Skradziono mi ETH z Ledger Nano S

Postautor: **adiqq** » piątek, 18 grudnia 2020, 13:29

Cezarysw pisze: ↑ piątek, 18 grudnia 2020, 13:23ale trochę trwała zmiana adresów w koparkach.

no i to mnie bardzo dziwi...bo urobek następnego dnia wpłynął w takiej samej wielkości (to rozumiem jeszcze), ale 3 dni później, też w tej samej wysokości (próg wypłaty na ethermine ustawiony na 0.5 ETH) Dopiero nastepnego dnia widzę zmianę - 0.16
Nie wiem jak to masz poorganizowane, ale zmiana adresów zajęła ci tyle czasu? Wybacz, ale nie potrafię tego pojąć...

Postautor: **Cezarysw** » piątek, 18 grudnia 2020, 13:36

Czyściłem konto w kopalni, czyli ustawiłem wypłate pozostałości (stąd te 0.16 ETH) jednorazowo. Jeszcze raz podkreślam , że zmianę adresów zrobiłem tak szybko jak to było możliwe !!!

Postautor: **janiak** » piątek, 18 grudnia 2020, 13:57

A nie masz zainstalowanego przypadkiem TeamViewera ? mialem taki przypadek ze pomimo ustalenia silnego hasla i uwierztelnienia przez google authenticator w TeamViewer ktos sie wlamal na moje konto i przejal moj pulpit , zalecam wszystkim usuniecie tej aplikacji bo jest zbugowana i bardzo niebezpieczna , hakerzy poprostu ja kontroluja ! .

YouTube · Postautor: **rav3n_pl** » piątek, 18 grudnia 2020, 14:13

@Cezarysw Ok, w takim razie przepraszam za podejrzenia.
Naprawdę wygląda to słabo.

Uporządkujmy jeszcze kilka rzeczy:

Masz tego ledgera od 2018 roku?
Jak przechowujesz seed?
Czy masz inne krypto na tym samym portfel i czy sprawdziłeś, że również nie znikło?
Czy kiedykolwiek wpisywałeś seed gdziekolwiek poza samym urządzeniem (np w komputerze celem weryfikacji przy aktualizacji?)

Postautor: **Cezarysw** » piątek, 18 grudnia 2020, 14:37

Ad1 Uruchomiłem Ledgera pod koniec listopada 2017
Ad2 seed do tego urządzenia jest tylko w jednym egzemplarzu w formie papierowej, zamknięty w niedostępnym i nieznanym dla innych osób miejscu. Nie "dotykany" od 2017 roku. Sprawdzałem to zaraz po "zajściu" 8 grudnia tego roku.
AD3 Krypto zniknęło tylko z jednego konta , inne konta nie ruszone.
Ad4 Patrz Ad2

Mogę siebie obwiniać tylko o to , że nie korzystałem przy transakcjach z Ledgera z innego PC , zamiast tego którego używam na co dzień. Ale nie spodziewałem się, że Ledger (jako portfel sprzętowy i aplikacja ledger Live) jest podatny na ataki hakerskie.

Postautor: **Dar0** » piątek, 18 grudnia 2020, 17:22

Cezarysw pisze: ↑ piątek, 18 grudnia 2020, 14:37Mogę siebie obwiniać tylko o to , że nie korzystałem przy transakcjach z Ledgera z innego PC, zamiast tego którego używam na co dzień

Ale ledger z założenia właśnie jest po to żeby nie trzeba było używać do transakcji innego kompa.

Cezarysw pisze: ↑ piątek, 18 grudnia 2020, 14:37Ale nie spodziewałem się, że Ledger (jako portfel sprzętowy i aplikacja ledger Live) jest podatny na ataki hakerskie.

Bo portfel sprzętowy nie jest podatny( do tej pory nie był przynajmniej) na ataki hakerskie w których nie współistniał błąd użytkownika. Aplikacja ledger live zawsze była podatna ale korzystając z niej razem z niepodatnym portfelem sprzętowym było ok.

YouTube · Postautor: **rav3n_pl** » piątek, 18 grudnia 2020, 17:26

@Cezarysw Czy adres na który miałeś wysłać jest choć trochę podobny? Czy używałeś go (wysyłałeś na niego) wcześniej?
Problem w tym, że Ledger pokazuje adres i kwotę na ekranie przed podpisaniem. I nie ma możliwości, żeby to "jakoś" oszukać.
Ktoś musiałby wygenerować adres podobny na początku i końcu (co nie jest trywialne) bo większość sprawdza właśnie początek i koniec adresu.
Kwota to zupełnie inna bajka, bo MUSI być identyczna.
Naprawdę nie widzę możliwości, żeby bez fizycznego dostępu i/lub kompromitacji seeda dało się to przeprowadzić.

Postautor: **gofer** » piątek, 18 grudnia 2020, 18:32

Tak śledzę ten wątek i moim zdaniem ktoś kiedyś zrobił sobie zdjęcie seeda. 3 lata to sporo, pewnie na początku przygody z kopaniem komuś się chwaliłeś. Druga opcja, kupiłeś trefny Ledger. Zamiast z Francji to od PL dystrybutora - możliwe, że ktoś przy nim grzebał. Choć jakbym miał obstawiać to stawiam na opcję nr1. Żona/dziewczyna, dzieciaki w pierwszej kolejności. Poźniej kumple.

Postautor: **whatever** » piątek, 18 grudnia 2020, 18:40

No tak ale opróżnił jeden adress, a co z drugim ? Na nim nie było zbyt wiele czy jak to wygląda ?

Postautor: **gofer** » piątek, 18 grudnia 2020, 18:44

whatever pisze: ↑ piątek, 18 grudnia 2020, 18:40No tak ale opróżnił jeden adress, a co z drugim ? Na nim nie było zbyt wiele czy jak to wygląda ?

Ktoś zaiwanił bańkę i nie przejmował się drobnymi. A może specjalnie zostawił, żeby wyglądało, że ktoś nie miał dostępu do seeda.

Postautor: **maky** » sobota, 19 grudnia 2020, 00:47

Cezarysw pisze: ↑ piątek, 18 grudnia 2020, 13:16Nie na ten sam adres co 386,5 (0x453E0c72664AcE9531b995a23b956873D7C777f8) tylko na adres 0x4A126BC9Cb9cfDF1ba5986aa0B03cdC4e38257F8 a to jest różnica.

To wygląda na przygotowany atak IMHO. Wygląda jakby atakujący przygotował podobny adres. Jak sądzicie?

Dodano po 1 minucie 43 sekundach:

rav3n_pl pisze: ↑ piątek, 18 grudnia 2020, 17:26Czy adres na który miałeś wysłać jest choć trochę podobny? Czy używałeś go (wysyłałeś na niego) wcześniej?

0x453E0c72664AcE9531b995a23b956873D7C777f8
0x4A126BC9Cb9cfDF1ba5986aa0B03cdC4e38257F8

Dodano po 8 minutach 6 sekundach:
0x45...............1b995...............7f8
0x4A.............1ba59.................7F8

YouTube · Postautor: **rav3n_pl** » sobota, 19 grudnia 2020, 01:13

@maky Nie, no co ty, nawet 3 pierwsze się nie zgadzają.
Stawiam na ucieczkę seeda i wysłanie transakcji "fałszywej" jak tylko pojawiła się ta "prawdziwa".

Postautor: **Dar0** » sobota, 19 grudnia 2020, 01:38

rav3n_pl pisze: ↑ sobota, 19 grudnia 2020, 01:13 Stawiam na ucieczkę seeda i wysłanie transakcji "fałszywej" jak tylko pojawiła się ta "prawdziwa".

Tylko po co ktoś by czekał aż pojawi się transakcja jak miał seeda?

Jedyne co mi przychodzi do głowy to jeśli wyciek seeda nastąpił przez osobę znajomą to mógł tak zrobić żeby oddalić podejrzenia ze hack nastąpił przez wyciek seeda. To już zbyt zagmatwane się robi.

Postautor: **miso20** » sobota, 19 grudnia 2020, 01:45

Wg mnie po prostu zatwierdził transakcje na zły adres. Teraz juz tego nie odtworzy się, bo nie cofniemy sie w czasie. Pamięć jest zawodna i może się wydawać, że wszystko poszło dobrze, a zatwierdzało się wadliwy adres. Zwłaszcza, ze mogły to być podobne literki, tak jak @maky.

Morał z tego taki, że sprzedajemy po ćwiarteczce, a nie całeczce miliona

YouTube · Postautor: **rav3n_pl** » sobota, 19 grudnia 2020, 01:46

@Dar0 Bo łatwo w ten sposób "zamaskować" transakcję - jak widać w tym wątku podważa się działanie portfela, a przyczyna wydaje się zupełnie inna.

Dodano po 35 sekundach:
@miso20 Ale przeczytałeś że on chciał wysłać część a nie całość?

Postautor: **Dar0** » sobota, 19 grudnia 2020, 02:01

@rav3n_pl Tak, tylko dla hakera zdalnego jest to obojętne w sumie na co padnie podejrzenie, nie miał by celu w tym żeby cokolwiek maskować chyba ze to jakiś złodziej wewnętrzny "kolega" wtedy takie maskowanie miało by sens.

Postautor: **grzgrzgrz3** » sobota, 19 grudnia 2020, 02:34

rav3n_pl pisze: ↑ sobota, 19 grudnia 2020, 01:13 @maky Nie, no co ty, nawet 3 pierwsze się nie zgadzają.
Stawiam na ucieczkę seeda i wysłanie transakcji "fałszywej" jak tylko pojawiła się ta "prawdziwa".

Szansa na konflikt adresów na poziomie pierwszy i 3 ostanie znaki to 0.0003%. Nie ma tutaj przypadku, ewidentnie adres przygotowany.

Postautor: **mecenas** » sobota, 19 grudnia 2020, 10:15

https://news.bitcoin.com/two-rubygems-i ... searchers/

Postautor: **miso20** » niedziela, 20 grudnia 2020, 01:14

rav3n_pl pisze: ↑ sobota, 19 grudnia 2020, 01:46@miso20 Ale przeczytałeś że on chciał wysłać część a nie całość?

Mogło mi to umknąć. W każdym razie nie trzymałbym tez miliona na jednym adresie. Zawsze miałbym taki irracjonalny strach, że urządzenie mi sie samo sp***li i wolałbym to rozbić na kilka. No, ale już jakim kto kwotami obraca

Postautor: **dr_hash** » niedziela, 20 grudnia 2020, 06:59

jak sie "sp***li" to wpisujesz w nowym urządzeniu nasionka i wszystko gra.