Также, как Safe Wallet хакнул ByBit, ваш валлет может хакнуть вас
Гендир Байбита дропнул "детальное расследование" недавнего взлома биржи, и оказывается, у них украли 1.4 лярда в ETH потому, что биржа держала монетки не на собственной инфраструктуре, а на web3 кошельке Safe Wallet. 👀
Этот кошелёк гендир биржи Бен Чжоу упомянул в своём первом посте, описывающем взлом биржи. Но на это почти никто не обратил внимания, даже я как-то "пропустил" это мимо глаз и ушей, хотя текст оригинала прямо указывал на Safe акк в Твиттере.
Согласно отчёту Bybit, взлом претерпела архитектура Мульти-Сига Safe Wallet, а не сама Bybit. Этот сторонний кошелёк располагает стек своих услуг на Облаке Amazon - AWS, где и хранились подгружаемые "на лету" скрипты по управлению кошельком.
Компьютер одного из разработчиков Safe был скомпрометирован, в результате хакер получил доступ к бекендам AWS и функциям Safe. Затем он внедрил в функционал валлета вредоносный JavaScript код, который был немедленно разослан всем пользователям платформы Safe в качестве обновления.
Этот вредоносный JS код, тем не менее, был нацелен конкретно на контрактный адрес криптобиржи Bybit. Код JS изменяет содержание транзакции во время подписи.
Bybit поделилась своим расследованием с публикой через DocSendCom (я не рекомендую вам открывать эти PDF-ки от сотрудников Байбита на своём рабочем девайсе). Смотрим ключевые детали:
👀 Детальное расследование всех сторон, использовавшихся в инициации и подписи транзакции, показало, что вредоносный JavaScript код был инжектирован в ресурс, подаваемый через Сеть с серверов кошелька Safe на Облаке Амазон.
👀 Облако Амазон записало время модификации ресурса, также имеются публично доступные архивы веб-истории. Всё это указало, что внедрение вредоносного JS кода было произведено напрямую в код Safe Wallet, лежащий на сервере AWS.
👀 Анализ внедрённого JS кода показывает, что его главной функцией было манипулирование транзакциями, что дало возможность изменять содержимое транзакций прямо во время процесса подписи.
👀 Также, анализ показал наличие во вредоносном JS коде условия, что активирует его лишь в случае взаимодействия с контрактом кошелька, принадлежащего Bybit.
👀 Через две минуты после того, как хакерская транзакция была выполнена и проведена, новые версии JS кода были загружены на Облако Amazon, эта обновлённая версия уже не содержала вредоносный код.
👀 Эти находки подразумевают, что атака произошла на стороне кошелька Safe, в инфраструктуре AWS.
👀 Расследование не обнаружило проблем безопасности на стороне биржи Bybit." 🤨
~
📡Что это всё значит, простым языком?
Уязвимость с пробросом трояна через обновления касается не только web3 кошельков и криптобирж с туповатыми фаундерами. Она касается любых некастодиальных кошельков в том числе, т.к. большинство из них подгружают функционал и данные с находящихся во владении фаундеров централизованных серверов. А вам врут, что "вы сами контролируете свои приватные ключи".
Чтобы знать, какие кошельки не занимаются подобными практиками, залетайте в Cool People и прокачивайте свои Знания о принципах работы крипто кошельков. Подробности в боте: @btcquestbot.
#bqwallets #bybithack
Гендир Байбита дропнул "детальное расследование" недавнего взлома биржи, и оказывается, у них украли 1.4 лярда в ETH потому, что биржа держала монетки не на собственной инфраструктуре, а на web3 кошельке Safe Wallet. 👀
Этот кошелёк гендир биржи Бен Чжоу упомянул в своём первом посте, описывающем взлом биржи. Но на это почти никто не обратил внимания, даже я как-то "пропустил" это мимо глаз и ушей, хотя текст оригинала прямо указывал на Safe акк в Твиттере.
Согласно отчёту Bybit, взлом претерпела архитектура Мульти-Сига Safe Wallet, а не сама Bybit. Этот сторонний кошелёк располагает стек своих услуг на Облаке Amazon - AWS, где и хранились подгружаемые "на лету" скрипты по управлению кошельком.
Компьютер одного из разработчиков Safe был скомпрометирован, в результате хакер получил доступ к бекендам AWS и функциям Safe. Затем он внедрил в функционал валлета вредоносный JavaScript код, который был немедленно разослан всем пользователям платформы Safe в качестве обновления.
Этот вредоносный JS код, тем не менее, был нацелен конкретно на контрактный адрес криптобиржи Bybit. Код JS изменяет содержание транзакции во время подписи.
Bybit поделилась своим расследованием с публикой через DocSendCom (я не рекомендую вам открывать эти PDF-ки от сотрудников Байбита на своём рабочем девайсе). Смотрим ключевые детали:
👀 Детальное расследование всех сторон, использовавшихся в инициации и подписи транзакции, показало, что вредоносный JavaScript код был инжектирован в ресурс, подаваемый через Сеть с серверов кошелька Safe на Облаке Амазон.
👀 Облако Амазон записало время модификации ресурса, также имеются публично доступные архивы веб-истории. Всё это указало, что внедрение вредоносного JS кода было произведено напрямую в код Safe Wallet, лежащий на сервере AWS.
👀 Анализ внедрённого JS кода показывает, что его главной функцией было манипулирование транзакциями, что дало возможность изменять содержимое транзакций прямо во время процесса подписи.
👀 Также, анализ показал наличие во вредоносном JS коде условия, что активирует его лишь в случае взаимодействия с контрактом кошелька, принадлежащего Bybit.
👀 Через две минуты после того, как хакерская транзакция была выполнена и проведена, новые версии JS кода были загружены на Облако Amazon, эта обновлённая версия уже не содержала вредоносный код.
👀 Эти находки подразумевают, что атака произошла на стороне кошелька Safe, в инфраструктуре AWS.
👀 Расследование не обнаружило проблем безопасности на стороне биржи Bybit." 🤨
~
📡Что это всё значит, простым языком?
Уязвимость с пробросом трояна через обновления касается не только web3 кошельков и криптобирж с туповатыми фаундерами. Она касается любых некастодиальных кошельков в том числе, т.к. большинство из них подгружают функционал и данные с находящихся во владении фаундеров централизованных серверов. А вам врут, что "вы сами контролируете свои приватные ключи".
Чтобы знать, какие кошельки не занимаются подобными практиками, залетайте в Cool People и прокачивайте свои Знания о принципах работы крипто кошельков. Подробности в боте: @btcquestbot.
#bqwallets #bybithack
DocSend
Bybit Hack Report
👎1
👹Гендир Bybit должен был знать, что сетап "холодного" кошелька его биржи - дерьмо
"Со всеми этими недавними утончёнными взломами, которые сейчас обсуждаются, всплыло множество разговоров про ✨прикольные сетапы и кошельки✨.
Да, вам бы следовало обдумать, при помощи чего и как именно вы подписываете транзакции.
Но выстраивание кастомного Юзер Интерфейса для вашего LAN Qubes OS, расположенного на серверах Amazon Web Services, которым вы пользуетесь каждый день... Это, в целом, нифига не выход. 😅"
#bqwallets #bybithack #multisig
"Со всеми этими недавними утончёнными взломами, которые сейчас обсуждаются, всплыло множество разговоров про ✨прикольные сетапы и кошельки✨.
Да, вам бы следовало обдумать, при помощи чего и как именно вы подписываете транзакции.
Но выстраивание кастомного Юзер Интерфейса для вашего LAN Qubes OS, расположенного на серверах Amazon Web Services, которым вы пользуетесь каждый день... Это, в целом, нифига не выход. 😅"
#bqwallets #bybithack #multisig
❗️К декабрю 2024 года уязвимость облачных мульти-сиг конфигураций на AWS "вынесла" аж три крупные криптофирмы
Бекграунд:
1. Средства были украдены с мульти-сиг конфигураций каждой из контор.
2. Сами ключи не были скомпрометированы.
3. В Radiant, и WazirX, и может быть, в DMM, ключи, управлявшие мульти-сиг кошельком, находились на хардвар кошах + по факту контролировались не связанными сторонами.
Radiant, 50 млн, типа взломан, 2 дня назад:
💠https://medium.com/@RadiantCapital/radiant-post-mortem-fecd6cd38081
WazirX, 230 млн, июль 2024:
💠https://www.liminalcustody.com/blog/update-on-wazirx-incident/
💠https://x.com/WazirXIndia/status/1813981143437611440
DMM BITCOIN - 305 млн, май 2024
Самая последняя цифра, известная про DMM, включая, были ли ключи на холодных или горячих валлетах. Ранние теории цитировали "атаку отравления адресов". Это точно была не она. Прикреплённые скрины - жестокая спекуляция (скорее всего, всё ложь).
💠https://x.com/mononautical/status/1796939786071982233
~
#bybithack #multisig
Бекграунд:
1. Средства были украдены с мульти-сиг конфигураций каждой из контор.
2. Сами ключи не были скомпрометированы.
3. В Radiant, и WazirX, и может быть, в DMM, ключи, управлявшие мульти-сиг кошельком, находились на хардвар кошах + по факту контролировались не связанными сторонами.
Radiant, 50 млн, типа взломан, 2 дня назад:
💠https://medium.com/@RadiantCapital/radiant-post-mortem-fecd6cd38081
WazirX, 230 млн, июль 2024:
💠https://www.liminalcustody.com/blog/update-on-wazirx-incident/
💠https://x.com/WazirXIndia/status/1813981143437611440
DMM BITCOIN - 305 млн, май 2024
Самая последняя цифра, известная про DMM, включая, были ли ключи на холодных или горячих валлетах. Ранние теории цитировали "атаку отравления адресов". Это точно была не она. Прикреплённые скрины - жестокая спекуляция (скорее всего, всё ложь).
💠https://x.com/mononautical/status/1796939786071982233
~
#bybithack #multisig
👎1
👺Также обратите внимание, что любая организация может развернуть / заставить технарей внедрить EDR и другие меры, и должна бы делать это. Всё, никаких споров. Конец разговора.
Однако, крипто индустрия в целом считает это "не очень так идейкой" исходя из всех типов философских + практичных причин.
Так что, пока мы не стали идеальными, вот расклад:
Когда деревенщина утверждает "малварь" или "ой это троян", в обсуждении утончённой атаки, мы не имеем ввиду простой инфостилер, криптостилер, или другое дерьмо "общего назначения".
Атака утончённая потому, что должна быть такой.
Это не взлом, если они не смогут обойти Железные Валлеты и Мульти-Сиг валлеты.
Атакующие получают какой-то мелкий доступ, и затем используют его, чтобы в конце концов получить полный, удалённый доступ к вашему девайсу.
Это значит, что они могут читать и писать.
Это значит, что они могут видеть все ваши файлы, смотреть как вы работаете, читать ваши сообщения, использовать вашу клавиатуру, создавать новые файлы, и модифицировать уже существующие. 😱
#bqwallets #bybithack #multisig
Однако, крипто индустрия в целом считает это "не очень так идейкой" исходя из всех типов философских + практичных причин.
Так что, пока мы не стали идеальными, вот расклад:
Когда деревенщина утверждает "малварь" или "ой это троян", в обсуждении утончённой атаки, мы не имеем ввиду простой инфостилер, криптостилер, или другое дерьмо "общего назначения".
Атака утончённая потому, что должна быть такой.
Это не взлом, если они не смогут обойти Железные Валлеты и Мульти-Сиг валлеты.
Атакующие получают какой-то мелкий доступ, и затем используют его, чтобы в конце концов получить полный, удалённый доступ к вашему девайсу.
Это значит, что они могут читать и писать.
Это значит, что они могут видеть все ваши файлы, смотреть как вы работаете, читать ваши сообщения, использовать вашу клавиатуру, создавать новые файлы, и модифицировать уже существующие. 😱
#bqwallets #bybithack #multisig
🧣Вам и ПРАВДА необходимо защитить себя от попсовых крипто-крадунов
(НАЧНИТЕ УЖЕ ИСПОЛЬЗОВАТЬ ЖЕЛЕЗНЫЕ КОШЕЛЬКИ, ВЫ МАНЬЯКИ!!!!)
НО, если вы управляете Централизованной Криптобиржей (CEX), или протоколом, и вы в самом деле используете Железные Кошельки и Мульти-Сиги, вы играете против совершенно другого типа противника.
И такие противники - со стальными жопами. 😈
Ну, вообще, обычно, это целая команда стальных жоп. 😈😈😈😈😈
Которые внедряются и выясняют и схематозят и пишут вирусный код чтобы красть крипту, весь день, каждый день.
Когда они осознают, что вы на самом деле не владеете ключами от вашего лептопа... или от вашего AWS... или, что вы используете Мулти-Сиг...
#bqwallets #bybithack #multisig
(НАЧНИТЕ УЖЕ ИСПОЛЬЗОВАТЬ ЖЕЛЕЗНЫЕ КОШЕЛЬКИ, ВЫ МАНЬЯКИ!!!!)
НО, если вы управляете Централизованной Криптобиржей (CEX), или протоколом, и вы в самом деле используете Железные Кошельки и Мульти-Сиги, вы играете против совершенно другого типа противника.
И такие противники - со стальными жопами. 😈
Ну, вообще, обычно, это целая команда стальных жоп. 😈😈😈😈😈
Которые внедряются и выясняют и схематозят и пишут вирусный код чтобы красть крипту, весь день, каждый день.
Когда они осознают, что вы на самом деле не владеете ключами от вашего лептопа... или от вашего AWS... или, что вы используете Мулти-Сиг...
#bqwallets #bybithack #multisig
🧰...То они просто пишут кастомный ебучий блять вирусный код-солюшен, заточенный конкретно под вашу жопу. 😳
Они протестируют свою схему в течение недель, до того как поймут все детали верно + убедятся, что она работает.
Они создадут кастомные транзакционные детали для каждого конкретного участника в Мульти-Подписи, чтобы он подписал это при помощи своего отдельного кошелька, в конкретно заданный день.
#bqwallets #bybithack #multisig
Они протестируют свою схему в течение недель, до того как поймут все детали верно + убедятся, что она работает.
Они создадут кастомные транзакционные детали для каждого конкретного участника в Мульти-Подписи, чтобы он подписал это при помощи своего отдельного кошелька, в конкретно заданный день.
#bqwallets #bybithack #multisig
🧲В случае WazirX, они подготовили всё вокруг архитектуры "GALA"
Так как у неё в тот день оказался самый низкий баланс среди всех коинов.
Атакущие задепозитили ETH —> сняли GALA —> свопнули назад в ETH —> задепозитили ETH —> сняли ещё GALA.
До того момента, когда команда не получие уведомление, и повторное уведомление, что у них низкий баланс токена GALA. 🫠
#bqwallets #bybithack #multisig
Так как у неё в тот день оказался самый низкий баланс среди всех коинов.
Атакущие задепозитили ETH —> сняли GALA —> свопнули назад в ETH —> задепозитили ETH —> сняли ещё GALA.
До того момента, когда команда не получие уведомление, и повторное уведомление, что у них низкий баланс токена GALA. 🫠
#bqwallets #bybithack #multisig
🧨А эта штучка с третьей стороной провайдером HSM и их безопасностью?
Которая позволяет автоматическую подпись всех транзакций, надо лишь, чтобы все участники поставили свою подпись?
ЛОЛ.
Вайтлист?
Псссссст, просто сотворите кастомный чек, который смотрится точно как будто имеет правильный "адрес получения".
Если хакерам нужно, то можно изменять разные аттрибуты прямо на лету.
#bqwallets #bybithack #multisig
Которая позволяет автоматическую подпись всех транзакций, надо лишь, чтобы все участники поставили свою подпись?
ЛОЛ.
Вайтлист?
Псссссст, просто сотворите кастомный чек, который смотрится точно как будто имеет правильный "адрес получения".
Если хакерам нужно, то можно изменять разные аттрибуты прямо на лету.
#bqwallets #bybithack #multisig
🩸Вы также могли заметить, что задроты Безопасники задают вопросы, какая Операционная Система и какие приложения использовались командой Radiant
Кто-то использовал Макбуки, другие Windows.
Кто-то юзал Frame, другие Rabby.
Кто-то юзал Trezor, другие Ledger.
Агась. Зачем беспокоиться про инфостилеры? А также, вдруг сейчас всё ещё 2004-й?
И ваш Мак + нишевый валлет спасут вас? Лол?
#bqwallets #bybithack #multisig
Кто-то использовал Макбуки, другие Windows.
Кто-то юзал Frame, другие Rabby.
Кто-то юзал Trezor, другие Ledger.
Агась. Зачем беспокоиться про инфостилеры? А также, вдруг сейчас всё ещё 2004-й?
И ваш Мак + нишевый валлет спасут вас? Лол?
#bqwallets #bybithack #multisig
🎈Изначальный доступ всегда в состоянии пробить любую Операционку. Включая Linux.
Хакеры больше не парятся с "приложениями" в наши дни, ведь так их софт слишком легко замечается антивирусами.
Файлы EXE были заменены на "npm run"
И, язык кодинга Python, конечно же. Для бекендов, парни. 🫠🫠🫠
Последние стадии — сумасшедшее дерьмо — всё делается вручную.
#bqwallets #bybithack #multisig
Хакеры больше не парятся с "приложениями" в наши дни, ведь так их софт слишком легко замечается антивирусами.
Файлы EXE были заменены на "npm run"
И, язык кодинга Python, конечно же. Для бекендов, парни. 🫠🫠🫠
Последние стадии — сумасшедшее дерьмо — всё делается вручную.
#bqwallets #bybithack #multisig
📮Исходя из всех вышеописанных, и других, причин, моё мнение таково, что как только они проберутся на ваш девайс, вам пизда
Конец.
Если ваши ключи - горячие, на серверах Amazon Web Services, они трахнут вас моментально.
Если ключи не там, то они поработают чуть жоще, чтобы трахнуть вас.
Но, так или иначе, вас трахнут.
~
Ваша лучшая ставка должна быть на то, что вы не позволите им пробраться в ваш девайс.
Это означает и железные кошельки.
Но это также означает, что вы не используете свой повседневный компьютер, когда подписываете транзакции при помощи этого железного кошелька.
Заведите для подписи альтернативное устройство. Используйте iPhone или iPad. Разберитесь в теме.
Не надо настрачивать сообщения.
Не надо лазить в GitHub.
Не надо запускать rpm или pypi.
Не переписывайтесь по е-мейлу.
Не синхронизируйте всё подряд.
Не играйте в игрульки.
Только подписывайте там транзакции. И всё.
Это просто. Кто угодно может это.
Если у вас миллионы, и вы - CEX, или вы - подписант в Web3 Протоколе, пожалуйста, в самом деле делайте это. 🙏" - пишет Tayvano.
#bqwallets #bybithack #multisig
Конец.
Если ваши ключи - горячие, на серверах Amazon Web Services, они трахнут вас моментально.
Если ключи не там, то они поработают чуть жоще, чтобы трахнуть вас.
Но, так или иначе, вас трахнут.
~
Ваша лучшая ставка должна быть на то, что вы не позволите им пробраться в ваш девайс.
Это означает и железные кошельки.
Но это также означает, что вы не используете свой повседневный компьютер, когда подписываете транзакции при помощи этого железного кошелька.
Заведите для подписи альтернативное устройство. Используйте iPhone или iPad. Разберитесь в теме.
Не надо настрачивать сообщения.
Не надо лазить в GitHub.
Не надо запускать rpm или pypi.
Не переписывайтесь по е-мейлу.
Не синхронизируйте всё подряд.
Не играйте в игрульки.
Только подписывайте там транзакции. И всё.
Это просто. Кто угодно может это.
Если у вас миллионы, и вы - CEX, или вы - подписант в Web3 Протоколе, пожалуйста, в самом деле делайте это. 🙏" - пишет Tayvano.
#bqwallets #bybithack #multisig
X (formerly Twitter)
Tay 💖 (@tayvano_) on X
With the recent sophisticated hacks fresh on everyone's mind, there's been a lot of talk about ✨fancy stacks and setups.✨
Yes, you should evaluate how—and with what—you sign txns.
But building a custom UI for your LAN Qubes OS AWS KMS everyday is not really…
Yes, you should evaluate how—and with what—you sign txns.
But building a custom UI for your LAN Qubes OS AWS KMS everyday is not really…
👍1🍓1
Как думаете. Зачем ребята из Trezor в течение многих лет обещали на своём официальном вебсайте "100% безопасность" и "100% анонимность", когда почти любая статья о защите компьютерных сетей и инфосеке скажет вам, что этих вещей не существует в природе?
И почему они убрали эти обещания в январе 2025 года, как раз когда в ЕС вступили в силу законодательные регуляции MiCA, в которых запрещается дезинформация в рекламе?
Зайдите на сайт Трезор - там больше нет этой секции. А раньше, она была самой первой.
#trezor
И почему они убрали эти обещания в январе 2025 года, как раз когда в ЕС вступили в силу законодательные регуляции MiCA, в которых запрещается дезинформация в рекламе?
Зайдите на сайт Трезор - там больше нет этой секции. А раньше, она была самой первой.
#trezor
🤯1
Многие ли юзеры Trezor в курсе этого важного правила пользования своим кошельком?
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".
#trezor
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".
#trezor
🍓4✍1
Со-основатель Ripple хранил ключи от 150 миллионов баксов в менеджере паролей
Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.
До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.
~
#bqwallets #passwordmanager
Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.
До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.
~
#bqwallets #passwordmanager
🌚1🍓1
Любой hardware кошелёк с USB соединением - дыра в безопасности, о которой вам не расскажут криптопресса и блоггеры
USB - старый и незащищённый протокол, по нему вирусы и дрейнеры могут легко проникнуть в девайс.
Пока вы думаете, что ваш кошелёк защищён, даже если он подключён к компьютеру, полному вирусов, просто потому, что он железный и его все рекомендуют, в любой момент может случиться непоправимое:
Ваша крипта исчезнет.
И все ваши переживания за рост и падение курса Биткоина, все ваши недоспаные ночи, проведенные за графиками, все отказы проводить время с семьей и друзьями из-за необходимости управлять армиями торговых ботов, фьючерсными контрактами, стоп-лоссами и тейк-профитами, все удачно проданные NFTшки и вовремя "отгруженные" в руки хомяков, не читающих этот канал, альтки... пропадут даром.
Не допустите, чтобы ваши усилия по заработку в крипте были напрасны, залетайте в Cool People, где вы узнаете о всех уязвимостях в кошельках, и получите инструкцию по безопасному хранению крипты.
#usb
USB - старый и незащищённый протокол, по нему вирусы и дрейнеры могут легко проникнуть в девайс.
Пока вы думаете, что ваш кошелёк защищён, даже если он подключён к компьютеру, полному вирусов, просто потому, что он железный и его все рекомендуют, в любой момент может случиться непоправимое:
Ваша крипта исчезнет.
И все ваши переживания за рост и падение курса Биткоина, все ваши недоспаные ночи, проведенные за графиками, все отказы проводить время с семьей и друзьями из-за необходимости управлять армиями торговых ботов, фьючерсными контрактами, стоп-лоссами и тейк-профитами, все удачно проданные NFTшки и вовремя "отгруженные" в руки хомяков, не читающих этот канал, альтки... пропадут даром.
Не допустите, чтобы ваши усилия по заработку в крипте были напрасны, залетайте в Cool People, где вы узнаете о всех уязвимостях в кошельках, и получите инструкцию по безопасному хранению крипты.
#usb
🔥4