Чтобы получить Extended Validation сертификат, типа чтобы на зеленой плашке было написано название компании, нужно сильно больше времени, + заморочка с регистрацией юр.морды на подставных лиц, верификацией и т.п.

 

А вообще выдаст ли добросовестный удостоверяющий центр название на плашке (которое мы видим рядом с зелёным замочком) если такое же, или очень похожее, уже было кому-то выдано (данным центром или каким-то другим)?

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Borian сказал:

 

А вообще выдаст ли добросовестный удостоверяющий центр название на плашке (которое мы видим рядом с зелёным замочком) если такое же, или очень похожее, уже было кому-то выдано (данным центром или каким-то другим)?

Скорее всего да, технически это не представляет никакой трудности, как и юридически, тем более, как уже сказали выше, для этого нужно регистрировать юрика и если кто-то начнёт бушевать по такой схеме его найдут в 2 счёта.

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, billsmith сказал:

@Balthazar Ledger Nano S при отправке не только сумму показывает но и полный адрес получателя.

Да, но сначала показывается валюта и сумма и предлагает подтвердить. У меня так, по крайней мере. Уверен, что большинство юзеров не идет дальше проверки суммы. По крайней мере, это мне кажется весьма вероятным в свете количества украденного через подставной сайт с самоподписанным сертификатом.

Если человек проигнорировал крики браузера, то адрес он уж точно смотреть не будет.

Ссылка на комментарий
Поделиться на другие сайты

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, ____ сказал:

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Так гугловские ДНС-сервера ломанули. Разве нет?

Ссылка на комментарий
Поделиться на другие сайты

35 минут назад, ____ сказал:

поломали их ибо оди дибилы, когда им написали что у них есть дыра они ответили что все у них хорошо ....
Вот и итог !

Дефицит йода у вас, как говорится, прямо на лице.

Изменено пользователем Balthazar
опечатка
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

×
×
  • Создать...