Комментарии 174
1,4 миллиарда и 1.4 миллиарда отличаются. Знаете как? 1.4 больше похож на 14 из-за чего Вас просто забайтили на данную статью.
что...?
Сумма 1.4 милиарда не солидна. Вот 14 миллиардов уже близко.
Видимо, Вы не автор статьи. Это, наверное, перевод. А при переводе, вот неожиданность, знаки чисел не переводятся согласно новому языку (региону). А так как точка по размерам меньше запятой, то число больше похоже на 14 млрд чем на 1 млрд и 400 миллионов.
ИИ-переводчики при таком подходе будут вводить в заблуждение и врать читателям.
по правде говоря, моё "что" скорее было не "что именно вы имеете в виду?", а "что за несусветная дичь?")
все точки в числах написаны мною собственноручно. каюсь, я даже и забыл, что в русском десятичный разделитель это запятая.
но идея, что кто-то осознанно будет использовать точку вместо запятой чтобы манипулировать людьми с плохим зрением, кажется мне даже менее реалистичной, чем теория плоской Земли)
Бред. И то и то валидные десятичный делитель, соответствующий ISO 80000-1:2022
Вот это шизотеория, давно такого не видел))
Зачем-то вспомнил мем про папича, 14.1 = 14 😁
"Это будет повторяться снова и снова" - Тейлор Монахан, ведущий специалист по безопасности криптокошелька MetaMask, предупреждает
/sarcasm
Никогда такого не было, и вот опять!
Да, да, взломали)
Как это работает? Такое вообще возможно? Им подсунули какой то фейк...они нажали и всё?
Насколько я понимаю, устроено всё так.
Там холодные кошельки с мультиподписью.
У каждого из N человек есть девайсина.
На одном из устройств создаётся черновик транзакции.
Дальше файл с черновиком транзакции должен пройти через холодный кошелёк каждого подписанта, и каждый её должен подписать.
В конце файл с подписанной всеми транзакцией переносится на устройтво с доступом к интернету, проверяются подписи, делается транзакция.
Скорее всего передача черновика транзакции происходит тупо через интернет, и данные транзакции отображаются в каком-то веб-интерфейсе.
Соответственно если получится атаковать этот веб-интерфейс, а также компьютер создающего транзакцию, то дело в шляпе. Сначала создаётся кривая транзакция (на кривую сумму и кривой счёт), после чего у всех подписантов в сломанном веб-интерфейсе отображается не содержимое подписываемой транзакции, а то, что вводил первый человек.
С современным вебом с тысячими завимостей под капотом представить себе атаку на веб-приложение легко. Про первую часть с атакой на этап создания транзакции не очень понятно. Но если там тоже веб...
вот именно! Не надо ломать стойкие криптоалгоритмы, и что-то такое ещё. ДОстаточно ломануть (условно) веб-сервер, отображающий веб-страничку, и дело в шляпе (ну, почти). И всё же, это наверняка не особо-то простая задача, так всё провернуть.
Холодный кошелек! Какие еще веб серверы?
Там мультиподпись. Нужно передать "файлик" через всех подписывающих. Там же наверняка "серьёзные" дяти, не через тележечку они его перекидывают? Значит, есть какой-то программный интерфейс для передачи его по кругу. И на этот интерфейс можно совершить атаку.
Может и не веб, конечно, но веб просится первым.
Зачем так сложно? Мультиподпись не нужна. Там всё через смарты, которые выполняют перевод только когда получена команда с нескольких кошельков. Несколько человек в удобное для них время независимо заходят на сайт safe.net и каждый даёт команду на перевод, как только нужно число набралось, смарты выполняет команду. Там у них все миллиарды и хранятся. Или вы не верите автора сайта safe.net? А основания для такого недоверия у вас какие?
Ну тогда атака Не кошелька, а самой транзакции. А что бы попать так пальцем в небо, нужно кое что знать, а точнее где и когда и кто)))
Отсюда вывод: кто то тихо скоммуниздил, а выдал за атаку хакеров)))
Именно так. И не обязательно это должен быть сайт, может просто какой-то секретный чатик (но так в сущности было бы даже надёжнее), но абсолютно достаточно хакнуть компьютер (или... (!) человека), который сообщает о исходном черновике транзакции для подписания.
>после чего у всех подписантов в сломанном веб-интерфейсе отображается не содержимое подписываемой транзакции, а то, что вводил первый человек.
Но дело в том, что в холодных кошельках есть примитивный, а где-то и не очень примитивный, экран. И на нем вы проверяете транзакцию. В web UI даже смотреть не надо, в слепую перекинули в холодный кошелек, в нем посмотрели и подписали, в этом смысл холодного кошелька.
Наркоманы они. Они для доступа к холодному кошельку использовали safe.net - сайт с набором контрактов, которые могут работать с мультиподписью.
Один из сотрудников для доступа к кошельку перешёл не настоящий сайт, а на фишинговый. После злоумышленники перехватили ключ и перенастроили смарт.
То есть там полное бинго с безопасностью.
У них есть 10500 миллиардов долларов, и они что?
1) Хранят их на чужих смарт-контрактах с управлением с чужого сайта! То есть полное доверие и к неизвестным авторам скриптов, и владельцам сайта, к администраторам сайта, веб дизайнерам и т.п.
2) Для доступа к кошелькам не используются доверенные компьютеры и доверенное окружение. Зайти рулить чужими миллиардами с личного компа/телефона? Не проблема! Все же знают, что на маках нет вирусов и троянов!
Это всё, что нужно знать про эти биржи.
откуда вы это берете? хоть какие то подтверждения этого есть?
Наркоманы они.
Миллениалы, сэр!
Действительно. Ведь у предыдущих поколений деньги не воровали, дурацких решений там тоже никто и никогда не принимал.
Ведь у предыдущих поколений деньги не воровали
Там нужно было в систему встроиться, и найти виновных было гораздо легче.
> После злоумышленники перехватили ключ и перенастроили смарт.
Вот это - полный бред, один ключ не может сделать ничего, в этом и идея Safe, их мультисиг - корпоративный стандарт уже много лет. Их открытый код аудируют и пытаются сломать много лет, все время безуспешно.
По результатам расследования не было найдено ничего свидетельствующего о том, что взлом хоть как-то связан с Safe или его интерфейсом, это то, что вчера вечером было известно из первых рук.
не было найдено ничего свидетельствующего о том, что взлом хоть как-то связан с Safe
и это не гарантирует что вины нет
p.s. кто сказал что safe тут в принципе замешан? есть подтверждение что владельцы сайта использовали веб сайт (буквально) для совершения операций со своим ХОЛОДНЫМ кошельком?
Там смарты нгастриваются.
И кстати вчера сразу после инцидента из вторых рук (где первые взять, я не знаю), было известно, что сотрудник биржи зашёл на имитирующую safe.net фишинговую страницу и выполнил транзакцию. После чего злоумышленники "перенастроили смарт-контракты и вывели средства" (как хотите, так и понимайте). На сколько я понимаю, это даже официально опубликовать хотели, но им разъяснили, что после такого объяснения им никто денег никто никогда больше не даст.
Представим, есть стальной забор с колючей проволокой и решеткой под напряжением и ворота тоже под напряжением и с пулеметчиками, можно еще ров с крокодилами добавить.
Но это не все! Есть метровый участок с вполне обычной калиткой, куда ходит курьер со жратвой, не страдать же ради безопасности. Есть еще красивая, пластмассово-современно выглядящая стена с тесла-пушками, хз кого она остановит, но для красоты есть. Есть участок, где только вал и на нем пасется стая бездомных собак.
А, и еще есть несколько мест, где канализация, газ, интернет заходят, там тоже как-то не очень под напряжением, не выключать же ради сантехника всю оборону.
Так, что-то графомания пошла.
Короче, ожидать, что в такой ситуации злоумышленник пойдет штурмовать ворота с воплем "банзай" и предсказуемо подохнет, как-то странно.
Универсальный веб и переусложенно-универсальное все, от железа до ОС до приклада и естесна веба, с безопасностью несовместимы. Это локально они могут быть надежны, но в долговременной перспективе по статистике все встает на свои места.
У пользователей (не только конечных) есть запрос на универсальное решение всего, они в этом требовании теперь на генеративные модели переключились.
Решения всего не существует, очевидно. Крч, у Азимова уже все было про технорелигии, и про ту, что создали в Основании, и про ту, что естественным образом сформировалась в Империи.
Веб уж точно как такое не планировался, он был гипертекстовой системой для документов.
Молчу. Графомания, изыди
Уточню.
Если кратко:
- есть контракт Safe в сети Эфира (собственно, "Холодный кошелёк" ByBit - этот и есть этот самый контракт), при создании которого указывается, какие кошельки должны приложить к транзакции свои подписи, чтобы транзакция для этого Safe-контракта стала валидной.
- есть ресурс (сайт Safe, но может быть и корпоративный), при помощи которого готовится транзакция и на который может зайти каждый подписан и прикрепить к этой транзакции свою подпись.
- после сбора необходимого количества подписей транзакция передаётся Safe-контракту, который проверяет её и если все необходимые подписи есть - выполняет.
Однако сам Safe-контракт является так называемым прокси-контарктом. Т.е. конкретный его функционал (implementation) может меняться. Прокси-контракт просто передаёт все запросы имплементации.
Насколько я вижу, хакер именно что подменил имплементацию Safe-контракта, сформировав необходимую транзакцию и получив все необходимые подписи. Новая имплементация (по адресу https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516) содержит всего пару методов - sweepETH и sweepERC20, которые не требуют мультиподписи
После замены имплементации хакер вызвал у safe-контракта эти методы для вывода токенов cmETH, stETH, mETH, ETH и (вот же не поленился!) аж 90 USDT :)
Что именно ломали? Скорее всего - сайт для формирования подписи. Чтобы на экране подписанты видели одну информацию, а подписывали - другую.
Похожим способом (через подмену контаркта) ломали Radiant Capital, но там убытки составили "всего" 50 миллионов.
Вы же понимаете степень идиотизма этих идиотов, которые используют смарт-контракт для мультиподписи, но при этом управление самим смарт-контрактом осуществляется с обычного кошелька и обычного компьютера! Это полнейший идиотизм и полное непонимание того, как работает безопасность и, что вообще нужно с этими смартами делать.
А делать нужно так: после изначального конфигурирования, ключ мастера просто уничтожается, а в случе необходимости перенастройки смарта (компрометация ключей доступа) просто создаётся новый смарт-контракт. А если по каким-то причинам ключ уничтожить нельзя (не должно быть таких причин), то он хранится у директора в самом большом и надёжном сейфе, какой вообще можно найти, и используется только с доверенного компьютера в присутствии директора, нескольких IT-специалистов и дядьки с пистолетом. Во всех остальных случаях толку от этих мультиподписей быть не может.
Не понял, а чём проблема мультиподписей? И в чём преимущество одной подписи по сравнению с несколькими?
Наоборот, пусть подпись директора будет одной из необходимых - так надежность повышается даже.
Плохо то, что как и в случае с Radiant - смена функционала Safe-контракта происходит мгновенно. По хорошему для такой важной функции должен быть timelock. Сутки, например. В течение которых команда уж точно должна сообразить, что что-то идёт не так.
Проблема не с мультиподписями, проблема с пониманием безопасности. Если добавить мультиподписи, но у прокси-контракта всё равно есть действительный "owner", то безопасней ничего не стало: как был единственный ключ критической точкой атаки, так и остался. Просто раньше это был ключ от кошелька, а теперь стал ключ владельца контракта.
А значит, нет и нормального анализа безопасности, а значит вся безопасность превращается в театр: "мы так делаем не потому, что так безопаснее, а потому, что все так делают".
А значит - клоуны и идиоты. ЧТД.
На сколько известно, сменили сам контракт, воспользовавшись ключом owner'а от прокси. А сложную логику таймаутов и мультиподписей в прокси тащить бесполезно, так как сама концепция proxy, это защита от ошибок в сложной логике. Хотя подтверждение смены прокси вторым владельцем можно было бы сделать, это не сложно. Я делал. Тоже компромиссно, но лучше чем ничего. Но это же нужно свой контракт писать, а это не модно - нужно чужое и хайповое использовать, так как оно совершенно точно надёжнее своего.
Но этим идиотам и такое не помогло бы, так как идиоты бы обе транзакции для прокси всё равно с одной машины бы слали или ссылочками на какой-нибудь модный сайт для управления бы обменялись. Модные сайты, это же круто.
Правильный путь: Нужно после проверки контракта или (так себе идея) вообще owner'а сбрасывать на невалидный адрес, или ключ уничтожать, или ключ глухо заваривать в металлическую коробку и прятать в самый большой сейф и совершенно абсолютно, без всяких исключений, чтобы ни случилось, никогда не доставать, кроме случая обнаружения уязвимости в контракте (для чего прокси и задумывался).
А если нужно сменить функционал контракта, то не старый контракт править, а создавать новый контракт, проверять его функционал, сбрасывать нового владельца, и только потом переводить средства со старого контракта на новый.
А если у прокси несколько владельцев и подтверждение смены контракта или мультиподпись, то эти ключи абсолютно никогда и ни при каких условиях не должны находится даже в одном здании. И использоваться должны только разными людьми с разных (всё равно доверенных) компьютеров. Но в любой случае смена контракта в таком ответственном прокси, это уже признак колоссальной лажи.
Только так и никак иначе.
Нету у прокси-контракта никакого выделенного owner, есть список владельцев с мультиподписью. Для смены реализации используется точно такая же процедура валидации как и для любой другой транзакции.
Во-первых, как заметил правильно mayorovp - нет никакого owner (владельца) у смарт-контракта Safe Wallet. Меняли имплементацию "холодного" кошелька ровно так же, как и все остальные операции через него - формированием необходимой транзакции и сбором необходимого числа подписей.
Во-вторых, "якобы сложная концепция" таймаутов и мультиподписей в прокси протащена уже давным-давно. TIMELOCK-контракты вполне себе успешно используются. Даже в более расширенном варианте - DAO.
В-третьих, существование таймаута на выполнение действительно помогло бы. Потому как заглянув банально в блокчейн можно было бы увидеть, что что-то не то по факту подписали.
В-четвёртых, я не могу понять, как ваше "ключи абсолютно никогда и ни при каких условиях не должны находится даже в одном здании" согласуется с вашим же "он хранится у директора в самом большом и надёжном сейфе". Вы уж определитесь...
Кстати да, странно конечно, что мультиподписной контракт изменяется одним ключом. И из истории не понял, как хакер получил доступ до приватного ключа чтобы изменить контракт, это же совсем идиотизм светить такого рода приватник в интернет.
Сначала создаётся кривая транзакция (на кривую сумму и кривой счёт), после чего у всех подписантов в сломанном веб-интерфейсе отображается не содержимое подписываемой транзакции, а то, что вводил первый человек.
Вот этот вывод не очень понятен. Можете пояснить, почему это должно работать именно так?
выглядит как самый глупый кидок)))
Самое интересное что с деньгами клиентов? Кто-то уже пробовал выводить не копейки, а побольше?
У меня там нет, сам проверить не могу.
что с деньгами клиентов?
Всплывут в одном из оффшоров.
деньги клиентов на Их кошельках, а не на чужом)
на бирже деньги клиентов лежат на кошельках биржи
Перевёл на биржу? Это временно деньги биржи, а у нее появились обязательства, которые она выполняет по желанию и возможности.
сразу видно что ты никогда не пользовался биржой, и даже не понимаешь что такое Холодный кошелек!
Так, я пользовался биржей. И знаю, что такое холодный кошелёк. Был у меня один такой, аппаратный, с экранчиком, году так в 2017.
Дык вот, какое дело - если мы говорим про одноранговую биржу, то там да, обычно всё на кошельках клиентов. Но вообще-то биржы бывают разные и кошельки могут быть и внутри биржи.
Чего тут не совсем понимают - это разные кошельки и все деньги всех пользователей не хранятся в одном месте. Это типа не единый счёт в банке.
Другой вопрос - не очень понятно, что это был за кошелёк и что там хранилось
Судя по тому что все пытаются успокоить клиентов, на их месте я бы выводил все средства
А что они должны говорить?
У нас крындздец, наверное закроемся после такого, сорян чебзики?
Сказали что все активы клиентов обеспечены (proof - https://www.bybit.com/app/user/proof-of-reserve). Описали как произошел взлом и текущую ситуацию с остальными кошельками. Не знаю что можно было сказать по-другому на их месте.
сорян перед кем??? Якобы "взломали" один чей то Холодный кошелек, а у клиентов их сбережения лежат на их кошельках!
Когда грабят банк вы же не снимаете деньги со своей карты)))
Когда грабят банк вы же не снимаете деньги со своей карты)))
Вы принесли в банк денежку, вам зачислили её на ваш счёт. Потом банк ограбили и унесли ту денежку. А потом вы пришли в банк получить наличку со счета. Что вам отдаст банк?
По идее что-то отдаст, у банка лицензия, страховки ( я ненастоящий вкладчик)
а криптобиржи страховка есть? а лицензией сыт не будешь
Страховка там на три копейки, так что именно "что-то".
Интересно, за что минусы. У нас АСВ обязательно страхует один миллион триста тысяч, дальше всё, можешь гулять. Учитывая инфляцию, эта сумма с момента своего утверждения стала, эм, не очень существенной.
РФ тут не показательный пример - в современной путинской России, как вы правильно указали, галопирующая инфляция, за которой не успевает страхование, в любой момент все вклады могут политическим решением заморозить, а любой банк могут "национализировать", так что система рисков в принципе совсем другая.
У нас все плохо, там все хорошо, ясно-понятно.
Но то что страховую сумму не повышают давно это вы правы, сейчас уже даже чтоб машину купить на 2 банка разбивать надо как минимум, не удобно
FDIC в США страхует 250 тысяч:
Eligible bank accounts are insured up to $250,000 for principal and interest.
Собсна, когда подох SVB, как раз шла вонь на эту тему. Мол, страховка никак не поможет, что теперь делать.
Regulatory filings from December 2022 estimated that more than 85% of deposits were uninsured.
On March 17, 2023, Silicon Valley Bank's former parent company, SVB Financial Group, filed for Chapter 11 bankruptcy.
Что касается биржи из статьи, то я свечку не держал, но готов поставить прямо сейчас сто баксов на то, что никакой страховки ни на миллиард, ни даже скорее всего на 100 миллионов у них нет.
Интересно, за что минусы.
За то, что у них тут уютный маня-мирок с розовыми единорогами и всё такое — а Вы в него припёрлись с суровой реальностью!
1400000 рублей и только вклады.
Счета юрлиц (и ИП) не страхуются
Страхуются.
До 2019-го года, если кредитная организация теряла лицензию, компенсации выплачивались только ИП. Компаниям было необходимо обращаться в суд. После вступления в силу № 322-ФЗ, который внес поправки в закон о страховании вкладов, к ИП присоединились представители малого бизнеса.
Из FAQ "Райффайзен Банка" для (потенциальных) клиентов – юридических лиц и индивидуальных предпринимателей.
FDIC страхует до 250 тысяч долларов на одного вкладчика в одном банке. Возможно для вас суммы типа 25 млн рублей это "три копейки", но для большинств людей даже в США это серьезные деньги.
Это смотря какой был договор. Могут и ничего не отдать. Если вы просто арендовали ячейку, например. Без страховки содержимого.
Поэтому во всём мире давно перешли на кредитные карты и советуют пользоваться ими. Банк куда трепетнее относится к своим собственным деньгам, там и шанс их исчезновения ниже, и шанс возвращения выше.
У банков в районе 10% нал, для кассовых услуг. Он закажет у ЦБ новый нал, а украденные средства пойдет через страховщика возмещать. В крипте по сравнению с банками тотальный дикий запад.
Вы действительно думаете что когда кладете деньги в банк, то они там физически где-то лежат и их можно унести?
Я точно знаю что не лежат. Как и у криптобирж. Но когда банк эти деньги кому то другому отдал, то кто то другой сделал у себя запись что должен банку. Когда вы пришли за наличкой, банк сходил к тому другому за наличкой и отдал вам. А когда у банка украли деньги, то идти некуда. Понятно что у банка огромное количество клиентов и постоянный поток денег и вам отдадут наличку тех, кто только что её принес в кассу.
Я привел максимально простую модель. Человек вообще не понимает что его кошелек на бирже и его кошелек на его компе(флешке) это не совсем то же самое.
Нет, это не так работает. Количество налички банка на порядок меньше его ликвидности, берет он ее у ЦБ и то, что вы ему отдаете он тоже инкассирует в ЦБ по большей части. Да, у банка может быть проблема с ликвидностью, да может быть bank run, но для этого и существуют регуляции типа базель III эти риски не относятся к физическому ограблению отделения.
Я привел максимально простую модель.
Нет, вы привели неправильную модель. Никто не требует от вас знаний как устроенна банковская система, но зачем писать о том, что не находит в сфере ваших компетенций?
Если бы мой банк ограбили на миллиард, я бы снял. Ну его нафиг, проверять что будет дальше.
ты видимо из тех кто держит Рубли под подушкой 🤭
что с деньгами клиентов?
А разве ETH это деньги?
Я только что вывел 4000 usdt. Основные сети вывода (ERC20, TRC20, BEP20, SOL) недоступны до сих пор, но выводы работают. Не знаю что на счет более крупных выводов
А при чем здесь деньги клиентов? У клиентов свои кошельки, а тут кто то "лоханулся" и отправил со своей флешки "кому то" свой прокисшый кефир)))
Биржа подразумевает что деньги лежат на ней. Иначе неудобно, да и вообще смысла нет.
на бирже ничего не лежит. Биржа это торговая площадка. Крипта лежит в кошельке, и у каждого кошелек свой!
Нет. Тогда биржа работать не будет. На binance, например, ввод денег на биржу - это перевод на ее счет.
Я так и понял, что ты никогда не пользовался биржей, и уж тем более не понимаешь что такое Холодный кошелек!
Боже. Вы сами биржей типа Bybit или Binance то хоть раз пользовались? Понимаете для чего она нужна и как работает? И причем тут холодный кошелек? У пользователя вообще может его и не быть. Он может хранить деньги в горячем кошельке или непосредственно на бирже. Впрочем, для осуществления переводов он и так вносит деньги на биржу.
Я думаю, что человек выше имеет в виду, что адрес, на который вы отправляете btc,usdt,etc, когда заводите на биржу не должен обязательно быть доступен для управления условному серверу биржи. Сертификат адреса вполне может храниться на холодном кошельке, а данные о том, сколько вам поступило денег берутся сервером из блокчейна. Серверу нужно только знать, что поступающая на этот адрес крипта должна зачисляться на ваш счет в бирже.
Если вы посмотрите, то все средства, поступающие на адреса, выданные клиентам, практически сразу "сдуваются" на горячий кошелёк биржи. Там может быть задержка разве что для мелких сумм (которые переводить сразу может быть затратно, если сеть достаточно "дорогая").
А так - все средства клиентов переводятся сначала на "горячий" кошелёк (с него же, кстати, они и выводятся, когда клиенты делают withdraw), а при необходимости - и на "холодный".
Мальчик, я бы порекомендовал тебе не делать таких скоропалительных и громких заявлений, особенно, если ты не сильно разбираешься в работе CEX.
То, что тебе биржа выдала для пополнения некий адрес - не делает его твоим. Все поступающие на этот адрес средства почти сразу переводятся самой биржей на её "горячий кошелёк". Во многих блокчейн-эксплорерах он даже так и помечается.
Да, есть DEX-биржи (ну как биржи... по большей части - обменник) типа Uniswap, обмен на которых идёт непосредственно с кошелька пользователя, но ByBit к ним не относится.
Торги со своего кошелька это п2п сделки, внебиржевые со всем последующим риском. Биржевые торги с биржевого аккаунта
Что такое биржевой аккаунт? Вот у меня есть предположим 1 eth на счету bybit. Где эта крипта на самом хранится?
Скорее всего - в горячем кошельке биржи.
На горячем кошельке бирже. И нет, это не ваш личный кошелек. Если бы торги на бирже происходили с кошелька на кошелек, то стоимость транзакций перекрывала бы спред, не говоря уже о низкой скорости работы.
Да я и не говорю, что торги с кошелька на кошелек (хотя в случае с polymarket например вроде всё on-chain, есть и криптобиржи вроде такие? Не особо вникал). Я скорее хотел указать, что кошелек с криптой, и биржевой аккаунт - это разные вещи и кошелек может быть холодным. Резонно предположить что на горячем кошельке только часть крипты хранится, чтобы было достаточно обеспечить прогнозируемый объем операций вывода.
Вывел сейчас эквивалент 1k норм прошло
не дает вывести монеты ни переводом ни P2P.
Сегогдя Марко Рубио сказал что он не фанат сами знаете кого, но деваться некуда, надо искать точки соприкосновения..... и на байбите от кого то убыло. Лучше коммент не смог придумать.
В общем, час назад (16:44 CET) CEO Bybit Ben Zout сообщил о взломе холодного кошелька их биржи. В блокчейн-эксплорере можно увидеть транзакцию на $1.4 миллиарда долларов, которые были перемещены в пользу неизвестного, после чего были разосланы на десятки кошельков блоками по 10,000 ETH (22 миллиона долларов).
Взлом Холодного кошелька??? 🧐
Или всё таки "развод" владельца и перемещение с Холодного кошелька в пользу неизвестного??? 🧐
Как можно вообще взломать Флешку Не подключенную к ПК??? 🧐
UI фишинг холодный кошелек смарткантракт, такие слова не могут быть в одном предложении, если только кто-то не п..дит.
Почему нет? Холодный кошелёк представлен смартконтрактом, для доступа к которому используется UI веб-сайта, через фишинг этого UI и произошла подмена подписываемой транзакции.
Холодный кошелёк может быть представлен только отключенным от интернета устройством.
Смартконтракт, который по построению всегда онлайн, никак не может считаться холодным кошельком. А уж смартконтракт с UI, лежащим на веб-сайте - тем более.
С отключённым устройством вы зависите от одного человека, полюс риски утери ключа. А смарт позволяет сделать мультиподпись, когда транзакцию должны подтвердить несколько человек.
Нет никакого принципиального отличия External owned accounts (кошелёк с приватным ключом) от смарт-контракта. И тот и другой постоянно присутствуют в сети. И к тому и к другому есть доступ у того (тех), кто владеет приватным ключом (ключами). Второй даже более надежён, поскольку для несанкционированного доступа к нему надо приложить больше усилий.
К слову, даже у EOA - кошельков есть UI. Например, программы кошелька. И его тоже можно подделать.
А может кто то просто написать, как их взломали? Просто фишинг? Не разбираюсь в смарт контрактах
Казалось бы, при чём тут освобождение Винника?
Если бы я был параноиком, я бы подумал, что под этой маской выводят активы BTC-E и WEX с "конфискованных" в своё время полицией серверов.
А зачем на биржах требуется хранить средства клиентов на кошельке биржы? Почему нельзя делать транзакции сразу между кошельками клиентов?
Транзакции стоят gas, а внутри биржи можно гонять деньги без комиссий и газа.
так денег не заработать
Зачем тогда биржа?
Кстати и на нормальных биржах примерно также работает
Зачем тогда биржа?
Потому что хомячкам влом устанавливать клиент и чему-то там учиться — пусть добрый дядя за них сделает, что может пойти не так?
Потому что криптобирже нужна гарантия, что продав через биржу крипту, вы эту самую крипту ей передадите. И единственная возможная гарантия тут - это передача крипты бирже заранее.
У меня метамск взломали месяц назад. Тоже деньги украли.
Сказочники )
вредоносное изменение логики смарт-контракта
Как блин можно "изменить логику" контракта, задеплоенного в блокчейн? )
Полагаю читать надо "проорали с дыр в логике кривого контракта и решили приколоться" )
ну нас самом деле можно, в определенных случаях (не факт что тут так и было)
есть же паттерн прокси смарт-контрактов:
https://habr.com/ru/articles/709642/
https://habr.com/ru/articles/714938/
Почитайте про proxy-контракты. Там логика работы может меняться при необходимости.
Вопрос кем меняться? Не кем угодно ведь. Для этого надо быть владельцем контракта, или его админом или как то иначе обладать ролью, предусмотренной логикой контракта, которая позволит это сделать.
Изначально прокси контракты появились из-за того, что разработка на блокчейне была дубовая, не позволявшая дорабатывать логику, а суть прокси просто в делегировании вызовов другому контракту по заданному адресу, который может заменять, ... барабанная дробь, владелец (админ, мейнтейнер, сообщество при помощи мультиподписи там, смотря как запилено) прокси контракта! В любом случае невозможно взломать контракт, можно только получить ключи, при помощи которых потом воспользоваться его штатной логикой, а значит взломали не контракт, а людей.
Там же в любом случае всё работает так:
состояние1 -(tx1)-> состояние2 -(tx2)-> состояние3...
И все tx должны быть валидно подписаны, что бы быть включенными в блок. Не важно, прокси контракты, или нет, если нет у тебя нужных приватников для подписи транзакций, ты ни как логику контракта не изменишь, разве что если в самом контракте есть логика, которая позволяет это делать кому угодно.
Они теперь умничают, логику контракта им изменили, а по факту вся соль во фразе "подменяли интерфейс кошельков ", что попродвинутее конечно, чем "алё, вас беспокоит служба безопасности банка....", или "В Африке умер Ваш родственник, наследство оставил...", но суть примерно такая, кто им доктор что допустили себе малварь на девайсы с которых такие транзакции подписывать можно?
Ну, или это сделал кто то, у кого такой доступ был
Проблема тут не только (и даже не столько) в том, что логика смарт-контракта может изменяться. Хотя, это, конечно, кошмар.
Проблема в том, что для кошелька, контролирующего огромные суммы денег - все изменения происходят мгновенно. Чуть ошибся - и ты банкрот.
Считаю, что на все действия, даже подкреплённые подписями, должен быть установлен таймлок - период, в течение которого действие не выполняется и может быть отменено. Даже банальный перевод на горячий кошелёк.
Куда только криптополиция смотрит?
Тем временем аналитическая компания Arkham Intelligence объявила награду за поимку злоумышленника.
Злоумышленник объявлен экскомьюникадо?
В теории, если известны первичные кошельки на которые была выведена крипта, то можно строить карту транзакций в реальном времени, и отслеживать в каком виде в данный момент находится похищенное. И показывать это на публичном сайте. И систему информирования можно создать. Было бы желание у крипто-консорциума.
Мдааа, почитал комменты и понял, что тут 99% писак никогда не пользовали криптобиржей, но зато прям расписывают свои псевдоидеи о взломе Холодного кошелька 🤭 а прочитать что такое Холодный кошелек им вообще лениво.
"Кто то свой" тупо скоммуниздил с внутреннего Кошелька Байбита (не с клиентского), рассказал что это хакеры, а детишки теперь, делая умный вид, пишут свои фантазии про фишинг, влом кошелька, деньги клиентов и подобную чушь.
Кстати, тут же на Хабре уже выложена подробная статья, про это "якобы" атаку
https://habr.com/ru/news/884822/
Так что данный пост можно считать закрытым и неуместным!!!
Я от всего этого далёк, объясните. Сперва людям создали распределённые виртуальные деньги, чтобы каждый владел кошельком, тогда люди собрались и организовали банк, чтобы всё делать централизованно?
Не банк, а биржи, чтобы торговать криптой более удобно и надёжно (ну, в теории).
Это как с фрилансом: вы можете работать напрямую с заказчиками без всяких фриланс-бирж, но тогда резко возрастает вероятность кидка. Фриланс-биржи же дают некоторые гарантии честности сделки. Вот с криптой примерно так же, есть полностью децентрализованная торговля (DeFi), но это полностью на свой страх и риск.
На централизованных биржах намного меньше издержки при торговле, т.к. нет платы за gas, взымаемой при непосредственных транзакциях между кошельками.
А смс-ка что, не приходит? Ну в смысле..
Интересно, теперь ждем форка etherium с откаченной транзакцией?
А ещё интересная мысль, может они сами куда-то вывели на время, за-то заполонили всё инфо пространство - хорошая реклама)
Рассказать всему миру что мы потеряли полтора миллиарда денег это хорошая реклама? Ну тут вопросик что такое "хорошая". Если говорить про охват аудитории, то да, реклама что надо. Узнают даже те, кто про криптовалюты и не знал ничего, полтора миллиарда сумма такая ,что новость будут очень много где озвучивать.
Но вот эффект от такой рекламы будет очень плохой для конкретной биржи(отток существующих клиентов и большие проблемы с привлечением новых) и не очень хороший для всех остальных бирж(чуть больше недоверия к надёжности).
Как только человек узнал что его биржа потеряла полтора миллиарда, самое практичное это моментально вывести оттуда все возможные деньги. Это если на бирже условных три вкладчика и они могут между собой договориться что типа мы втроём доверяем бирже, мы видим что всё не очень хорошо, но денег достаточно, тогда эти три вкладчика не побегут. А тут огромное количество вкладчиков, не побежишь ты, так побегут тысяча соседей. Они успеют вывести деньги, а ты останешься со своим доверием. Наверное ещё нормальные варианты если какие то крупные аудиторские фирмы подтвердят что денег у биржи достаточно или какие-то крупные банки поручатся за возврат денег, тогда нет большого смысла бежать. С дивана примерно так всё видится)
Реклама, в которой показывают дыры в безопасности и потерю значительной части средств обеспечения - это очень сомнительная реклама)
Ну да, новые клиенты вряд ли повалят после такой "рекламы" :)
при этом озвучивают что это копейки для них и у них денег ещё больше. И типа вывозят факапы такие на изи.
при этом озвучивают что это копейки для них и у них денег ещё больше. И типа вывозят факапы такие на изи.
Классика же:
Зачем нам заказывают рекламу?
Чтобы товар продать.
Товар продать – пожалуйста, но это в Америке. А у нас зачем?
Чтобы крутым себя почувствовать.
Крутым – да, это года три назад было. Теперь другое. Клиент хочет показать крутым дядькам, которые очень внимательно смотрят за происходящим на экране и в жизни тоже, что он может взять миллион долларов и вот так, не задумываясь, швырнуть в мусорное ведро.
Только заменить миллион на миллиард, выросшие аппетиты и долларовая инфляция, понимаешь ли.
Вот "года три назад было" даже не заретушировали :]
Ну да, новые клиенты вряд ли повалят после такой "рекламы" :)
Может это "реклама" для старых клиентов?
А если не будут брать - отключим газ
...у того тоже какие нибудь могучие анонимы, через уязвимость в IE6 и кнопочную нокию уборщицы, хакнут их супералгоритмы, 100500-битные чейны и офшор-оффлайн-независимые хранилища с честно скоммунизженным.
«Мы пережили один из самых сложных моментов в истории криптоиндустрии и доказали, что стоим выше злоумышленников», — написал глава биржи Бен Чжоу.
UPD 3: Сегодня в 19:09 UTC аналитик @zachxbt представил доказательства того, что за атакой на Bybit стоит группировка LAZARUS.
Ну тут и назревает вопрос: А если это всё же каким либо образом "Лазари", то мы стали свидетелями того как они просто увеличили казн... скоммуниздили 1.4 миллиарда $, тем самым перепрыгнув атаку "Ронинов" 2022 года более чем в 2 раза?
От этого вопроса идёт другой: А кто следующий?
Учитывая то что останавливать их напрямую никто не собирается, особенно искать их под прицелом ядерных боеголовок с флагом своей страны, а ситуация в мире стабильнее не становиться. Ладно если очередная "криптильня" будет в жертвах, а если найдут путь в серьёзную игру? Особенно учитывая цифры "идущего к ним" бюджета.
В его отчете содержится детальный анализ тестовых транзакций и связанных кошельков, использованных перед взломом, а также множественные графы взаимосвязей улик и анализ временных меток.
Простите, не удержался
Аффтар, что он там продает??? На дексах ему ликвы не хватит, а на цексах никто не позволит)))
Цитата ваша (на самом деле это перевод Arkham): "представил доказательства того, что за атакой на Bybit стоит группировка LAZARUS", - я же правильно понимаю, что вы смогли изучить эти доказательства до того, как сделать отсылку на них?
Крипта абсолютно анонимна, это здорово, говорили они.
И вот почему-то в спорах с криптоадептами лично мне аргумент анонимности казался весьма сомнительным.
Если у вас не приболевшее на всю голову государство, то в общем случае анонима деанонимизируют, отшлепают, краденое вернут, счета отмотают назад, статус кво восстановят и это правильно.
Берем текущий пример с криптой. Украли, бывает. К кому апеллировать? К триумвирату каких-то кренделей с сетевыми никами, замутивших биржу? Как искать вора? Как вернуть украденное? Кто будет этим заниматься?
Нафига нужна такая фича, больше похожая на родовую травму? Менее глобальный случай - пострадал лично ваш кошель. Те же проблемы, только в профиль
Всем привет. Байбит после 22 февраля заблочил вывод крипты. У кого есть такая же проблема? Подскажите как быть? Давайте кооперироваться!
1.4 миллиарда долларов: час назад Bybit сообщила о взломе. Это крупнейшая кража в истории криптовалют [UPD 3]