🎈Изначальный доступ всегда в состоянии пробить любую Операционку. Включая Linux.
Хакеры больше не парятся с "приложениями" в наши дни, ведь так их софт слишком легко замечается антивирусами.
Файлы EXE были заменены на "npm run"
И, язык кодинга Python, конечно же. Для бекендов, парни. 🫠🫠🫠
Последние стадии — сумасшедшее дерьмо — всё делается вручную.
#bqwallets #bybithack #multisig
Хакеры больше не парятся с "приложениями" в наши дни, ведь так их софт слишком легко замечается антивирусами.
Файлы EXE были заменены на "npm run"
И, язык кодинга Python, конечно же. Для бекендов, парни. 🫠🫠🫠
Последние стадии — сумасшедшее дерьмо — всё делается вручную.
#bqwallets #bybithack #multisig
📮Исходя из всех вышеописанных, и других, причин, моё мнение таково, что как только они проберутся на ваш девайс, вам пизда
Конец.
Если ваши ключи - горячие, на серверах Amazon Web Services, они трахнут вас моментально.
Если ключи не там, то они поработают чуть жоще, чтобы трахнуть вас.
Но, так или иначе, вас трахнут.
~
Ваша лучшая ставка должна быть на то, что вы не позволите им пробраться в ваш девайс.
Это означает и железные кошельки.
Но это также означает, что вы не используете свой повседневный компьютер, когда подписываете транзакции при помощи этого железного кошелька.
Заведите для подписи альтернативное устройство. Используйте iPhone или iPad. Разберитесь в теме.
Не надо настрачивать сообщения.
Не надо лазить в GitHub.
Не надо запускать rpm или pypi.
Не переписывайтесь по е-мейлу.
Не синхронизируйте всё подряд.
Не играйте в игрульки.
Только подписывайте там транзакции. И всё.
Это просто. Кто угодно может это.
Если у вас миллионы, и вы - CEX, или вы - подписант в Web3 Протоколе, пожалуйста, в самом деле делайте это. 🙏" - пишет Tayvano.
#bqwallets #bybithack #multisig
Конец.
Если ваши ключи - горячие, на серверах Amazon Web Services, они трахнут вас моментально.
Если ключи не там, то они поработают чуть жоще, чтобы трахнуть вас.
Но, так или иначе, вас трахнут.
~
Ваша лучшая ставка должна быть на то, что вы не позволите им пробраться в ваш девайс.
Это означает и железные кошельки.
Но это также означает, что вы не используете свой повседневный компьютер, когда подписываете транзакции при помощи этого железного кошелька.
Заведите для подписи альтернативное устройство. Используйте iPhone или iPad. Разберитесь в теме.
Не надо настрачивать сообщения.
Не надо лазить в GitHub.
Не надо запускать rpm или pypi.
Не переписывайтесь по е-мейлу.
Не синхронизируйте всё подряд.
Не играйте в игрульки.
Только подписывайте там транзакции. И всё.
Это просто. Кто угодно может это.
Если у вас миллионы, и вы - CEX, или вы - подписант в Web3 Протоколе, пожалуйста, в самом деле делайте это. 🙏" - пишет Tayvano.
#bqwallets #bybithack #multisig
X (formerly Twitter)
Tay 💖 (@tayvano_) on X
With the recent sophisticated hacks fresh on everyone's mind, there's been a lot of talk about ✨fancy stacks and setups.✨
Yes, you should evaluate how—and with what—you sign txns.
But building a custom UI for your LAN Qubes OS AWS KMS everyday is not really…
Yes, you should evaluate how—and with what—you sign txns.
But building a custom UI for your LAN Qubes OS AWS KMS everyday is not really…
👍1🍓1
Как думаете. Зачем ребята из Trezor в течение многих лет обещали на своём официальном вебсайте "100% безопасность" и "100% анонимность", когда почти любая статья о защите компьютерных сетей и инфосеке скажет вам, что этих вещей не существует в природе?
И почему они убрали эти обещания в январе 2025 года, как раз когда в ЕС вступили в силу законодательные регуляции MiCA, в которых запрещается дезинформация в рекламе?
Зайдите на сайт Трезор - там больше нет этой секции. А раньше, она была самой первой.
#trezor
И почему они убрали эти обещания в январе 2025 года, как раз когда в ЕС вступили в силу законодательные регуляции MiCA, в которых запрещается дезинформация в рекламе?
Зайдите на сайт Трезор - там больше нет этой секции. А раньше, она была самой первой.
#trezor
🤯1
Многие ли юзеры Trezor в курсе этого важного правила пользования своим кошельком?
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".
#trezor
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".
#trezor
🍓4✍1
Со-основатель Ripple хранил ключи от 150 миллионов баксов в менеджере паролей
Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.
До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.
~
#bqwallets #passwordmanager
Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.
До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.
~
#bqwallets #passwordmanager
🌚1🍓1
Любой hardware кошелёк с USB соединением - дыра в безопасности, о которой вам не расскажут криптопресса и блоггеры
USB - старый и незащищённый протокол, по нему вирусы и дрейнеры могут легко проникнуть в девайс.
Пока вы думаете, что ваш кошелёк защищён, даже если он подключён к компьютеру, полному вирусов, просто потому, что он железный и его все рекомендуют, в любой момент может случиться непоправимое:
Ваша крипта исчезнет.
И все ваши переживания за рост и падение курса Биткоина, все ваши недоспаные ночи, проведенные за графиками, все отказы проводить время с семьей и друзьями из-за необходимости управлять армиями торговых ботов, фьючерсными контрактами, стоп-лоссами и тейк-профитами, все удачно проданные NFTшки и вовремя "отгруженные" в руки хомяков, не читающих этот канал, альтки... пропадут даром.
Не допустите, чтобы ваши усилия по заработку в крипте были напрасны, залетайте в Cool People, где вы узнаете о всех уязвимостях в кошельках, и получите инструкцию по безопасному хранению крипты.
#usb
USB - старый и незащищённый протокол, по нему вирусы и дрейнеры могут легко проникнуть в девайс.
Пока вы думаете, что ваш кошелёк защищён, даже если он подключён к компьютеру, полному вирусов, просто потому, что он железный и его все рекомендуют, в любой момент может случиться непоправимое:
Ваша крипта исчезнет.
И все ваши переживания за рост и падение курса Биткоина, все ваши недоспаные ночи, проведенные за графиками, все отказы проводить время с семьей и друзьями из-за необходимости управлять армиями торговых ботов, фьючерсными контрактами, стоп-лоссами и тейк-профитами, все удачно проданные NFTшки и вовремя "отгруженные" в руки хомяков, не читающих этот канал, альтки... пропадут даром.
Не допустите, чтобы ваши усилия по заработку в крипте были напрасны, залетайте в Cool People, где вы узнаете о всех уязвимостях в кошельках, и получите инструкцию по безопасному хранению крипты.
#usb
🔥4
Самый главный пункт в безопасном хранении крипты - Знания Юзера
Если вы не обладаете Знаниями, а просто полагаетесь на валлет, даже "самый безопасный" - совсем не обязательно, что это спасёт вас.
И я говорю не только о классике взломов личных кошельков, вроде клика по фишинговой ссылке или аппрува скаммерского смарт-контракта. Я говорю о куда более глубоких вещах, на которые обычно не обращают внимания.
К примеру, то же USB соединение. Более половины всех кошельков, которые можно купить за деньги, используют USB, даже не шифруя коммуникацию между ПК/телефоном и крипто кошельком. В то время, как рекламные буклеты всех валлетов рассказывают нам, что "ваши коины в безопасности даже если на вашем ПК целая куча вирусов", в реальности - дела обстоят как раз наоборот. Отсутствие дрейнеров на ПК является обязательным условием для безопасного использования железяки, подключаемой через USB.
Чуваки из Трезор, к примеру, прекрасно это знают, именно поэтому они оставили для себя юридическую лазейку на случай судебных исков в будущем, написав в Документации к валлету - которую никто и никогда не читает, ибо это скучно, да и "зачем?" - что надо бы "подключать устройство только когда на ПК не запущено ни одно другое приложение".
Они не выносят такие супер-важные вещи на главную своего веб-сайта - потому что, это уничтожило бы им продажи.
"Запусти Paint и твоя крипта испарится" - вот правдивый слоган, который им стоило бы использовать в рекламе, вместо вранья про "Безопасность, сделанную лёгкой".
Есть способ уменьшить риск использования USB валлетов.
Но ребята из Трезор не юзают его. 🤷
Также, как и ребята из Леджер. 🤷♀️
#ledger #trezor #bqwallets
Если вы не обладаете Знаниями, а просто полагаетесь на валлет, даже "самый безопасный" - совсем не обязательно, что это спасёт вас.
И я говорю не только о классике взломов личных кошельков, вроде клика по фишинговой ссылке или аппрува скаммерского смарт-контракта. Я говорю о куда более глубоких вещах, на которые обычно не обращают внимания.
К примеру, то же USB соединение. Более половины всех кошельков, которые можно купить за деньги, используют USB, даже не шифруя коммуникацию между ПК/телефоном и крипто кошельком. В то время, как рекламные буклеты всех валлетов рассказывают нам, что "ваши коины в безопасности даже если на вашем ПК целая куча вирусов", в реальности - дела обстоят как раз наоборот. Отсутствие дрейнеров на ПК является обязательным условием для безопасного использования железяки, подключаемой через USB.
Чуваки из Трезор, к примеру, прекрасно это знают, именно поэтому они оставили для себя юридическую лазейку на случай судебных исков в будущем, написав в Документации к валлету - которую никто и никогда не читает, ибо это скучно, да и "зачем?" - что надо бы "подключать устройство только когда на ПК не запущено ни одно другое приложение".
Они не выносят такие супер-важные вещи на главную своего веб-сайта - потому что, это уничтожило бы им продажи.
"Запусти Paint и твоя крипта испарится" - вот правдивый слоган, который им стоило бы использовать в рекламе, вместо вранья про "Безопасность, сделанную лёгкой".
Есть способ уменьшить риск использования USB валлетов.
Но ребята из Трезор не юзают его. 🤷
Также, как и ребята из Леджер. 🤷♀️
#ledger #trezor #bqwallets
Telegram
BQ Wallets
Многие ли юзеры Trezor в курсе этого важного правила пользования своим кошельком?
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".…
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".…
✍1
При совершении транзакции с железного кошелька, замена вашего биржевого адреса получения на адрес хакера возможна "на лету"
Благодаря использованию популярными валлетами дырявых протоколов коммуникации типа Protobuf, JSON и т.п., в момент подписания транзакции на железном кошельке адрес получения может быть заменён на адрес хакера.
Как такое возможно?
USB - протокол, которому почти три десятка лет. Он был впервые представлен публике в январе 1996 года. В девяностых и двухтысячных в Сети не было ни развитой банковской коммуникации/коммерции, ни биткоинов, ни каких-то особо важных систем контроля инфраструктур, дорог, больниц, атомных станций, тюрем и т.п.
И поэтому, весь Интернет был нешифрованным, а код приложений - жутко дырявым.
Олдфаги ещё помнят, когда всё работало на HTTP протоколе, - предшественнике HTTPS. Нешифрованные соединения устанавливались между всеми компьютерами, подсетями и сетями в Интернете, и так осуществлялась (легко перехватываемая и читаемая спецслужбами) связь.
Шифрование не добавляли на вебсайты аж до 2012 года - или исходя из логики "всё равно по календарю Майя будет конец света", или просто из лени. Ведь протокол HTTPS, также известный, как SSL, был впервые представлен в 1994 году, разработчиками Netscape Navigator.
Кодеры из Netscape смотрели в будущее, но они были "впереди своего времени", ведь люди тогда не понимали, "зачем бы им шифровать передаваемые друг другу фотки собачек и кошечек".
Назначение шифрованных соединений стало очевидным для публики, как только в Интернет добавили... Деньги.
Да, деньги, в виде возможности покупать китайский хлам на Алиекспрессе за кредитку, или просто заходить в личный кабинет на сайте банка. Отсутствие шифрования могло привести к утечке данных вашей банковской карты при совершении транзакций, поэтому его внедрение в Сеть стало необходимостью, а не просто "капризом гиков".
В эту же эпоху формировался и протокол USB - он прошёл путь в 25 лет, постоянно усложняясь. Чем больше периферии "нарастало" вокруг Персональных Компьютеров - мышки, клавиатуры, веб-камеры, принтеры, блютузы - тем больше кода надо было внедрять в USB протокол.
В результате многолетней эволюции, вокруг протокола USB скопились сотни тысяч страниц документации, которую нужно изучить, чтобы полностью разобраться во всех аспектах его работы.
Ни для одного программиста, ни для команды программистов, не является возможным прочитать всё это, с целью вычислить все векторы атаки и найти накопленные за годы баги и уязвимости.
Из-за чего, полный аудит протокола USB в принципе невозможен, как и гарантии, что передача через него чувствительной финансовой информации полностью безопасна.
Таким образом, использующие USB соединение железные кошельки подвержены неограниченному количеству потенциальных опасностей, например, что дрейнер подменит адрес получателя во время совершения транзакции "на лету". Вы будете думать, что отправили деньги себе на биржу, но по факту они уйдут хакеру.
#bqwallets #ledger #trezor
Благодаря использованию популярными валлетами дырявых протоколов коммуникации типа Protobuf, JSON и т.п., в момент подписания транзакции на железном кошельке адрес получения может быть заменён на адрес хакера.
Как такое возможно?
USB - протокол, которому почти три десятка лет. Он был впервые представлен публике в январе 1996 года. В девяностых и двухтысячных в Сети не было ни развитой банковской коммуникации/коммерции, ни биткоинов, ни каких-то особо важных систем контроля инфраструктур, дорог, больниц, атомных станций, тюрем и т.п.
И поэтому, весь Интернет был нешифрованным, а код приложений - жутко дырявым.
Олдфаги ещё помнят, когда всё работало на HTTP протоколе, - предшественнике HTTPS. Нешифрованные соединения устанавливались между всеми компьютерами, подсетями и сетями в Интернете, и так осуществлялась (легко перехватываемая и читаемая спецслужбами) связь.
Шифрование не добавляли на вебсайты аж до 2012 года - или исходя из логики "всё равно по календарю Майя будет конец света", или просто из лени. Ведь протокол HTTPS, также известный, как SSL, был впервые представлен в 1994 году, разработчиками Netscape Navigator.
Кодеры из Netscape смотрели в будущее, но они были "впереди своего времени", ведь люди тогда не понимали, "зачем бы им шифровать передаваемые друг другу фотки собачек и кошечек".
Назначение шифрованных соединений стало очевидным для публики, как только в Интернет добавили... Деньги.
Да, деньги, в виде возможности покупать китайский хлам на Алиекспрессе за кредитку, или просто заходить в личный кабинет на сайте банка. Отсутствие шифрования могло привести к утечке данных вашей банковской карты при совершении транзакций, поэтому его внедрение в Сеть стало необходимостью, а не просто "капризом гиков".
В эту же эпоху формировался и протокол USB - он прошёл путь в 25 лет, постоянно усложняясь. Чем больше периферии "нарастало" вокруг Персональных Компьютеров - мышки, клавиатуры, веб-камеры, принтеры, блютузы - тем больше кода надо было внедрять в USB протокол.
В результате многолетней эволюции, вокруг протокола USB скопились сотни тысяч страниц документации, которую нужно изучить, чтобы полностью разобраться во всех аспектах его работы.
Ни для одного программиста, ни для команды программистов, не является возможным прочитать всё это, с целью вычислить все векторы атаки и найти накопленные за годы баги и уязвимости.
Из-за чего, полный аудит протокола USB в принципе невозможен, как и гарантии, что передача через него чувствительной финансовой информации полностью безопасна.
Таким образом, использующие USB соединение железные кошельки подвержены неограниченному количеству потенциальных опасностей, например, что дрейнер подменит адрес получателя во время совершения транзакции "на лету". Вы будете думать, что отправили деньги себе на биржу, но по факту они уйдут хакеру.
#bqwallets #ledger #trezor
👀1
Почему "крипто эксперты" не рассказывают об этом в своих роликах на Ютубе?
1. Они не "шарят" в крипте также глубоко, как опытные программисты (являясь скорее шоуменами, чем технарями)
2. Трушные технари, которые "всё прекрасно осознают", молчат обо всём этом, т.к. им пофиг, что вы потеряете деньги
3. Трушные технари берут от 60К долларов за аудиты кода и тысячи долларов за персональные консультации, им не выгодно раскрывать всю эту информацию в личных блогах, статьях и видосах на Ютубах "просто так, за Идею"
Кодеры не работают "за Идею" и тратят десятки лет на приобретение Знаний. И, если вы не в состоянии оплатить их дорогостоящую экспертизу, они не видят причин помогать вам.
В банковском секторе есть лицензирование приложений и протоколов коммуникации, а также проверки, штрафы и даже тюремные сроки за бекдоры в софте. Банкиры понимают - если на создателя банковской приложухи не "повесить" риск попадания в тюрьму, то он, скорее всего, сунет в неё бекдор и ограбит целую кучу клиентов, не оставляя следов.
Крипта - не банковская отрасль. Здесь на создателей приложений не накладывается никакой юридической ответственности за сохранность ваших денег, как по лицензиям, так и по договорам.
Они не несут ответственности за ваши деньги, поэтому им всё равно, что будет с вашей криптой.
🤖Многие не осознают до конца смысл фразы "Будь сам себе банком", которую так любят мусолить крупные крипто корпорации, продвигающие Биткоин, щиткоины и стейблы в массы. Если вы хотите быть "сами себе банком" то у вас и модель безопасности должна быть банковского уровня, а не потребительского.
Вы не должны "доверять" кошелькам, вы должны всё проверить и быть уверенными.
#ledger #trezor #bqwallets
1. Они не "шарят" в крипте также глубоко, как опытные программисты (являясь скорее шоуменами, чем технарями)
2. Трушные технари, которые "всё прекрасно осознают", молчат обо всём этом, т.к. им пофиг, что вы потеряете деньги
3. Трушные технари берут от 60К долларов за аудиты кода и тысячи долларов за персональные консультации, им не выгодно раскрывать всю эту информацию в личных блогах, статьях и видосах на Ютубах "просто так, за Идею"
Кодеры не работают "за Идею" и тратят десятки лет на приобретение Знаний. И, если вы не в состоянии оплатить их дорогостоящую экспертизу, они не видят причин помогать вам.
В банковском секторе есть лицензирование приложений и протоколов коммуникации, а также проверки, штрафы и даже тюремные сроки за бекдоры в софте. Банкиры понимают - если на создателя банковской приложухи не "повесить" риск попадания в тюрьму, то он, скорее всего, сунет в неё бекдор и ограбит целую кучу клиентов, не оставляя следов.
Крипта - не банковская отрасль. Здесь на создателей приложений не накладывается никакой юридической ответственности за сохранность ваших денег, как по лицензиям, так и по договорам.
Они не несут ответственности за ваши деньги, поэтому им всё равно, что будет с вашей криптой.
🤖Многие не осознают до конца смысл фразы "Будь сам себе банком", которую так любят мусолить крупные крипто корпорации, продвигающие Биткоин, щиткоины и стейблы в массы. Если вы хотите быть "сами себе банком" то у вас и модель безопасности должна быть банковского уровня, а не потребительского.
Вы не должны "доверять" кошелькам, вы должны всё проверить и быть уверенными.
#ledger #trezor #bqwallets
🐳1
🙈Они идут за вашими деньгами
Сначала валлет MetaMask внедряет "аддон", позволяющий автоматический подсчёт налогов и отправку отчётности прям вашему налоговому агенту на е-мейл. Чтобы он мог вечерком, сидя за чаем с овсяным печеньем, просматривать ваши транзакции и радоваться зашкаливающему уровню вашей ответственности перед системой.
https://metamask.io/news/metamask-tax-hub-crypto-tax-calculator
Теперь этим же занялся Railway Wallet, в партнёрке с Koinly:
https://koinly.io/integrations/railway-wallet/
Пока криптанам рассказывают сказки о "некастодиальном хранении", создавая у них в голове ложную иллюзию "невидимости" средств на личных валлетах для налоговой (ЭТА ЖИЖ ВАМ НИ БИРЖА!!!11111), разработчики кошельков строят планы по прогибу под государство, чтобы их не выперли из биза или, чего хуже, не привлекли.
Представляю лица тех "инвесторов в налоговую гавань", которые узнают, что налоги начисляют на сумму "на момент отчётности" (даже если Шиба или Догикоин на следующий день утратили 90% своей стоимости, что в крипте происходит с разными токенами... примерно каждый день), и что "личный валлет" это вовсе не гавань, если ты неправильно выбрал этот валлет. 🤷
Вот удивления-то будет. Ага, это вам не скам условного Байбита. Где ты "вовремя выскочил" - и красава. Или даже не заходил.
Тут трахнут всех. Даже тех кто "успел выскочить" в фиатик ДО начала действия нового закона.
Вы и правда думаете, что, имея у себя в услужении такую мощную штуку, как "блокчейны" - где данные невозможно ретроспективно удалить за взятку - они будут просто ждать, пока вы сами, честно, во всём признаетесь?
#bqwallets #metamask
Сначала валлет MetaMask внедряет "аддон", позволяющий автоматический подсчёт налогов и отправку отчётности прям вашему налоговому агенту на е-мейл. Чтобы он мог вечерком, сидя за чаем с овсяным печеньем, просматривать ваши транзакции и радоваться зашкаливающему уровню вашей ответственности перед системой.
https://metamask.io/news/metamask-tax-hub-crypto-tax-calculator
Теперь этим же занялся Railway Wallet, в партнёрке с Koinly:
https://koinly.io/integrations/railway-wallet/
Пока криптанам рассказывают сказки о "некастодиальном хранении", создавая у них в голове ложную иллюзию "невидимости" средств на личных валлетах для налоговой (ЭТА ЖИЖ ВАМ НИ БИРЖА!!!11111), разработчики кошельков строят планы по прогибу под государство, чтобы их не выперли из биза или, чего хуже, не привлекли.
Представляю лица тех "инвесторов в налоговую гавань", которые узнают, что налоги начисляют на сумму "на момент отчётности" (даже если Шиба или Догикоин на следующий день утратили 90% своей стоимости, что в крипте происходит с разными токенами... примерно каждый день), и что "личный валлет" это вовсе не гавань, если ты неправильно выбрал этот валлет. 🤷
Вот удивления-то будет. Ага, это вам не скам условного Байбита. Где ты "вовремя выскочил" - и красава. Или даже не заходил.
Тут трахнут всех. Даже тех кто "успел выскочить" в фиатик ДО начала действия нового закона.
Вы и правда думаете, что, имея у себя в услужении такую мощную штуку, как "блокчейны" - где данные невозможно ретроспективно удалить за взятку - они будут просто ждать, пока вы сами, честно, во всём признаетесь?
#bqwallets #metamask
Koinly: Calculate Your Bitcoin and Crypto Taxes
How to file your Railway Wallet taxes with Koinly
Connect Railway with Koinly to calculate your crypto taxes easily. All you need to do is upload a CSV file and Koinly can calculate your RAIL taxes for you.
👍1🐳1🌚1
Читаем тему на форуме BitcoinTalk, посвящённую вопросу юзера: Использует ли кошелёк Electrum (которым юзер, очевидно, сам пользуется) библиотеку Libbitcoin Explorer для генерации сидов?
И находим интересный список проектов, затронутых этой уязвимостью. Судя из обсуждения, разработчики любимого кошелька Чанпена - Trust Wallet - а также любимого кошелька более 50 подписчиков этого канала - юзали дырявую библиотеку для генерации сидов исключительно на основании текущего времени на девайсе, что привело к дистанционным дрейнам на сумму в более чем 900 000 баксов.
В число дырявых валлетов вошли:
- Trust Wallet
- Cake Wallet
- Dark Wallet
- Сhip Chap
- Airbitz (позже переименованный в EDGE)
- Darkleaks
- OpenBazaar (ныне почивший)
- CanCoin
- Slur
Уязвимость сидела во всех этих проектах (рекомендуемых "уважаемыми" сайтами типа bitcoin.org) ГОДАМИ, и распространилась не только на блокчейн Биткоина, а и на Эфириум, Zcash, Солану и даже Dogecoin.
#trustwallet #edge #cake
И находим интересный список проектов, затронутых этой уязвимостью. Судя из обсуждения, разработчики любимого кошелька Чанпена - Trust Wallet - а также любимого кошелька более 50 подписчиков этого канала - юзали дырявую библиотеку для генерации сидов исключительно на основании текущего времени на девайсе, что привело к дистанционным дрейнам на сумму в более чем 900 000 баксов.
В число дырявых валлетов вошли:
- Trust Wallet
- Cake Wallet
- Dark Wallet
- Сhip Chap
- Airbitz (позже переименованный в EDGE)
- Darkleaks
- OpenBazaar (ныне почивший)
- CanCoin
- Slur
Уязвимость сидела во всех этих проектах (рекомендуемых "уважаемыми" сайтами типа bitcoin.org) ГОДАМИ, и распространилась не только на блокчейн Биткоина, а и на Эфириум, Zcash, Солану и даже Dogecoin.
#trustwallet #edge #cake
✍2🌚1
Так в чём же суть генерации уязвимых сидов при помощи Libbitcoin Explorer?
В августе 2023 года, после того как Trust Wallet слегка "почистил" карманы своих фанатов, команда исследователей из Distrust выкатила детальный обзор на уязвимость.
Оказалось, созданная в 2014 году библиотека bx - авторов Амир Тааки и Коди Уилсон, также известных в криптосообществе как Отцы КриптоАнархии и Великие Кодеры Которым Надо Чуть Ли Не Поклоняться Вместо Иисуса, - генерит сидки для кошельков, используя энтропию в 32 бита, вместо положенных 256 битов. 🤨
"Для энтропии в 32 бита, количество возможных привключей равно:
4,294,967,296 👀
Тогда как, в нормальном сиде, где у нас 256 бит энтропии, возможных привключей будет:
115792089237316195423570985008687907853269984665640564039457584007913129639936 👀
В целом, хакеру понадобится менее, чем 1 день, чтобы сбрутить приватники, т.к. в целом нужно пробрутить половину от 2³².
...Как только конфигурация настроена, становится легко сбрутить ключи."
#trustwallet
В августе 2023 года, после того как Trust Wallet слегка "почистил" карманы своих фанатов, команда исследователей из Distrust выкатила детальный обзор на уязвимость.
Оказалось, созданная в 2014 году библиотека bx - авторов Амир Тааки и Коди Уилсон, также известных в криптосообществе как Отцы КриптоАнархии и Великие Кодеры Которым Надо Чуть Ли Не Поклоняться Вместо Иисуса, - генерит сидки для кошельков, используя энтропию в 32 бита, вместо положенных 256 битов. 🤨
"Для энтропии в 32 бита, количество возможных привключей равно:
4,294,967,296 👀
Тогда как, в нормальном сиде, где у нас 256 бит энтропии, возможных привключей будет:
115792089237316195423570985008687907853269984665640564039457584007913129639936 👀
В целом, хакеру понадобится менее, чем 1 день, чтобы сбрутить приватники, т.к. в целом нужно пробрутить половину от 2³².
...Как только конфигурация настроена, становится легко сбрутить ключи."
#trustwallet
👀2
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (1)
Тема на Reddit, 2 года назад:
"Будь Сам Себе Банком" идёт по плану: Libbitcoin Explorer (bx seed) - используемый множеством крипто кошельков для генерации энтропии приватных ключей (даже рекомендуемых в Mastering Bitcoin) уязвим, и хакеры по-тихому дрейнили деньги людей сразу в нескольких блокчейнах ¯\_(ツ)_/¯" - пишет Dirt Purple.
#trustwallet
Тема на Reddit, 2 года назад:
"Будь Сам Себе Банком" идёт по плану: Libbitcoin Explorer (bx seed) - используемый множеством крипто кошельков для генерации энтропии приватных ключей (даже рекомендуемых в Mastering Bitcoin) уязвим, и хакеры по-тихому дрейнили деньги людей сразу в нескольких блокчейнах ¯\_(ツ)_/¯" - пишет Dirt Purple.
#trustwallet
🌚1
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (2)
Юзер KenYN в комментах:
"На Libbitcoin Explorer версий 3.х, сидка в Libbitcoin Explorer использует Генератор псевдо-рандомных чисел Mersenne Twister, который берёт за базовую энтропию 32 бита из текущего системного времени на устройстве. 👀
Это уморительно грустно: этот код не должен был пройти даже базовый аудит безопасности — все должны бы знать, что вы должны использовать Генератор специально под криптовалюты, а не просто красивенький srand, основанный на текущем времени."
#trustwallet #edge #cake
Юзер KenYN в комментах:
"На Libbitcoin Explorer версий 3.х, сидка в Libbitcoin Explorer использует Генератор псевдо-рандомных чисел Mersenne Twister, который берёт за базовую энтропию 32 бита из текущего системного времени на устройстве. 👀
Это уморительно грустно: этот код не должен был пройти даже базовый аудит безопасности — все должны бы знать, что вы должны использовать Генератор специально под криптовалюты, а не просто красивенький srand, основанный на текущем времени."
#trustwallet #edge #cake
🌚1
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (3)
Коммент от Chapelierfou:
"Mersenne Twister это Генератор, который используют все в тусовке C++. Засев при помощи 32 бит энтропии - популярная ошибка новичков. Использовать его для криптографии - просто некомпетентность. Никто не увидел эти ужасные ошибки в течение лет, тогда как они и правда не должны были пройти даже базовую проверку кода, что многое говорит нам о том, каким же фестивалем клоунов является "крипто индустрия".
#trustwallet #edge #cake
Коммент от Chapelierfou:
"Mersenne Twister это Генератор, который используют все в тусовке C++. Засев при помощи 32 бит энтропии - популярная ошибка новичков. Использовать его для криптографии - просто некомпетентность. Никто не увидел эти ужасные ошибки в течение лет, тогда как они и правда не должны были пройти даже базовую проверку кода, что многое говорит нам о том, каким же фестивалем клоунов является "крипто индустрия".
#trustwallet #edge #cake
🌚1
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (4)
Коммент от nyancient:
"Учитывая экстремальный уровень некомпетентности, проявленный здесь, - кто угодно кто прошел курс криптографии или читал посты в блогах насчет рандомной криптографической генерации ключей, сразу же осознает, как тупа показанная уязвимость - я бы сказал, что этим клоунам надо держаться как можно дальше от "переосмысления цифровой безопасности."
#trustwallet #edge #cake
Коммент от nyancient:
"Учитывая экстремальный уровень некомпетентности, проявленный здесь, - кто угодно кто прошел курс криптографии или читал посты в блогах насчет рандомной криптографической генерации ключей, сразу же осознает, как тупа показанная уязвимость - я бы сказал, что этим клоунам надо держаться как можно дальше от "переосмысления цифровой безопасности."
#trustwallet #edge #cake
🌚1