Skradziono mi ETH z Ledger Nano S

[Dar0]

Myślę, że kolega zdążył już porównać adresy i ma pewność, że adres nie został pomylony.

Ja nie mowie o pomyłce tylko istnieje opcja ze wklejasz adres poprawnie, na kompie jest wyświetlony poprawny jedynie na ekraniku będzie widać ze haker dokonał podmiany, dlatego kluczowe jest sprawdzenie na portfelu sprzętowym.

[Yogi77]

Z tego co wiem, to kod źródłowy jest tam zamknięty.

Ledger jeśli się nie mylę (sorki) ma chip zamknięty, sam w sobie kod jest otwarty. Dodatkowo Ledger nie ma połączenia z internetem.

Ale po co mu dostęp do internetu ?

Ewentualny backdoor w portfelu sprzętowym mógłby działać chociażby tak:

gdy użytkownik próbuje wysłać środki i na adresie użytkownika jest więcej niż X, to podpisz transakcje dla wysyłki na adres Y (który jest od początku zapisany wewnątrz urządzenia i niezależny od adresu podanego przez użytkownika)

Nie potrzeba tu żadnego dostępu do sieci.

[Canis Lupus]

@Cezarysw
zapytam bo chcę się upewnić. Transakcja wyszła po tym jak zatwierdziłeś na ledger transakcję na inną kwotę i inny adres, tak?

[Cezarysw]

Canis Lupus
Dokładnie tak się stało.

[Canis Lupus]

W takim razie możemy wykluczyć przejęcie seeda.

Pozostają 2 możliwości.
1. Twoja pomyłka, transakcja wyszła w nocy może alkohol, narkotyki.
2. Szeroko pojęty hack lub błąd oprogramowania

updateowałeś ledger live od tamtej pory? Jaką masz/miałeś wtedy wersję?

[adiqq]

W takim razie możemy wykluczyć przejęcie seeda.

Pisałem o tym wcześniej. Gdyby to był seed, to wszystko byłoby wyczyszczone. A autor wątku wyraźnie pisał, że tylko ETH zniknęły, jak dodać do tego chwilę wczesniej wykonaną transakcję na giełdę...niestety, błąd ludzki wydaje się tutaj przyczyną.

[Cezarysw]

Jedyne o mam sobie do zarzucenia to "trzymanie" 99% "kapitału" na jednym koncie oraz fakt wykorzystania do przelewów komputera osobistego- używanego przez mnie codziennie po kilkanaście godzin , zamiast wykorzystać innego np z Linuxem.

[jpr]

Ja nie wykluczałbym całkiem kradziezy seeda. Mieszkasz sam czy z kims? To też trzeba niestety wziąc pod uwage. Współlokator niekoniecznie musi wyczyścić portfel do zera.

[maky]

podmieniony nr konta podczas wysyłania

Podmienić można "numer konta" do podpisania. Po podpisaniu nie jest możliwa modyfikacja.

[Canis Lupus]

@jpr jeśli lewa transakcja wychodzi dokładnie w tym samym momencie, w którym użytkownik robi przelew na inny adres to nie seed. Jakie jest prawdopodobieństwo, że złodziej dokładnie w tym samym momencie robi transkację?
@Cezarysw updateowałeś ledger live od tamtej pory? Jaką masz/miałeś wtedy wersję?

[maky]

Trochę nie czaję jak założyć dwa konta na Ledgerze na jednej aplikacji

Passphrase.

[Canis Lupus]

pisząc drugie konto miał na myśli używany przez niego drugi adres eth (który nie został wyczyszczony).

Spoiler:

tak myślę

[maky]

Można założyć kilka kont ETH(różne adresy) na jednym sprzęcie - zapewniam Cię.

To co podajesz to jedno "konto" z różnymi adresami. Jeżeli nie używasz passphrase i masz dwa adresy i tylko jeden z nich został wyczyszczony to seed nie został skompromitowany tylko wektorem ataku była transakcja.

Dodano po 1 minucie 25 sekundach:

Kluczowe jest w tym wszystkim czy sprawdzałeś te adres i kwotę na ekraniku ledgera bo teoretycznie jeśli nastąpił atak to na kompie mogla kwota i adres być prawidłowe kluczowy jest ekranik portfela.

Zapominasz jeszcze o jednym. Adres z ekranu komputera i ekraniku Ledgera mógł być ten sam. Po prostu wirus podmienił adres do przelewu na stronie.

Dodano po 1 minucie 6 sekundach:

Ja nie mowie o pomyłce tylko istnieje opcja ze wklejasz adres poprawnie, na kompie jest wyświetlony poprawny jedynie na ekraniku będzie widać ze haker dokonał podmiany, dlatego kluczowe jest sprawdzenie na portfelu sprzętowym.

Jak napisałem powyżej. Najłatwiej podmienić adres na www.

[Canis Lupus]

tylko wektorem ataku była transakcja

tak.
Ogólnie chłopaki z ledgera bogami nie są. Był już babol ze złym wyświetlaniem adresu na urządzeniu zauważony przez naszego użytkownika. Brakowało jednego znaku w wyświetlanym adresie na urządzeniu a transakcja szła zgodnie z ledger live. Chociaż w tym przypadku bardziej wygląda na jakiś hack a nie buga.
Tutaj wątek z błędem ledgera, chyba wersja 2.16.* to była.
viewtopic.php?f=5&t=34470&p=666670#p666670

Spoiler:

"Druga sprawa chce przelać LTC z ledger na giełdę i na ledger live adres jest dobry a sam ledger wyświetla mi adres bez jeden litery, trzeciej od końca litery jest brak na wyświetlaczu ledgera w stosunku do ledgere live gdzie jest poprawnie. O co chodzi kurde ? Bo się martwić zaczynam dlaczego tak się dzieje."

[maky]

@Cezarysw Po przeczytaniu wątku uważam,że:
- urządzenie nie zostało skompromitowane
- seed nie został skompromitowany
- wektorem ataku był komputer - podmiana adresu do przelewu na stronie internetowej
Prawdopodobieństwo powyższej diagnozy oceniam na 90%.

[Cezarysw]

@jpr jeśli lewa transakcja wychodzi dokładnie w tym samym momencie, w którym użytkownik robi przelew na inny adres to nie seed. Jakie jest prawdopodobieństwo, że złodziej dokładnie w tym samym momencie robi transkację?
@Cezarysw updateowałeś ledger live od tamtej pory? Jaką masz/miałeś wtedy wersję?

Tak robiłem update poprzez Ledger Live do wersji 1.6.1 długo przed tą ostatnią transakcją.

[Canis Lupus]

to wersja apki eth, a wersja ledger live?
settings>about>version?

[Dar0]

Zapominasz jeszcze o jednym. Adres z ekranu komputera i ekraniku Ledgera mógł być ten sam. Po prostu wirus podmienił adres do przelewu na stronie.

Rzeczywiście zapomniałem o takiej opcji ale tutaj kwota tez została zmieniona z tego co zrozumiałem wiec dalej to nie zbyt się klei.

[maky]

Rzeczywiście zapomniałem o takiej opcji ale tutaj kwota tez została zmieniona z tego co zrozumiałem wiec dalej to nie zbyt się klei.

Skoro można podmienić adres na www to można i kwotę.

Przypominam też, że przy osobach obracających takimi kwotami sensowne stają się spersonalizowane ataki.

[powered]

Zapominasz jeszcze o jednym. Adres z ekranu komputera i ekraniku Ledgera mógł być ten sam. Po prostu wirus podmienił adres do przelewu na stronie.

To jest najbardziej możliwe jeżeli chodzi o adres, ale jest jeszcze kwota przelewu. W którym miejscu została podmieniona kwota? Inną kwotę każdy zauważy.

@Cezarysw Jesteś górnikiem. Czy masz zainstalowany na komputerze program do zdalnego pulpitu? To też może być niebezpieczne.