Złapałem się na phishing. Pomóżcie!

[trevorek7]

Problem wygląda tak konkretnie:
24 wyrazowe hasło do mojego Ledgera Nano S zostało wyłudzone przez wpisanie go do rozszerzenia na Chrome, w wyniku czego w kilka minut skradziono mi ETH i BCH.
O dziwo, BTC nie został ruszony.
W popłochu i panice, zdając sobie sprawę, że złodziej ma dostęp do mojego hasła 24 wyrazowego, zleciłem pilnie przelew BTC na giełdę Bitbay poprzez Ledger Live aby urządzenie zresetować na nowo, jednak omyłkowo zniżając fee do minimum 1sat/1byte...

Aktualnie widzę, że ta transakcja totalnie utknęła. Nie mam doświadczenia, bo jest to pierwsza moja taka sytuacja, więc tu pytania:

1) czy na którymkolwiek z etapów złodziej mając moje hasła może teraz tę transakcję śledzić i zakwestionować, "przekierować" w jakiś sposób na inny adres? Jakie może mieć możliwości w takiej sytuacji? Łapię już paranoje.
2) Sprawę komplikuje fakt, że Ledger Live nie umożliwia opcji zwiększenia fee w celu "popchnięcia" jej w kolejce. Czy mogę w jakiś sposób spróbować zrobić z poziomu Electrum, mimo, że transfer wychodził z Ledger Live? Probówalem też viaBTC z innego wątka, ale pewnie za małe fee, by w ogóle przeszło no i kolejka (submissions are beyond limit)
3) czy lepszym wyjściem jest czekać (ile taka sytuacja może trwać?) aż transakcja zostanie poddana i zwrócona i wówczas jeszcze raz spróbować zrobić to normalnie?

________
Teraz mniej konkretnie, kontekst sytuacji - na wstępie od razu napiszę - JESTEM TOTALNYM ZEREM mówiąc najkrócej z tego powodu co zrobiłem, aby oszczędzić czasu i byście Wy już nie musieli mnie wyzywać w innych postach, sam to robię. Jestem też początkujący w tej materii.

Dzisiaj chciałem zainstalować soft Ledger Nano S u narzeczonej na kompie i wytłumaczyć jej zasady działania, abyśmy mogli korzystać z tego samego cold walleta. Nie doczytałem oczywiście, że od tej wersji firmware'a Ledger nie oferuje już rozszerzenia w Chrome, mnie totalnie zaćmiło, no więc grzecznie zagadany i rozkojarzony, wklepałem w Chrome extension ziarno i dalej historię znacie. Głupota...
Bardzo dziękuję z góry za zainteresowanie sytuacją. Cały dzień staram się wertować sieć by znaleźć coś co mi pomoże w tej sytuacji, jednak obawiam się, że powoli wyczerpuję zdolność samodzielności w tym problemie i mnie on przerósł.

[fervi]

1) Tak
2) Electrum, zobacz Replace by fee (o ile Ledger tego używa)

[trevorek7]

1) Tak
2) Electrum, zobacz Replace by fee (o ile Ledger tego używa)

Dzięki. Czy jest gdzieś szczegółowo opisana procedura jak mógłbym z tym powalczyć? Electrum posiadam, ale przelew robiłem z LEdger Live i nie wiem jak miałbym się za to zabrać. Potrzebuję pomocy pilnej i nieco bardziej szczegółowej. Mógłbym zadzwonić, może byłoby łatwiej?

[fusywszklanejkuli]

W Electrum utwórz nowy portfel używając opcji Use a hardware device (wtedy będziesz korzystał z Ledgera) albo, jeśli nie uda Ci się skonfigurować Electrum z Ledgerem i zdecydujesz się na ryzyko wpisywania ziarna na komputerze, Mam już ziarno (wtedy wpiszesz ziarno ręcznie z nadzieją, że Twój komputer nie jest tak zainfekowany, by ponownie stało się coś złego). W tym drugim wypadku przy wpisywaniu ziarna musisz kliknąć Ustawienia i zaznaczyć tam Ziarno BIP39.

Później spróbuj podwyższyć opłatę zgodnie ze wskazówkami Bump the fee.

[fervi]

Później spróbuj podwyższyć opłatę zgodnie ze wskazówkami Bump the fee.

W sumie jeśli wydał wszystko to CPFP nie zadziała, a jeśli RBF ma wyłączony to też nie uda się hakerom podbić opłaty? Czy się mylę?

[trevorek7]

W Electrum utwórz nowy portfel używając opcji Use a hardware device (wtedy będziesz korzystał z Ledgera) albo, jeśli nie uda Ci się skonfigurować Electrum z Ledgerem i zdecydujesz się na ryzyko wpisywania ziarna na komputerze, Mam już ziarno (wtedy wpiszesz ziarno ręcznie z nadzieją, że Twój komputer nie jest tak zainfekowany, by ponownie stało się coś złego).

Dzięki, próbuję skomunikować Electrum nowy portfel z hardware, ale nie widzi tego. Rozumiem zatem, że wykonując tę bardziej ryzykowną procedurę, powinienem ziarno wpisywać to z mojego Ledgera, które zostało wyłudzone i na tym polega całe ryzyko?

Dodano po 42 minutach 5 sekundach:
https://ibb.co/4YgtY9r
Przepraszam za wklejenie tego linka - nie umiem inaczej, choć próbowałem.
Tak to wygląda u mnie gdy próbuję zgodnie z instrukcją podpisać transakcję po zwiększeniu prowizji - jakiś błąd serwera wywala z sugestią, bym z czymś innym się połączył. Nie rozumiem tego niestety. Wersja Electrum najaktualniejsza.

[trevorek7]

Niestety, rozszerzenia szukałem wielokrotnie później na obu komputerach. Zniknęło bez śladu, pozostał jedynie "404 not found", więc trudno to opisać jak dokładnie wyglądało.
Ja chciałem u Niej zainstalować apkę na kompie jak u mnie, byśmy współdzielili Ledgera.
Wyszukałem w google i pojawiła się jako pierwsza pozycja. Przyjrzałem się jej, ale w tym samym momencie rozmawiając przez telefon i spiesząc się robiąc inne jeszcze proste czynności. Nawet przyjrzałem się całej nakładce i wyglądała dość dobrze, wyskalowany obrazek Ledgera, adres rozszerzenia u góry był "chrome. ledger". Jedynie na moment przyjrzałem się, że nie miał ocen żadnych oraz data utworzenia była jakoś 7 maja, ale całość wyglądała naprawdę dobrze i wiarygodnie jak na physha.
Ponieważ używam dopiero kilka dni Ledgera, to gdzieś mi migotała informacja w głowie, że kiedyś nakładka była do Chrome, stąd przy tych wszystkich okolicznościach mechanicznie to zaakceptowałem.
Wpisując tam hasło pojawił się komunikat, że jest nieprawidłowe. Wpisując po raz drugi wolniej dopiero doszedłem do wniosku, że jest coś nie tak i mnie otrzeźwiło. Natychmiast zalogowałem się na swoim komputerze do Ledger Live i widziałem w zasadzie jak pięknie znikają BCH i ETH w dwóch transakcjach. O dziwo, BTC w ogóle nie zostało ruszone, a w portfelu miałem właśnie te 3 waluty, zatem mówimy o szczęściu w nieszczęściu poza faktem, że w popłochu zleciłem tę wysyłkę na giełdę by "wyczyścić" portfel no i transakcja utknęła z powodu 1sat/byte. Na szczęście, z pomocą udało mi się nad ranem podbić tę transakcję z Electrum i szczęśliwie dotarła do przystani.
Wysyłam w celach informacyjnych.

[redbog]

24 wyrazowe hasło do mojego Ledgera Nano S zostało wyłudzone przez wpisanie go do rozszerzenia na Chrome, w wyniku czego w kilka minut skradziono mi ETH i BCH.
O dziwo, BTC nie został ruszony.

Bardzo dziwna sytuacja. Chyba ze tego btc jest bardzo mało w porównaniu z eth i bch ale w sumie i tak dziwne.

Jeśli wysłałeś transakcje z 1sat bez RBF i do tego na nie swój adres(tylko bb) to nie masz tez opcji CPFP wiec pozostaje ci opcja jedynie niejako próby double spend.

Tu masz opisane jak to zrobić z zastrzeżeniem ze robisz wszystko na własną odpowiedzialność. Ten kto ci ukradł seeda tez może to zrobić i jest wyjątkową ciamajdą ze jeszcze tego nie zrobił. Dodatkowo i tak mi tu coś nie pasuje ze on nie zdążył już na samym początku zrobić transakcji przed tobą.
https://steemit.com/bitcoin/@profitgene ... ansactions

[trevorek7]

Bardzo dziwna sytuacja. Chyba ze tego btc jest bardzo mało w porównaniu z eth i bch ale w sumie i tak dziwne.

Proporcje były odwrotne, bo BCH i ETH miałem po 3, więc tym bardziej się dziwię, że BTC nieruszone. Obstawiam, że to mógł być jakoś zaprogramowany atak a nie manualny, zorientowany może na poszukiwanie tych krypto, albo jeszcze jakiś zbieg okoliczności mógł zaważyć - w momencie, gdy spostrzegłem, że coś jest nie tak, zalogowałem się do Ledgera Live zainstalowanego na kompie i wtedy apka zaimplementowała prawidłowo ilość BTC, a ETH i BCH były już transferowane i potwierdzane. Nie wiem czy timing miał tu znaczenie, że zdążyłem się zalogować w trakcie, gdy zewnętrzne źródło realizowało te transakcje.
Ostatecznie RBF z Electrum okazała się możliwa jak podał @fusywszklanejkuli chociaż też nie obyło się bez problemów.

[fusywszklanejkuli]

Złodziejskie apki (już je zgłosiłem) to:
https://chrome.google.com/webstore/deta ... hbhhhlghgb
https://chrome.google.com/webstore/deta ... iifcoomalh
https://chrome.google.com/webstore/deta ... nkkebbdeoh

Dwie pierwsze wysyłają seed na adres https: //czengpao.com/api/ledger/balance, a trzecia na https: //zootowntkd.com/per/.

Moja hipoteza dlaczego w tym przypadku ocalały BTC: trevorek7 miał je na adresach nested SegWit (3...). Narzędzie złodzieja sprawdzało zapewne tylko adresy legacy (1...). (Mogło też mieć znaczenie, że derivation paths są inne dla różnych typów adresów, odpowiednio m/49'/0' i m/44'/0').

Jak się okazało, transakcja wysłana z Ledger Live miała flagę RBF. Po co robi tak portfel nieumożliwiający podwyższenia opłaty? Traktuję to jako zachowanie nieprzemyślane przez twórców. (A może jednak da się to zrobić w Ledger Live, ktoś wie?) Domyślne ustawianie flagi RBF jest dla mnie zresztą nieprawidłowe bez względu na możliwości portfela, niestety tak działa również Electrum (można to zmienić w ustawieniach, kiedyś był też w oknie transakcji checkbox dla flagi RBF, potem zniknął i powróci dopiero w jeszcze niewydanej najnowszej wersji), ale tam przynajmniej można podbić opłatę. Ktoś może argumentować, że to dla wygody użytkownika. W skrajnym przypadku, takim jak ten - niestety tym samym i dla wygody potencjalnego złodzieja. Co prawda Electrum nie pozwala użyć innych wyjść dla podbijanej transakcji, ale ogólnie dla opt-in RBF, z którym mamy tu do czynienia, jest to możliwe, a złodziej posiadający klucze prywatne użyje własnego oprogramowania.

[ttbit]

w momencie, gdy spostrzegłem, że coś jest nie tak, zalogowałem się do Ledgera Live zainstalowanego na kompie i wtedy apka zaimplementowała prawidłowo ilość BTC, a ETH i BCH były już transferowane i potwierdzane. Nie wiem czy timing miał tu znaczenie, że zdążyłem się zalogować w trakcie, gdy zewnętrzne źródło realizowało te transakcje.

Wszystkie operacje na Ledger Live takie jak logowanie się, sprawdzanie balance, a także logowanie się do Electrum itp. to są operacje read-only, nikt o tym nie wie, że to robisz (celowo unikam detali bardzo technicznych nt. prywatności, to tu nie istotne) . Jedyna operacja, którą widać w sieci jest to broadcast transakcji. Zrobił to dwa razy atakujący (wysłał twoje alty), a potem Ty (wysłałeś BTC). Poza tym to możesz się logować do woli, sprawdzać adresy, explorery itp., sieć o tym nie wie i nie miałbyś żadnego wpływu na kogoś kto ma twoje klucze i właśnie sobie wysyła transakcje z twojej kasy. Ledger to nie jest "konto bankowe", że bank wie, że się zalogowałeś. Zalety decentralizacji

[trevorek7]

Jak się okazało, transakcja wysłana z Ledger Live miała flagę RBF. Po co robi tak portfel nieumożliwiający podwyższenia opłaty? Traktuję to jako zachowanie nieprzemyślane przez twórców. (A może jednak da się to zrobić w Ledger Live, ktoś wie?) Domyślne ustawianie flagi RBF jest dla mnie zresztą nieprawidłowe bez względu na możliwości portfela, niestety tak działa również Electrum (można to zmienić w ustawieniach, kiedyś był też w oknie transakcji checkbox dla flagi RBF, potem zniknął i powróci dopiero w jeszcze niewydanej najnowszej wersji), ale tam przynajmniej można podbić opłatę. Ktoś może argumentować, że to dla wygody użytkownika. W skrajnym przypadku, takim jak ten - niestety tym samym i dla wygody potencjalnego złodzieja. Co prawda Electrum nie pozwala użyć innych wyjść dla podbijanej transakcji, ale ogólnie dla opt-in RBF, z którym mamy tu do czynienia, jest to możliwe, a złodziej posiadający klucze prywatne użyje własnego oprogramowania.

Innymi słowy, mając w tamtym momencie mojego seed'a, gdyby złodziej manualnie się za to zabrał, mógłby był mnie ubiec dzięki możliwej automatycznie RBF w Ledger Live dla tej transakcji BTC, którą nadałem (aktualnie z tego co przejrzałem opcje Ledger, nie ma możliwości samodzielnej edycji takich rzeczy) i mógłby jeszcze w jakiś sposób to przekierować? W momencie gdy transakcja już jednak doszła pomyślnie, ja nie korzystam z tamtego seed'a, właściwie nie ma powodu do żadnego niepokoju? Dużo ostatnio o tym czytam, ale trochę paranoje łapią.
@fusywszklanejkuli to rozszerzenie drugie, które zgłosiłeś, było dość podobne, tylko z tym oryginalnym znakiem Ledger Live z numeru 3.

[ttbit]

Jak się okazało, transakcja wysłana z Ledger Live miała flagę RBF. Po co robi tak portfel nieumożliwiający podwyższenia opłaty? Traktuję to jako zachowanie nieprzemyślane przez twórców.

Dlatego nie powinno się używać żadnych stronek, addonów do przeglądarki do zarządzania pieniędzmi Żadnych Ledger Live, Metamasków czy Trezor Walletów online. Po to wymyślono aplikacje temu służące. Electrum + portfel sprzętowy świetnie sobie radzą, obsługują wszelkie obecne standardy, RBF, CPFP, 0-conf spending i tak dalej. A niedługo będzie już wbudowany LN. Po co używać stronki Ledgera do zarządzania twoimi pieniędzmi, jeśli możesz mieć bezpieczny portfel Electrum z podpiętym Ledgerem? Poziom bezpieczeństwa o niebo większy, i nie jesteśmy narażeni na ataki przeglądarkowe czy złośliwe addony ze sklepu Chrome'a.

[rav3n_pl]

, ja nie korzystam z tamtego seed'a, właściwie nie ma powodu do żadnego niepokoju? Dużo ostatnio o tym czytam, ale trochę paranoje łapią.

Jedyne ryzyko jest takie, że masz ustawiony adres WYPŁATY z jakieś giełdy na adres ze skompromitowanego seeda.
Po za tym - żaden problem.

Dodano po 1 minucie 2 sekundach:
Jedyną zaletą LedgerLive jest multiwalutowość. Poza tym UX/UI jest beznadziejne i większość ludzi ma problemy z obsługą tego softu...

[amneziahaze]

Bardzo dziwna sytuacja. Chyba ze tego btc jest bardzo mało w porównaniu z eth i bch ale w sumie i tak dziwne.

Raz miałem sytuację, że z 4 różnych krypto wykradziono część(pewnie seed, do dzisiaj nie wiem) poprzez fejkowy electrum, prawdopodobnie podczas apdejtu. 4 różne kryptowaluty/seedy w tym samym środowisku, a wypłynęła tylko jedna kryptowaluta, powiedzmy że - o niezbyt wielkiej wartości - wtedy. Warto odnotować, że wprawdzie adres był zbyt stary, kilkuletni seed i dużo transakcji z 2016/2017 o wartości 10x większej przynajmniej - zależy od kursu. I po kilku latach, w tym samym roku wykradnięcia środków - 20 minut po dopłaceniu jednostek z giełdy na adres - nagle znika depozyt, gdzie transakcje są dobrze widoczne z wielu lat, a niecałe kilka tygodni wcześniej było ich sporo więcej na adresie. Logicznie, to nie ma sensu z perspektywy rzekomego złodzieja-hakera. Myślę więc że dużo bardziej dziwne.

Jak zwykle będzie pisanie bzdur typu "jesteś sam sobie winien", jednak zupełnie inaczej to wygląda w praniu.

Warto uwzględnić też ryzyko błędu podczas przeklejania adresów giełda-wallet-main address-token address, segwit, legacy itp. - gdzie łatwo się zamotać, tym bardziej jeżeli giełda obsługuje różne adresy tej samej sieci (nie zawsze giełda weryfikuje niewłaściwy adres lub o złym formacie, większość adresów forków są po prostu do siebie podobne). I jesteś wtedy skazany na przychylność giełdy, albo zero odzewu. Zmienisz niechcący jedną literkę w adresie i po środkach forever. Są prócz tego giełdy-widmo listowane m.in. w coinmarketcap i prawdopodobnie nie tylko (koledzy pewnie nie widzą w jawnych scamach nic złego), które dosłownie wysysają shitcoiny, a później masz totalny szlaban z dostępem do giełdy i adios. Tak, tak, sam sobie jestem winien i się po prostu nie znam - bajeczki tego typu przerabiam od lat, stanowią dużo większe zagrożenie od samego trejdingu. Po 2018 zacząłem się na tym łapać, że coś "dużego pecha mam ostatnio". Poza tym nie da się zachować stuprocentowej ostrożności, tym bardziej w przypadku częstego przesyłania kryptowalut. A jak minimalizujesz ryzyko z jednej strony to z drugiej masz lewar i trzymane środki na giełdzie, więc pozostaje tylko longtherm - gdzie krypto robi sobie teraz zygzak - w tym najbardziej sam truposz BTC, oraz uwaga: wisienka na torcie z marca, absolutny hit roku 2020' - zrzut w 2 dni prawie -50% (z knotem zasięg całego ruchu ~65%). Ostatnio doszły poza tym "słynne prześlij to odeślę" scamy poprzez fejsa i twitera - to bylo dużo wcześniej, po prostu złodzieje się coraz bardziej szkolą "w rzemiośle" i sposobach do wyciągnięcia seeda/wyłudzeń różnego typu.

A teraz zapraszam na google czary mary i proszę sobie poszperać ile tego jest w mnogości różnego typu wariantów.
Wpisujemy NAZWA + SCAM, jakby ktoś jeszcze nie ogarnął.

[sodom2000]

Jak się okazało, transakcja wysłana z Ledger Live miała flagę RBF. Po co robi tak portfel nieumożliwiający podwyższenia opłaty? Traktuję to jako zachowanie nieprzemyślane przez twórców.

Dlatego nie powinno się używać żadnych stronek, addonów do przeglądarki do zarządzania pieniędzmi Żadnych Ledger Live, Metamasków czy Trezor Walletów online. Po to wymyślono aplikacje temu służące. Electrum + portfel sprzętowy świetnie sobie radzą, obsługują wszelkie obecne standardy, RBF, CPFP, 0-conf spending i tak dalej. A niedługo będzie już wbudowany LN. Po co używać stronki Ledgera do zarządzania twoimi pieniędzmi, jeśli możesz mieć bezpieczny portfel Electrum z podpiętym Ledgerem? Poziom bezpieczeństwa o niebo większy, i nie jesteśmy narażeni na ataki przeglądarkowe czy złośliwe addony ze sklepu Chrome'a.

Mam Pyatnie ,bo mnie w sumie zaintrygowala twoja wypowiedz,dlaczego twierdzisz ,ze ledger live jest zly??przeciez nadal tranzakcje musisz potwierdzic ledgerem ,a Ledger live sluzy do obslugi tranzakcji i podgladu do konta??czy sie myle??
EDIT:a dobra zauwazylem ,ze wypowiedz byla na temat fee a nie bezpieczenstwa,sorka i pozdrawiam