Как стать автором
Обновить

Комментарии 50

И ведь биржи себя мнят как заменители банков, но не способны при этом распознать потенциально опасные действия на аккаунтах пользователей. Лично мой банк множество раз перезванивал для подтверждения того, что операции на моём счете проводятся мной. Просто так, для галочки. Без особых причин. Пока биржи не начнут относится к пользователям и их безопасности с должным вниманием - не быть крипте реальными деньгами.

просто прикрепленный к вам ваш сотрудник сбербанка решил подойти к задаче с терпением, с десяток обычных звонков, а на 11тый - "ваши деньги в опасности"

Ну — у меня обычно сначала блокировка карты прилетает а уже затем — надо звонить в банк, представлятся, объяснять что делалось и что да это мое и да хочу разблокировать.
При этом могут и спросить — операцию сами делали или как?
На что триггер в данном случае я подозреваю (операции с одинаковыми суммами одна за одной). При этом на то, что за мерчант — автоматике плевать.

Двоякая ситуация. А что если бы деньги слили в "обычный рынок"? Для хакера это вышло бы дороже, но гулять так гулять.

Не делать же после этого авторизацию для каждой заявки?

На спотовом и фьючерсном рынке хакер бы не смог получить эти средства никоим образом. Он мог бы их просто слить совершая не выгодные сделки.

Но вы меня подтолкнули к мысли, что должен быть счет на бинансе, средства с которого можно переводить только через авторизацию. Аналогия на холодный кошелек, только внутри самой биржи.

Много раз говорено, биржа это не кошелек. Не ваш карман. Сколько еще бирж должно соскамиться и сколько аккаунтов взломано?

хомякам какой смысл это объяснять? Им нужна дыра в которую спускать заимствованные средства :)

А где торговать фьючерсами?

Не все валюты поддерживаются холодными кошельками, а горячий кошелек ничем не лучше биржи. Про транзакции туда-сюда тоже стоит помнить.

При определенной сноровке - можно вполне получить слитые деньги. Все что нужно - инструмент с достаточно широким спредом. Злоумышленник ставит заявки по краям спреда, а со счета пострадавшего бьет в них. Повторяется до тех пор пока все деньги не перекочуют к злоумышленнику (минус комиссия биржи)

Для этого хакер должен купить этот актив на ту сумму которую собирается украсть (ибо он же должен что-то в твоем варианте продавать) и если ему повезет, что на популярной бирже он в стакане будет один (не возможно, на каждой монете по сотне ботов и твои лимитки будут стоять в очереди после них), то он сможет снять прибыль лишь в пределах спреда. Допустим купил за доллар, а продает за два. Ситуация и методика к счастью попросту не возможная к выполнению. Хотел бы ч посмотреть как ты вкинешь на левый аккаунт своих 200к, найдешь такой спред, пустой стакан и проявишь всемогущую сноровку.

Не знаю точно как работает Binance, но зачем быть впереди всех в очереди? Нельзя поставить «продам по миллиону», а потом купить с хакнутого аккаунта? Что произойдёт?

Те кто передо мной в стакане - ну пусть заберут свои копейки. Я сомневаюсь, что полный стакан для условного IdiotCoin содержит заявок на $200K.

Я тоже сомневаюсь, обычно там заявки на 5-10млн$.

Далеко ходить не нужно - прямо сейчас в TRU/RUB есть спред в 1.3% (40,16/39.61). И это не какое то мгновенное значение, состояние стабильное.

Соответственно можно получать (1.3 - комиссия)% за одну итерацию. Никто же не говорит что вся операция произойдет за один шаг. Просто каждый цикл покупки/продажи счет пострадавшего будет уменьшаться, а злоумышленника увеличиваться.

Да, это серьезный просчет в логике защиты у Бининса.

Но, за годы в этой теме я навидался всякого и имею мнение, что сама история выдумка.

Видел транзакции у пострадавшего. К сожалению не выдумка.

Тоже усомнился, но таки да - работает.

Набери в ютубе КРИПТОАНТОН.это у него аккаунт взломали и купили 2 NFT картины за 200к$

человек сам поставил троян, через удаленный доступ во время жизни активной сессии выводили, какие тут претензии к бинансу, 2фа вообще не обязанность компаний защищать кабинеты пользователей, бинанс шифрует трафик и содержит данные в безопасности, все остальное это обход защиты и уголовка по всем законодательствам стран мира

Включенный 2FA подразумевает что для перевода или вывода средств должно быть подтверждение, которого в данном случае попросту нету. Это просчёт политики безопасности самой биржи.

ну так а где тут вывод тут обмен, однового актива на другой, торговля, нфт, какая бы она не была

бинанс тут чист, но я не читал их политику

Ладно, обьясню иначе: представь свой банковский кабинет. За перевод средств с тебя спрашивают код. И представь что появляется в твоем банке магазин nft-картинок который ты даже не открывал и не знаешь что оно такое и как работает. (А ведь ни я, ни этот блогер этот раздел на бине даже не смотрели до этой истории. В мобильных приложениях его попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс).

Ты не знаешь ни что там, ни зачем оно надо. Ты просто пропустил эту инновацию и не в курсе как она функционирует. Ты знаешь, что у бинанса на аккаунте есть разные счета: спотовый, фьючерсный и несколько остальных, один из которых "p2p" средства с которого можно выслать напрямую другому пользователю только с подтверждением. Мало того, между этими счетами нужно специально переводить деньги с одного раздела на другой. И так, ты не используя нфт маркет просто не подозревал о том, что кто угодно может сделать картинку ценой в весь твой баланс и без всяких подтверждений купить это заполучив просто напросто твою сессию. Повторюсь: купить нфт - это тоже самое что просто перевести другому пользователю деньги. И для этого бинанс не создал даже отдельный внутренний кошелек, средства на который по логике безопасности должны были бы переводится с обычных счетов через 2фа. Потому-что повторяюсь: нфт маркет позволяет ставить любую цену и получать оплату в полном размере.

Сечешь суть проблемы? У тебя не спросили нужен ли тебе этот нфт маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от небдительности. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.

Поймать троян можно множеством спобосов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут тебя заразить через браузер просто при пассивном посещении любого сайта. Тебя могут заразить склейкой или используя уязвимости в твоей системе и ты попросту здесь не виноват. Ты просто был подключен к интернету и мог не выполнять никаких действий. Твои пароли могут украсть расширения из официального магазина браузера. Потому ты рассчитываешь на то, что главные действия с деньгами будут требовать подтверждения 2фа даже если тебя взломают. И биржа получает с тебя комиссионные за каждую твою сделку. Она работает не на "добром слове", а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?

я расписал как по закону ситуация выглядит, бинанс чист, все остальное это домыслы и фантазии

По закону рф их можно обвинить в "неосновательном обогащении". И обязательная верификация введённая на момент взлома ставит их по этому закону в проигрышное в суде положение. Юристы поймут. А по данному закону и с учётом верифа получатель денег обязательно должен быть определён. Либо суд может наложить запрет на работу биржи в стране и ей придется выбирать: прийти в суд или лишиться здешней аудитории.

А вот и нет, а вот и нельзя. Даже пояснять этот бред лень, юристы поймут.

Вот об применении из статьи в рбк:

Потерять криптовалюту можно также пользуясь услугами криптообменников. Есть риск, что трейдер укажет неверный адрес при переводе средств или же сервис присвоит себе активы клиента. Во втором случае вернуть деньги поможет закон, уверен Лялин. Однако для этого необходимо установить лицо, которому были перечислены средства.

«Криптообменники — это организации, оказывающие определенные услуги на условиях, установленных соответствующей офертой. В случае, если криптообменник не исполняет свои обязательства, то можно говорить о нарушении договора или о неосновательном обогащении. Если есть возможность установить получателя денежных средств или криптовалюты, то есть шансы для взыскания денежных средств в судебном порядке или в порядке возмещения ущерба в рамках уголовного дела», — объяснил юрист Лялин.

Казанцев добавил, что в этом случае, как и в ситуации с биржей, возможность возврата средств зависит от множества факторов. Например, оформлен ли обменник юридически, есть ли какие-то, хотя бы электронные, документы, реально ли установить ответственных лиц, есть ли у них имущество, на которое можно обратить взыскание и тому подобное.

Эксперт отметил, что теоретически вернуть средства можно и в первом случае — при ошибочном переводе средств на неверный адрес. Правовые механизмы для таких инцидентов предусмотрены в большинстве юрисдикций, в России это называется нормами о неосновательном обогащении.

«Основная сложность будет состоять в установлении ответственного лица. Если неизвестно, кому принадлежит кошелек — не к кому будет предъявлять претензии. Но, если владелец криптокошелька, который ошибочно получил средства, сам себя раскроет (в другом судебном процессе, например), то тогда шансы вернуть стоимость переведенной криптовалюты существуют. Для этого нужно обратиться с иском о возврате неосновательного обогащения к владельцу соответствующего кошелька», — рассказал Казанцев.

Даже на убогих меил ру ответах больше смысла, чем в этом бреде, не позорьтесь.
«Эксперт отметил, что теоретически вернуть средства можно и в первом случае — при ошибочном переводе средств на неверный адрес. »
А это уже чисто технически вопиющий бред.

Чисто технически вопиющий бред не понимать своё законодательство и позволять бирже кормить вас любыми фекалиями.

Сказочный… :)))

Binance - жулики. Поэтому не вернут. Может быть даже сами и украли. Я пробовал там торговать скриптом через api и вскоре заметил интересную вещь - время от времени они начинают выдавать через api всякий мусор. У меня мусор был вместо данных о балансе. Длилось это по полчаса в день, но за это время скрипт уходил в минус. Пришлось оттуда уйти.

А куда ушли, если не секрет?

А можно поподробнее про мусор? Из моих наблюдений наоборот у бинанса с апи все хорошо. А вот на каком нибудь хуоби стабильно можно попасть в моменты, когда позиция отсутствует (а на самом деле есть)

НЛО прилетело и опубликовало эту надпись здесь

это может быть и инсценировка взлома, просто шумиху поднять и давить на репутацию компании, уже были статьи как человек сам из одной локальной сети айпи писал про взлом, а на скриншотах даже не удосужился замаскировать сей факт, в чате переписка на русском шла, следы могли остаться пусть органы ищут, запросят телеграм и бинанс, если правда

это может и инсценировка самого трейдера: поднять вокруг себя шумиху, заодно увеличить подписчиков, организовать сбор денег для помощи. в этом мире может быть всё.

сама фраза "рекомендуем подписаться на канал" - уже вызывает отвращение. уже никуда без подписки, всем нужны мои лайки и подписки.

Еще со времен вебмани народ должен знать простую истину. Заходим в финансовые инструменты только с чистого устройства.

А то на одном ноутбуке и крипто биржи, и почта через веб клиент с включенным режимом запомнить клиента, и порнушка. Самое главное забыл, еще нужно левые ссылки по кликать из почты. И всякие гиковские проги поставить со сайтов файло помоек.

Я вас не понимаю. Вы работаете с распределёнными криптовалютами ...на централизованной бирже? Серьёзно? uniswap ваше всё. Никаких двухфакторых авторизаций. Смарт-контракт, чистый DiFi, полный контроль за происходящим, и без всяких NFT-котиков.

На унисвапе нет фьючерсов.

Это, кстати, интересно. Что мешает иметь такой контракт?

Вот честно, а зачем хранить такие суммы на самой бирже? Сделать холодный кошелек (метамаск с трезором) в Binance Smart Chain - не комильфо? Комиссии совсем копеечные внутри их блокчейна.

Так он же трейдер как мы поняли. Зачем держать капитал замороженным, он в обороте должен быть.

Ну вот и "обернул"...

Собственно вывод токенов с кошелька в BSC занял у меня порядка 2 минут и какую то смешную сумму в BNB (20 или 30 центов кажется в переводе, правда курс BNB когда был пониже), когда я тестил настройки. Из них полминуты на возню с трезором (пин код забыл и на бумажке искал).

Лучше выделить отдельный физический ноут с Ubuntu или ChromeOS для работы с финансами, криптой и DeFi.
Ledger тоже тоже обманывают. Можно почитать, как увели деньги с Metamask у основателя Nexus Mutual.
И лучше смотреть в сторону DEX с производными.
https://trade.dydx.exchange
https://perp.exchange/

P.S. возможно кто то анализирует "futures funding rates" на биржах?
Тыкните плиз в готовые скрипты или библиотеки.

Хотелось бы поподробнее про сам взлом. Не спец по безопасности, но хотелось бы разобраться. Заходили в украденный аккаунт все-таки с компьютера жертвы через ремоут или же украли куки, как-то достали айди сессии (насколько это вообще возможно?) и выполнили сессию у себя? Просто если каким-то образом вытащили айди сессии, то это конечно гигантская уязвимость самого бинанса ну и это скандал, так сказать.

К слову, не вижу ничего зазорного хранить деньги на биржах. Из онлайн банка никто не выводит деньги под матрац? А со стоковыми биржами как предложите поступать - тоже стрем хранить наверное все свои акции под централизованным аккаунтом? Для меня сейчас бинанс с двойной аутентификацией ничем не отличается от моего-онлайн банка. Ну ок, с НФТ маркетом конечно лажа и видимо тут надо править, но в остальном - не напрягает. Если же кто-то получил ремоут-доступ (мне казалось чтобы такое провернуть сегодня, надо сильно постараться), тут неважно, бинанс, дойче банк, стоковые акции - уведут все с незакрытого сайта.

Лично для меня холодные кошельки на данный момент гораздо опаснее, особенно новичкам, как мне - за полгода я под своим метамаск кошельком куда только не совался, от ДАО платформ, то мутных бриджей. Вот где можно проглядеть и отдать доступ индийским скаммерам.

При хранении средств на криптобирже/банке/бирже ключевой риск это не взлом "последней мили", а риск самого контрагента.

Если обанкротится банк - есть защита от АСВ, FDIC и прочих.

Если обанкротился брокер, а у вас были бумаги - они отделены и деньги вам вернут (правда в случае если брокеру было запрещено делать РЕПО с вашими бумагами)

А вот в случае банкротства криптобиржи никто никому ничего не должен

Народ все никак не может привыкнуть к тому что "не твои ключи - не твоя крипта".

И бинанс соскамиться, рано или поздно. Дело времени

Если чувак устанвоил себе троянчик, то возможна ситуация "твои ключи - уже не твои ключи"

От таких ситуаций защищают устройства с неизвлекаемыми ключами

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории