Skradziono mi ETH z Ledger Nano S

[wrg]

Po prostu wirus podmienił adres do przelewu na stronie.

Co do tego to pełna zgoda, ale skąd "wirus" znał wysokość kwoty jaka możliwa jest do zajumania?

[Dar0]

Skoro można podmienić adres na www to można i kwotę.

Jakim sposobem kwotę da się podmienić?

Trzeba to rozważając pójść na dwa scenariusze:
Jeden ze wszedł na fałszywą podstawiona stronę giełdy która podała fałszywy adres do wpłat i wtedy rzeczywiście nic by nie dało sprawdzenie na ledger bo wydawało by się wszystko ok jednak kwoty tym sposobem by nie podmienił nikt.

Drugi scenariusz to atak na kompa i wtedy da się podmienić adres na fałszywy tak żeby przy sprawdzeniu wydawało się ok i da się podmienić kwotę ale już tutaj przy sprawdzeniu na ledger powinna wyjść prawda ze nie zgadza się kwota Kluczowe jest to czy zostało to sprawdzone na ekraniku ledgera?

Dodano po 7 minutach 54 sekundach:
Dodam nawet jeśli nastąpił taki atak z drugiego scenariusza w połączeniu z pomyłka użytkownika(nie sprawdzenie sumy) to byłby to najbardziej zaawansowany atak na zwykłego użytkownika chyba w historii bitcoina. To wymaga sporego profesjonalizmu hakerów i odpowiednio napisanych dedykowanych narzędzi do tego, w taki mniej więcej sposób okradają ludzi z kont bankowych do tej pory nie słyszałem żeby tak zaawansowane ataki przeprowadzano na użytkowników krypto.

[zolwik102]

Trzeba pamiętać, że Cezary rzekomo przelewał drobną kwotę. W przypadku drobnej kasy dokładne sprawdzanie każdego znaku może być zaniedbane.
Daje to do myślenia w przypadku korzystania z kont ze znaczą sumą krypto. Jeżeli faktycznie był to atak na komputer warto polecieć cały system skanerami i spróbować znaleźć coś podejrzanego - może to da odpowiedź. Może pieniędzy nie zwróci ale zapewne doprowadzi do jakichś wniosków.

[maky]

Co do tego to pełna zgoda, ale skąd "wirus" znał wysokość kwoty jaka możliwa jest do zajumania?

Atak spersonalizowany. Znasz osobę atakowaną. Znasz salda.

Dodano po 1 minucie 47 sekundach:

Jakim sposobem kwotę da się podmienić?

Masz rację. To jest słaby punkt mojej hipotezy.
Zakładam, że jeśli ktoś wykonuje dużo transakcji i na mniejsze kwoty to jest mniej uważny. Poszkodowany niech wybaczy. Tak tylko gdybamy.

[grzgrzgrz3]

Atakujący mógł pozwolić wykonać jedną transakcję aby poznać adres z którego dokonywane są wpłaty, znając adres zna stan konta i przy kolejnej transakcji jest wstanie wyczyścić cały portfel.

EDIT

Teoria nie pasuje do tej kradzieży, ofiara nie wykonywała wcześniej przelewów z okradzionego portfela. By być precyzyjnym ostatni przelew z okradzionego portfela był 72 dni temu, raczej mało prawdopodobne, że atak by trwał tak długo.

Po głębszym zastanowieniu jednak jest prawdopodobne.

Edit2

Inny kwestia atakujący mając skompromitowany komputer ofiary miał dostęp do historii na giełdach, wiedział z jakich adresów były wpłaty, to samo z minerem.

[fervi]

Co do tego to pełna zgoda, ale skąd "wirus" znał wysokość kwoty jaka możliwa jest do zajumania?

Jeśli portfel jest podrobiony to wie ile jest środków na koncie. Warto w takim razie upewnić się, że portfel jest legitny, bo może kolega pobrał portfel z trefnej strony i po hajsie.

[miso20]

paper walletu używa się tylko raz Jest sprawdzony jeśli ktoś wie jak go używać, i w dodatku darmowy.

A w jaki sposób ktoś z ogromną wiedzą wprowadza klucz prywatny do komputera by wysłać środki z paper walleta? Oświeć mnie głupiego, niegodnego

Ledgera kupiłem w 2017 roku od autoryzowanego dystrybutora w Polsce

Skąd konkretnie?

Myślę, że kolega zdążył już porównać adresy i ma pewność, że adres nie został pomylony.

A tego to my sie już nie dowiemy. Adres wyświetla się raz w trakcie wysyłki i tylko tamten raz się liczy. NIe cofniesz się w czasie, a to co sie wyświetla obecnie to insza inszość.

Dodano po 6 minutach 24 sekundach:

Jedyne o mam sobie do zarzucenia to "trzymanie" 99% "kapitału" na jednym koncie oraz fakt wykorzystania do przelewów komputera osobistego- używanego przez mnie codziennie po kilkanaście godzin , zamiast wykorzystać innego np z Linuxem.

To poważne zarzuty niestety.

Ja nie wykluczałbym całkiem kradziezy seeda.

A ja tak. Jest jakieś 0,00001% szansy, że nawet gdy ktoś mu wykradł seeda, to okradł go akurat, gdy ten zatwierdzał transakcję

To co podajesz to jedno "konto" z różnymi adresami. Jeżeli nie używasz passphrase i masz dwa adresy i tylko jeden z nich został wyczyszczony to seed nie został skompromitowany tylko wektorem ataku była transakcja.

Wszyscy się mylicie. Ledger grupuje adresy do danego konta, np. zakładam konto o nazwie miso20. Wtedy dla tego konta za każdym razem generuje mi się adres odbiorczy nowy. Natomiast, gdybym chciała tym samym portfelu jeszcze trzymać środki maky'ego, to dodaje kolejne konto i nazywam je Maky.

Na ledgerze mogę mieć tysiąc kont i miliony adresów. A seed jest jeden do tego wszystkiego.

Po prostu wirus podmienił adres do przelewu na stronie.

Brawo za trafne spostrzeżenie +1

Prawdopodobieństwo powyższej diagnozy oceniam na 90%.

Mam podobne spostrzeżenia. Gdzie wysyłałeś te ETH?

[maky]

Wszyscy się mylicie. Ledger grupuje adresy do danego konta, np. zakładam konto o nazwie miso20. Wtedy dla tego konta za każdym razem generuje mi się adres odbiorczy nowy.

A ty o LL. Nas nie interesuje grupowanie adresów przez aplikację zewnętrzną tylko to co na niskim poziomie. Jeżeli użyjesz seed to masz po kolei adresy zawsze takie same. Jeśli użyjesz passphrase do dla każdego unikalnego masz kolejny unikalny ciąg adresów. "Konta" w LL to nadal jeden seed.

[Cezarysw]

to wersja apki eth, a wersja ledger live?
settings>about>version?

moja wersja Ledger Live to 2.15.0

[kozaki_wiesi]

Atak spersonalizowany. Znasz osobę atakowaną.

Pracownik giełdy?
Poszkodowany zasila konto giełdowe bezpośrednio więc pracownik zna saldo na ledgerze. Zna IP i wie kiedy poszkodowany zalogowany jest na konto giełdowe. Wie na jaki adres nastąpi zasilenie konta giełdowego. Ponosi mnie fantazja czy też jest to możliwa hipoteza?

[adiqq]

Pracownik giełdy?
Poszkodowany zasila konto giełdowe bezpośrednio więc pracownik zna saldo na ledgerze. Zna IP i wie kiedy poszkodowany zalogowany jest na konto giełdowe. Wie na jaki adres nastąpi zasilenie konta giełdowego. Ponosi mnie fantazja czy też jest to możliwa hipoteza?

Dla mnie to brzmi prawdopodobnie.

[grzgrzgrz3]

Ta pracownik giełdy, bo atakujący nie ma dostępu do konta na giełdzie ofiary...

[rav3n_pl]

@Cezarysw Przeglądam historię Twojego (rzekomo) konta i ruchy nie pasują do tego, co opisujesz.
https://etherscan.io/address/0x4293b5dc ... 5eecfcf70a

Trolling IMO.

[Cezarysw]

Co Twoim zdaniem nie pasuje ? Które opisywane przeze mnie "ruchy" nie są zgodne z moim opisem ? Jeżeli tak uważasz i Masz konto na FB to wejdź na https://www.facebook.com/Ledger/ , tam opisałem swój problem , więc jest tam mój profil , który można sprawdzić , nawet miejscowość w której mieszkam . Bardzo przykro jest mi czytać , że konto ETH jest "rzekomo moje". Jestem gotów rozwiać każdą wątpliwość która może się pojawić , ale proszę mnie nie oskarżać , że wypisuję tu nieprawdę.

[Antrepair]

tak.
Ogólnie chłopaki z ledgera bogami nie są. Był już babol ze złym wyświetlaniem adresu na urządzeniu zauważony przez naszego użytkownika. Brakowało jednego znaku w wyświetlanym adresie na urządzeniu a transakcja szła zgodnie z ledger live. Chociaż w tym przypadku bardziej wygląda na jakiś hack a nie buga.
Tutaj wątek z błędem ledgera, chyba wersja 2.16.* to była.
viewtopic.php?f=5&t=34470&p=666670#p666670
Spoiler:
"Druga sprawa chce przelać LTC z ledger na giełdę i na ledger live adres jest dobry a sam ledger wyświetla mi adres bez jeden litery, trzeciej od końca litery jest brak na wyświetlaczu ledgera w stosunku do ledgere live gdzie jest poprawnie. O co chodzi kurde ? Bo się martwić zaczynam dlaczego tak się dzieje."

Mam ledgera z aktualnie wgranym tym samym bugiem, nie aktualizowałem go po tym. Taj jakby ktoś chciał się o coś zapytać, porównać wersje czy coś

[rav3n_pl]

@Cezarysw Chętnie przeproszę, wystarczy mi tylko że tym adresem podpiszesz wiadomość

 
to ja, Cezarysw, jestem ownerem tego konta 18-12-2020 forum.bitcoin.pl

Instrukcja np tu: https://support.mycrypto.com/how-to/get ... n-ethereum

[adiqq]

Co Twoim zdaniem nie pasuje ?

Jedna rzecz mi nie pasuje....8.12 z konta przesłano 386.5 ETH...i od tamtego czasu były jeszcze kolejne wpływy z Ethermine.
https://etherscan.io/address/0x4293b5dc ... 5eecfcf70a
Jasne, mogłeś sie nie zorientować i dalej kopałeś na te same konto. Ale to pasuje do tego co pisałeś wcześniej, że od razu się zorientowałeś. Kolejna rzecz - po każdym kolejnym wpływie z Ethermine, środki zostają od razu wysłane na ten sam adres, na który zostało przesłane te 386.5 ETH....
to te konto
https://etherscan.io/address/0x4a126bc9 ... c4e38257f8
co ciekawe, 4 dni temu, 2 dni temu i dzisiaj na te same konto zaczał wpływać urobek z Ethermine....i to w podonej wysokości jak wcześniej
trochę to dziwnie wygląda...

[Cezarysw]

@Cezarysw Chętnie przeproszę, wystarczy mi tylko że tym adresem podpiszesz wiadomość

 
to ja, Cezarysw, jestem ownerem tego konta 18-12-2020 forum.bitcoin.pl

Instrukcja np tu: https://support.mycrypto.com/how-to/get ... n-ethereum

Już tak zrobiłem.
{
"address": "0x4293b5Dc11B250078Da7359D7d57c15EECfcf70a",
"msg": "to ja, Cezarysw, jestem ownerem tego konta 18-12-2020 forum.bitcoin.pl",
"sig": "0x0f39a7eee9b10283c82889b7428cf0bab90991b96b04a7107c22bc292f57d0e7093e0e0925a855ee7932fba5446359ac6dcdc630eb1583382a59c193997bd43b1b",
"version": "2"
}


Dodano po 5 minutach 22 sekundach:

Co Twoim zdaniem nie pasuje ?

Jedna rzecz mi nie pasuje....8.12 z konta przesłano 386.5 ETH...i od tamtego czasu były jeszcze kolejne wpływy z Ethermine.
https://etherscan.io/address/0x4293b5dc ... 5eecfcf70a
Jasne, mogłeś sie nie zorientować i dalej kopałeś na te same konto. Ale to pasuje do tego co pisałeś wcześniej, że od razu się zorientowałeś. Kolejna rzecz - po każdym kolejnym wpływie z Ethermine, środki zostają od razu wysłane na ten sam adres, na który zostało przesłane te 386.5 ETH....
to te konto
https://etherscan.io/address/0x4a126bc9 ... c4e38257f8
co ciekawe, 4 dni temu, 2 dni temu i dzisiaj na te same konto zaczał wpływać urobek z Ethermine....i to w podonej wysokości jak wcześniej
trochę to dziwnie wygląda...

Nie na ten sam adres co 386,5 (0x453E0c72664AcE9531b995a23b956873D7C777f8) tylko na adres 0x4A126BC9Cb9cfDF1ba5986aa0B03cdC4e38257F8 a to jest różnica.
To konto 0x4A126BC9Cb9cfDF1ba5986aa0B03cdC4e38257F8 jest moim portfelem na BitBay , Zorientowałem się od razu tak jak pisałem , ale trochę trwała zmiana adresów w koparkach.
Co jeszcze budzi wątpiliwości ?

[adiqq]

Nie na ten sam adres

masz rację - i chyba mam wytłumaczenie
końcówki obu adresów są takie same. Początek też. Więc na szybko przy sprawdzaniu na wyświetlaczu ledgera można się pomylić....pewnie wiele osób sprawdza tylko początek adresu i sam koniec.....ręka w górę, kto nigdy tak nie robił przy małych transakcjach....

dziwię się tylko, że skoro takie środki ci z konta zniknęły, to dalej kopałeś na to same konto.

[Cezarysw]

@adiqq: dziwię się tylko, że skoro takie środki ci z konta zniknęły, to dalej kopałeś na to same konto


Zorientowałem się od razu tak jak pisałem , ale trochę trwała zmiana adresów w koparkach. Zmieniłem jak najszybciej mogłem tego dokonać . A ostatnie wypłaty z "nieszczęsnego konta" robiłem z użyciem nieużywanego dotychczas komputera.