👺Также обратите внимание, что любая организация может развернуть / заставить технарей внедрить EDR и другие меры, и должна бы делать это. Всё, никаких споров. Конец разговора.

Однако, крипто индустрия в целом считает это "не очень так идейкой" исходя из всех типов философских + практичных причин.

Так что, пока мы не стали идеальными, вот расклад:

Когда деревенщина утверждает "малварь" или "ой это троян", в обсуждении утончённой атаки, мы не имеем ввиду простой инфостилер, криптостилер, или другое дерьмо "общего назначения".

Атака утончённая потому, что должна быть такой.

Это не взлом, если они не смогут обойти Железные Валлеты и Мульти-Сиг валлеты.

Атакующие получают какой-то мелкий доступ, и затем используют его, чтобы в конце концов получить полный, удалённый доступ к вашему девайсу.

Это значит, что они могут читать и писать.

Это значит, что они могут видеть все ваши файлы, смотреть как вы работаете, читать ваши сообщения, использовать вашу клавиатуру, создавать новые файлы, и модифицировать уже существующие. 😱

#bqwallets #bybithack #multisig

🧣Вам и ПРАВДА необходимо защитить себя от попсовых крипто-крадунов

(НАЧНИТЕ УЖЕ ИСПОЛЬЗОВАТЬ ЖЕЛЕЗНЫЕ КОШЕЛЬКИ, ВЫ МАНЬЯКИ!!!!)

НО, если вы управляете Централизованной Криптобиржей (CEX), или протоколом, и вы в самом деле используете Железные Кошельки и Мульти-Сиги, вы играете против совершенно другого типа противника.

И такие противники - со стальными жопами. 😈

Ну, вообще, обычно, это целая команда стальных жоп. 😈😈😈😈😈

Которые внедряются и выясняют и схематозят и пишут вирусный код чтобы красть крипту, весь день, каждый день.

Когда они осознают, что вы на самом деле не владеете ключами от вашего лептопа... или от вашего AWS... или, что вы используете Мулти-Сиг...

#bqwallets #bybithack #multisig

🧰...То они просто пишут кастомный ебучий блять вирусный код-солюшен, заточенный конкретно под вашу жопу. 😳

Они протестируют свою схему в течение недель, до того как поймут все детали верно + убедятся, что она работает.

Они создадут кастомные транзакционные детали для каждого конкретного участника в Мульти-Подписи, чтобы он подписал это при помощи своего отдельного кошелька, в конкретно заданный день.

#bqwallets #bybithack #multisig

🧲В случае WazirX, они подготовили всё вокруг архитектуры "GALA"

Так как у неё в тот день оказался самый низкий баланс среди всех коинов.

Атакущие задепозитили ETH —> сняли GALA —> свопнули назад в ETH —> задепозитили ETH —> сняли ещё GALA.

До того момента, когда команда не получие уведомление, и повторное уведомление, что у них низкий баланс токена GALA. 🫠

#bqwallets #bybithack #multisig

🧨А эта штучка с третьей стороной провайдером HSM и их безопасностью?

Которая позволяет автоматическую подпись всех транзакций, надо лишь, чтобы все участники поставили свою подпись?

ЛОЛ.

Вайтлист?

Псссссст, просто сотворите кастомный чек, который смотрится точно как будто имеет правильный "адрес получения".

Если хакерам нужно, то можно изменять разные аттрибуты прямо на лету.

#bqwallets #bybithack #multisig

🩸Вы также могли заметить, что задроты Безопасники задают вопросы, какая Операционная Система и какие приложения использовались командой Radiant

Кто-то использовал Макбуки, другие Windows.
Кто-то юзал Frame, другие Rabby.
Кто-то юзал Trezor, другие Ledger.

Агась. Зачем беспокоиться про инфостилеры? А также, вдруг сейчас всё ещё 2004-й?

И ваш Мак + нишевый валлет спасут вас? Лол?

#bqwallets #bybithack #multisig

🎈Изначальный доступ всегда в состоянии пробить любую Операционку. Включая Linux.

Хакеры больше не парятся с "приложениями" в наши дни, ведь так их софт слишком легко замечается антивирусами.

Файлы EXE были заменены на "npm run"

И, язык кодинга Python, конечно же. Для бекендов, парни. 🫠🫠🫠

Последние стадии — сумасшедшее дерьмо — всё делается вручную.

#bqwallets #bybithack #multisig

📮Исходя из всех вышеописанных, и других, причин, моё мнение таково, что как только они проберутся на ваш девайс, вам пизда

Конец.

Если ваши ключи - горячие, на серверах Amazon Web Services, они трахнут вас моментально.

Если ключи не там, то они поработают чуть жоще, чтобы трахнуть вас.

Но, так или иначе, вас трахнут.

~
Ваша лучшая ставка должна быть на то, что вы не позволите им пробраться в ваш девайс.

Это означает и железные кошельки.

Но это также означает, что вы не используете свой повседневный компьютер, когда подписываете транзакции при помощи этого железного кошелька.

Заведите для подписи альтернативное устройство. Используйте iPhone или iPad. Разберитесь в теме.

Не надо настрачивать сообщения.
Не надо лазить в GitHub.
Не надо запускать rpm или pypi.
Не переписывайтесь по е-мейлу.
Не синхронизируйте всё подряд.
Не играйте в игрульки.

Только подписывайте там транзакции. И всё.

Это просто. Кто угодно может это.

Если у вас миллионы, и вы - CEX, или вы - подписант в Web3 Протоколе, пожалуйста, в самом деле делайте это. 🙏" - пишет Tayvano.

#bqwallets #bybithack #multisig

Были времена, когда криптопресса умела делать иллюстрации к новостям.

#ledger

Многие ли юзеры Trezor в курсе этого важного правила пользования своим кошельком?

Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.

⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".

#trezor

Со-основатель Ripple хранил ключи от 150 миллионов баксов в менеджере паролей

Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.

До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.

~
#bqwallets #passwordmanager

Самый главный пункт в безопасном хранении крипты - Знания Юзера

Если вы не обладаете Знаниями, а просто полагаетесь на валлет, даже "самый безопасный" - совсем не обязательно, что это спасёт вас.

И я говорю не только о классике взломов личных кошельков, вроде клика по фишинговой ссылке или аппрува скаммерского смарт-контракта. Я говорю о куда более глубоких вещах, на которые обычно не обращают внимания.

К примеру, то же USB соединение. Более половины всех кошельков, которые можно купить за деньги, используют USB, даже не шифруя коммуникацию между ПК/телефоном и крипто кошельком. В то время, как рекламные буклеты всех валлетов рассказывают нам, что "ваши коины в безопасности даже если на вашем ПК целая куча вирусов", в реальности - дела обстоят как раз наоборот. Отсутствие дрейнеров на ПК является обязательным условием для безопасного использования железяки, подключаемой через USB.

Чуваки из Трезор, к примеру, прекрасно это знают, именно поэтому они оставили для себя юридическую лазейку на случай судебных исков в будущем, написав в Документации к валлету - которую никто и никогда не читает, ибо это скучно, да и "зачем?" - что надо бы "подключать устройство только когда на ПК не запущено ни одно другое приложение".

Они не выносят такие супер-важные вещи на главную своего веб-сайта - потому что, это уничтожило бы им продажи.

"Запусти Paint и твоя крипта испарится" - вот правдивый слоган, который им стоило бы использовать в рекламе, вместо вранья про "Безопасность, сделанную лёгкой".

Есть способ уменьшить риск использования USB валлетов.

Но ребята из Трезор не юзают его. 🤷

Также, как и ребята из Леджер. 🤷‍♀️

#ledger #trezor #bqwallets

При совершении транзакции с железного кошелька, замена вашего биржевого адреса получения на адрес хакера возможна "на лету"

Благодаря использованию популярными валлетами дырявых протоколов коммуникации типа Protobuf, JSON и т.п., в момент подписания транзакции на железном кошельке адрес получения может быть заменён на адрес хакера.

Как такое возможно?

USB - протокол, которому почти три десятка лет. Он был впервые представлен публике в январе 1996 года. В девяностых и двухтысячных в Сети не было ни развитой банковской коммуникации/коммерции, ни биткоинов, ни каких-то особо важных систем контроля инфраструктур, дорог, больниц, атомных станций, тюрем и т.п.

И поэтому, весь Интернет был нешифрованным, а код приложений - жутко дырявым.

Олдфаги ещё помнят, когда всё работало на HTTP протоколе, - предшественнике HTTPS. Нешифрованные соединения устанавливались между всеми компьютерами, подсетями и сетями в Интернете, и так осуществлялась (легко перехватываемая и читаемая спецслужбами) связь.

Шифрование не добавляли на вебсайты аж до 2012 года - или исходя из логики "всё равно по календарю Майя будет конец света", или просто из лени. Ведь протокол HTTPS, также известный, как SSL, был впервые представлен в 1994 году, разработчиками Netscape Navigator.

Кодеры из Netscape смотрели в будущее, но они были "впереди своего времени", ведь люди тогда не понимали, "зачем бы им шифровать передаваемые друг другу фотки собачек и кошечек".

Назначение шифрованных соединений стало очевидным для публики, как только в Интернет добавили... Деньги.

Да, деньги, в виде возможности покупать китайский хлам на Алиекспрессе за кредитку, или просто заходить в личный кабинет на сайте банка. Отсутствие шифрования могло привести к утечке данных вашей банковской карты при совершении транзакций, поэтому его внедрение в Сеть стало необходимостью, а не просто "капризом гиков".

В эту же эпоху формировался и протокол USB - он прошёл путь в 25 лет, постоянно усложняясь. Чем больше периферии "нарастало" вокруг Персональных Компьютеров - мышки, клавиатуры, веб-камеры, принтеры, блютузы - тем больше кода надо было внедрять в USB протокол.

В результате многолетней эволюции, вокруг протокола USB скопились сотни тысяч страниц документации, которую нужно изучить, чтобы полностью разобраться во всех аспектах его работы.

Ни для одного программиста, ни для команды программистов, не является возможным прочитать всё это, с целью вычислить все векторы атаки и найти накопленные за годы баги и уязвимости.

Из-за чего, полный аудит протокола USB в принципе невозможен, как и гарантии, что передача через него чувствительной финансовой информации полностью безопасна.

Таким образом, использующие USB соединение железные кошельки подвержены неограниченному количеству потенциальных опасностей, например, что дрейнер подменит адрес получателя во время совершения транзакции "на лету". Вы будете думать, что отправили деньги себе на биржу, но по факту они уйдут хакеру.

#bqwallets #ledger #trezor

Почему "крипто эксперты" не рассказывают об этом в своих роликах на Ютубе?

1. Они не "шарят" в крипте также глубоко, как опытные программисты (являясь скорее шоуменами, чем технарями)

2. Трушные технари, которые "всё прекрасно осознают", молчат обо всём этом, т.к. им пофиг, что вы потеряете деньги

3. Трушные технари берут от 60К долларов за аудиты кода и тысячи долларов за персональные консультации, им не выгодно раскрывать всю эту информацию в личных блогах, статьях и видосах на Ютубах "просто так, за Идею"

Кодеры не работают "за Идею" и тратят десятки лет на приобретение Знаний. И, если вы не в состоянии оплатить их дорогостоящую экспертизу, они не видят причин помогать вам.

В банковском секторе есть лицензирование приложений и протоколов коммуникации, а также проверки, штрафы и даже тюремные сроки за бекдоры в софте. Банкиры понимают - если на создателя банковской приложухи не "повесить" риск попадания в тюрьму, то он, скорее всего, сунет в неё бекдор и ограбит целую кучу клиентов, не оставляя следов.

Крипта - не банковская отрасль. Здесь на создателей приложений не накладывается никакой юридической ответственности за сохранность ваших денег, как по лицензиям, так и по договорам.

Они не несут ответственности за ваши деньги, поэтому им всё равно, что будет с вашей криптой.

🤖Многие не осознают до конца смысл фразы "Будь сам себе банком", которую так любят мусолить крупные крипто корпорации, продвигающие Биткоин, щиткоины и стейблы в массы. Если вы хотите быть "сами себе банком" то у вас и модель безопасности должна быть банковского уровня, а не потребительского.

Вы не должны "доверять" кошелькам, вы должны всё проверить и быть уверенными.

#ledger #trezor #bqwallets

🙈Они идут за вашими деньгами

Сначала валлет MetaMask внедряет "аддон", позволяющий автоматический подсчёт налогов и отправку отчётности прям вашему налоговому агенту на е-мейл. Чтобы он мог вечерком, сидя за чаем с овсяным печеньем, просматривать ваши транзакции и радоваться зашкаливающему уровню вашей ответственности перед системой.

https://metamask.io/news/metamask-tax-hub-crypto-tax-calculator

Теперь этим же занялся Railway Wallet, в партнёрке с Koinly:

https://koinly.io/integrations/railway-wallet/

Пока криптанам рассказывают сказки о "некастодиальном хранении", создавая у них в голове ложную иллюзию "невидимости" средств на личных валлетах для налоговой (ЭТА ЖИЖ ВАМ НИ БИРЖА!!!11111), разработчики кошельков строят планы по прогибу под государство, чтобы их не выперли из биза или, чего хуже, не привлекли.

Представляю лица тех "инвесторов в налоговую гавань", которые узнают, что налоги начисляют на сумму "на момент отчётности" (даже если Шиба или Догикоин на следующий день утратили 90% своей стоимости, что в крипте происходит с разными токенами... примерно каждый день), и что "личный валлет" это вовсе не гавань, если ты неправильно выбрал этот валлет. 🤷

Вот удивления-то будет. Ага, это вам не скам условного Байбита. Где ты "вовремя выскочил" - и красава. Или даже не заходил.

Тут трахнут всех. Даже тех кто "успел выскочить" в фиатик ДО начала действия нового закона.

Вы и правда думаете, что, имея у себя в услужении такую мощную штуку, как "блокчейны" - где данные невозможно ретроспективно удалить за взятку - они будут просто ждать, пока вы сами, честно, во всём признаетесь?

#bqwallets #metamask