Dziura w znanym portfelu Coinomi
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » środa, 27 lutego 2019, 07:58
Bit-els
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » środa, 27 lutego 2019, 08:41
Bit-els
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Dziura w znanym portfelu Coinomi
Postautor: pm7 » środa, 27 lutego 2019, 09:40
Problem ponoć jest przy przywracaniu portfela z seed.
pm7
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » środa, 27 lutego 2019, 12:15
Dodano po 22 minutach 8 sekundach:
A tu szersze omówienie
https://www.cryptoglobe.com/latest/2019 ... y-servers/
gość stracił 60 tys $ w crypto.
czyli działa to tak, że wpisuje się słowa, one są monitorowane przez aplikację googla, ale nie miejscowo, na urządzeniu, tylko słowa idą na serwer. I po drodze jakieś bot stworzony do rozpoznawania seedów kradnie je.
Dodano po 13 minutach 3 sekundach:
Uwaga, jest błąd! To widać po wpisaniu złego słowa, następuje podkreślenie, czyli tak samo jak podaje ten gość na tt!
Posłałem kontronie dasha za 1 zł, zobaczymy czy zniknie.
Ten błąd był od zawsze? Na androidach też? co ze środkami w portfelach zakładanych dawno temu, bez bawienie się w przywracanie? Wtedy nic się nie wpisuje, tylko klika na przyciski ze słowami, więc chyba nie ma wycieku.
Bit-els
- Bardzo Zły Moderator
- Posty: 14380
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Dziura w znanym portfelu Coinomi
Postautor: rav3n_pl » środa, 27 lutego 2019, 14:18
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » środa, 27 lutego 2019, 14:55
Tylko w momencie przywracania seeda. Wtedy słowa są wpisywane, a google sprawdza poprawność.
Bit-els
- Oficjalny przedstawiciel projektu
- Posty: 647
- Rejestracja: 19 lutego 2018
- Reputacja: 1361
Dziura w znanym portfelu Coinomi
Postautor: HODLER.TECH » środa, 27 lutego 2019, 15:31
Ten filmik wygląda jakby był kręcony na Macu.
W opisie zagrożenia podana jest informacja że aplikacja łączy się z API Google Spellchecker żeby sprawdzić czy słowa zostały dobrze przepisane. Czyli że zostało to zakodowane przez programistów a nie że aplikacja Google sama sprawdza pisownię seeda. Skoro zakodowane zostało celowo, to możliwe że używają tego samego kodu w różnych wersjach. Możliwe że w wersji mobilnej nie pojawia się podkreślenie, tylko sugestia pisowni na klawiaturze.
Dodano po 23 minutach 5 sekundach:
To fragment rozmowy z osobą która straciła przez ten błąd 60k USD, wyjaśnia programistom coinomi gdzie jest błąd:
Najciekawsza jest końcówka gdzie CTO Coinomi mówi "przecież te seed'y są na serwerach google, co może się stać?":)
Czyli nie zostało zakodowane celowo a użyto biblioteki która posiadała połączenie ze spellchecker'em i funkcja ta nie została wyłączona w Coinomi.
Pełna rozmowa z CTO Coinomi: https://avoid-coinomi.com/files/coinomi ... ssages.pdf
Opis zagrożenia od strony osoby która straciła swoje środki i wykryła podatność: https://avoid-coinomi.com/files/coinomi ... cident.pdf
HODLER Pro: https://hodler.tech/pro
Telegram PL: http://t.me/HODLERTECHPL
Dyskusja PL: https://forum.bitcoin.pl/viewtopic.php?f=101&t=30634
HODLER.TECH
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » środa, 27 lutego 2019, 16:56
Dodano po 58 minutach 33 sekundach:
Odpowiedź Coinomi
Bit-els
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Dziura w znanym portfelu Coinomi
Postautor: pm7 » środa, 27 lutego 2019, 17:01
To jest znany problem z używanie JS: https://hackernoon.com/im-harvesting-cr ... 8cb347c5b5
Rozwiązanie po stronie developerów: rozważyć jakie biblioteki używamy, monitorować zmiany.
Przykładowo, biblioteki używane przez Electrum: https://github.com/spesmilo/electrum/bl ... ements.txt
Ta wiadomość niczego nie zmieniła: od początku opieraliśmy się na zaufaniu do developerów i wierze, że są kompetentni i ewentualnie, że inni ludzie znajdą problemy (bo open-source).
Jeżeli ktoś ma większe środki, nie powinien wierzyć w jeden portfel. Portfele sprzętowe i/lub portfele offline pomagają, ale najpewniejsze jest używanie multisig, zwłaszcza przy użyciu różnych portfeli.
pm7
- Oficjalny przedstawiciel projektu
- Posty: 647
- Rejestracja: 19 lutego 2018
- Reputacja: 1361
Dziura w znanym portfelu Coinomi
Postautor: HODLER.TECH » środa, 27 lutego 2019, 18:02
Wprawdzie osoba która zgłasza problem sugeruje że Coinomi przejmuje seed'y i opróżnia "martwe adresy", ale nie ma na to żadnych dowodów. Jest dokładnie tak jak mówi pm7, nie wiedzieli że wysyłali te dane ponieważ nie sprawdzili co dokładnie robi biblioteka której używają, a ta miała włączoną opcję sprawdzania pod względem pisowni na serwerach Google. Jakiś nieuczciwy pracownik Google mógłby się bardzo wzbogacić po odkryciu tych danych.
Nie wykorzystujemy bibliotek osób trzecich w interfejsie użytkownika a te których używamy do obsługi kryptografii są opensource, przeanalizowane i opublikowane razem z kodem programu. Poza tym, trudno zrozumieć nagminne posługiwanie się seed'ami w formie niezaszyfrowanej, np. Trust Wallet domyślnie tworzy backup plaintext seeda poprzez opcję "Share" na email:)
HODLER Pro: https://hodler.tech/pro
Telegram PL: http://t.me/HODLERTECHPL
Dyskusja PL: https://forum.bitcoin.pl/viewtopic.php?f=101&t=30634
HODLER.TECH
- Początkujący
- Posty: 130
- Rejestracja: 8 lutego 2018
- Reputacja: 11
Dziura w znanym portfelu Coinomi
Postautor: Frezu » środa, 27 lutego 2019, 20:28
jak nie mogę wierzyć w jeden portfel to nie mogę wierzyć w wiele porfeli. Każdy z tych wszystkich rozwiązań (w tym open source) to jedno wielkie "zaufaj mi". I mam tu na myśli większość użytkowników. Bo założe się że mało kto sprawdza te kody pod wieloma kątami. Dlaczego?
Po pierwsze trzeba umieć. Znać i umieć czytać odpowiednio kod.
Po drugie. Nowe wersje. Aktualizacje. Tutaj też różne "rzeczy" moge się zmieniać. Skąd mam wiedzieć co i jak to sprawdzić kiedy nie jestem biegłym programistą i nie mam w głowie linijek kodu ?
No przecież nie będe za każdym razym się upewniał. Ktoś za mnie to zrobi? Koszty? Za darmo ? Wracamy do punktu wyjścia. Skąd mam wiedzieć czy dobrze to sprawdzi ?
Frezu
- Oficjalny przedstawiciel projektu
- Posty: 647
- Rejestracja: 19 lutego 2018
- Reputacja: 1361
Dziura w znanym portfelu Coinomi
Postautor: HODLER.TECH » czwartek, 28 lutego 2019, 10:10
W zasadzie masz rację, toczyła się na ten temat dyskusja na GitHub pomiędzy bitcoin.org a Coinomi (w sprawie usunięcia ich ze strony bitcoin.org w związku z zamknięciem kodu). We wnioskach podano, że wprawdzie skompilowane wersje aplikacji na Google Play wymuszają potrzebę zaufania wydawcy, jednak bardzo ważne jest to, by dać możliwość sprawdzenia jakości kodu, użytych rozwiązań, każdej nowej wersji programu, osobom które potrafią to zweryfikować. Ma to swoje uzasadnienie nawet w nawiązaniu do tematu tej dyskusji, można z niej łatwo wysnuć wniosek że zespół Coinomi wcale nie sprawdza bibliotek z których korzysta. Gdyby mieli otwarty kod, wyszłoby to o wiele szybciej. W zamkniętym oprogramowaniu, haker który znajdzie lukę, może z niej korzystać przez wiele miesięcy zanim ktoś uczciwy zgłosi ją i zostanie załatana. O wiele łatwiej jest znaleźć frazę w kodzie "SeedSpellcheckerinGoogle=enabled", przypadkiem trafić na bibliotekę która ma tę opcję domyślnie włączoną, niż przewidzieć takie zaniedbanie nie mając dostępu do źródeł.
Prowadzenie aplikacji otwarto-źródłowej mobilizuje do ścisłego trzymania się dobrych praktyk w tworzeniu kodu, dodawania komentarzy, zachowywania wysokiej jakości kodu, używania najbezpieczniejszych rozwiązań. Nie jest to tylko teoria, przytrafiło się nam już kilka kontaktów z programistami którzy przekazali swoje uwagi co do kodu, optymalizacji, wzmocnienia zabezpieczeń. Wraz ze zwiększaniem się rozpoznawalności aplikacji na świecie, będzie coraz więcej osób które będą nam patrzyły na ręce, co jeszcze bardziej mobilizuje programistów do stosowanie przemyślanych i sprawdzonych rozwiązań już na obecnym etapie.
HODLER Pro: https://hodler.tech/pro
Telegram PL: http://t.me/HODLERTECHPL
Dyskusja PL: https://forum.bitcoin.pl/viewtopic.php?f=101&t=30634
HODLER.TECH
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » czwartek, 28 lutego 2019, 16:58
Traktujmy portfele nieofflinowe jako portmonetkę na drobne.
W sumie i aktualizacja ios czy android też może kiedyś coś takiego zrobić. Nie mówię, że prezes Apple się połakomi, ale jakiś informatyk wejdzie do zespołu i po kilku latach oddanej pracy i zyskaniu zaufania zrobi numer.
A na system żaden chyba portfel nie jest zabezpieczony, system zawsze jest nadrzędny.
@HODLER.TECH dobrze myślę?
Bit-els
- Oficjalny przedstawiciel projektu
- Posty: 647
- Rejestracja: 19 lutego 2018
- Reputacja: 1361
Dziura w znanym portfelu Coinomi
Postautor: HODLER.TECH » czwartek, 28 lutego 2019, 19:06
A na system żaden chyba portfel nie jest zabezpieczony, system zawsze jest nadrzędny.
Oczywiście, w przypadku przyjmowania automatycznych aktualizacji na telefon czy komputer, braku izolacji portfela od systemu możliwa jest kradzież środków przez wydawcę systemu. Dlatego właśnie tworzymy HODLER Pro czyli własny, bardzo wyspecjalizowany system operacyjny połączony z aplikacją portfela umieszczony na zaszyfrowanym wolumenie. Całość open source: https://hodler.tech/pro
HODLER Pro: https://hodler.tech/pro
Telegram PL: http://t.me/HODLERTECHPL
Dyskusja PL: https://forum.bitcoin.pl/viewtopic.php?f=101&t=30634
HODLER.TECH
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Dziura w znanym portfelu Coinomi
Postautor: Bit-els » czwartek, 28 lutego 2019, 20:35
Bit-els
- Weteran
- Posty: 1521
- Rejestracja: 3 grudnia 2017
- Reputacja: 231
Re: Dziura w znanym portfelu Coinomi
Postautor: redlumek » czwartek, 28 lutego 2019, 20:41
redlumek
- Oficjalny przedstawiciel projektu
- Posty: 647
- Rejestracja: 19 lutego 2018
- Reputacja: 1361
Dziura w znanym portfelu Coinomi
Postautor: HODLER.TECH » czwartek, 28 lutego 2019, 20:54
HODLER Pro: https://hodler.tech/pro
Telegram PL: http://t.me/HODLERTECHPL
Dyskusja PL: https://forum.bitcoin.pl/viewtopic.php?f=101&t=30634
HODLER.TECH
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Dziura w znanym portfelu Coinomi
Postautor: pm7 » sobota, 2 marca 2019, 16:42
Dlaczego? Cała idea multisig polega na tym, że potrzeba wielu podpisów do transferu środków. Choćby nawet wszystkie portfele zostały wykradzione, to jeszcze muszą być wykradzione przez tego samego przestępcę. Jak zachowujesz bezpieczeństwo i używasz różnych portfeli, jest to niezwykle mało prawdopodobne. Bardziej bałbym się np. wypadku samochodowego.
pm7
- Początkujący
- Posty: 4
- Rejestracja: 28 czerwca 2019
- Reputacja: 14
Dziura w znanym portfelu Coinomi
Postautor: AdamV » piątek, 28 czerwca 2019, 01:55
Jak wyłapać, że coś się dzieje nie tak, zanim mój seed trafi do potencjalnego złodzieja?
AdamV
- Początkujący
- Posty: 95
- Rejestracja: 26 maja 2018
- Reputacja: 12
Dziura w znanym portfelu Coinomi
Postautor: tu83 » niedziela, 14 lipca 2019, 20:47
Chciałem właśnie na Coinomi, ale z tego wątku dowiedziałem się, że ten portfel nie jest otwartoźródłowy i na dodatek w wersji desktopowej jest/był poważny bug.
Czy poleci ktoś coś jako alternatywę dla MEW?
tu83
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 17 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).