Криптовалюта и хакеры

Самые лучшие и честные брокеры бинарных опционов в 2020 году:
  • Бинариум
    Бинариум

    1 место! Лидер на рынке — самый честный брокер бинарных опционов!
    Идеально для новичков — предоставляется бесплатное онлайн-обучение и демо-счет!
    Получите бонус за регистрацию по ссылке:

10 шагов, которые защитят вашу криптовалюту от хакеров

Ежедневно взламываются криптокошельки и уже украдено криптовалюты на сотни миллионов долларов. Существует огромное множество кошельков для криптовалют, сегодня речь пойдет хранении криптовалют на аппаратном кошельке Ledger Nano S.

По данным отчета The Genesis Block, с 2020 года почти 35% из 14 млн. биткоинов не были потрачены или недоступны. Из этого можно сделать вывод, что 4,9 млн. BTC были утеряны из-за небрежности со стороны владельца.

Если хакер получит доступ к криптокошельку и украдет криптовалюту, транзакцию нельзя будет отменить, а вычислить хакера будет крайне сложно. Также криптовалюты хранятся на кошельках, ID которых нельзя восстановить.

Поэтому обязательно нужно защитить кошелек, на котором хранятся криптовалюты. Учитывая затраты, это руководство подойдет владельцам криптовалют на сумму более $10 000.

1. Купите 2 криптокошелька Ledger Nano S;

2. Установите 1Password и оформите подписку на тарифный план «семейный» для автоматической синхронизации и хранения паролей в облаке (это поможет не потерять доступ к аккаунтам);

3. Установите приложение Authy на двух устройствах (желательно на мобильном телефоне и компьютере) и убедитесь, что включена двухфакторная авторизация и одноразовые пароли;

4. Создайте пароль на 1Password. Он должен быть надежным. Самый надежный пароль состоит из длинных предложений или случайно сгенерированный;

Рейтинг надежности площадок для торговли бинарных опционов:
  • Бинариум
    Бинариум

    1 место! Лидер на рынке — самый честный брокер бинарных опционов!
    Идеально для новичков — предоставляется бесплатное онлайн-обучение и демо-счет!
    Получите бонус за регистрацию по ссылке:

5. Создайте пароль для приложения Authy. Никогда не используйте одинаковые пароли на нескольких сайтах или приложениях;

6. Если вы занимаетесь торговлей криптовалютами на биржах, создайте специальный email для криптобирж и надежный пароль к нему на 1Password. Также включите двухфакторную авторизацию при помощи одноразовых паролей и сохраните ключ seed в приложении Authy;

Не используйте Google Authenticator (в отличии от Authy, Google Authenticator не будет делать резервную копию seed-ключей)

Не используйте двухфакторную авторизацию по SMS

7. Зарегистрируйте аккаунты на криптобиржах используя ранее созданный email. Создайте для каждого аккаунта надежный пароль и сохраните его на 1Password. Включите двухфакторную авторизацию при помощи одноразовых паролей и сохраните ключ seed в приложении Authy;

Настройка Ledger Nano S

8. Настройте аппаратный кошелек Ledger Nano S и защитите пароль для восстановления доступа следующим образом:

Разделите ваш пароль, состоящий из 24 слов на 2 части;

Зашифруйте их и сохраните ключи шифрования на 1Password;

Заведите аккаунты на 4 сервисах, которые поддерживают двухфакторную авторизацию, например на Google Drive, AWS S3, GitHub и Dropbox;

Включите двухфакторную авторизацию при помощи одноразового пароля для доступа к этим сервисам и сохраните ключи seed в приложении Authy;

Одну часть пароля храните на 2х сервисах, а другую часть на других 2х.

9. Попробуйте восстановить доступ к кошельку, чтобы убедиться что все работает корректно;

10. Восстановите доступ ко второму кошельку используя тот же пароль. Второй кошелек будет точной копией первого в случае его потери.

Храните криптовалюту только на аппаратном кошельке, а не на криптобиржах и пользуйтесь им когда это действительно необходимо. Эти рекомендации помогут защитить криптовалюту от хакеров.

Дубликаты не найдены

Реально, у кого не малые деньги в крипте так и делают, возможно не всё из перечисленного, но как подчеркнул автор от сумм зависит! Это обычная безопасность.
Для себя почерпнул нового! Спасибо!

>>защитят вашу криптовалюту от хакеров

>>Купите
>>Установите на все

>>хранения паролей в облаке

>>Создайте пароль на [где то в стеи]
Закрыл, не интересно

Хуй кто взломает.

прикольный пароль, а какой у тебя адрес кошелька? тут соседский кот спрашивает..

Майнинговая ферма воровала на электричестве по 200 000 р. в месяц два года подряд в Москве в ресторане

«Огромная майнинговая ферма ценой в миллионы оказалась у нас в связи с тем, что два сотрудника договорились между собой и решили продавать-покупать биткоины и осуществлять это на рабочем месте.

То есть в подвальном помещении, где это можно сделать тайком, закрыть от постороннего глаза. Причем один из сотрудников 10 лет у меня работает, другой — пять. Электрик и IT. Жесткие диски, которые были при этой ферме, исходя из их данных, включены с 2020 года. Работала она почти до августа 2020 года. Это фактически подтверждается данными электросчетчика и нашей бухгалтерии. До включения этой фермы мы платили 500 тысяч в месяц, а после включения — 700», — рассказал «360» владелец ресторана Армен Арутюнян.

По словам ресторатора, ферму обнаружила его дочь. Когда бухгалтерия пожаловалась на перерасход электроэнергии, девушка стала искать возможный источник перерасхода. И в подвале, случайно отодвинув гипсокартонную стену, она нашла майнинговую ферму.

(по ссылке выше есть короткий видос, сюда не вставляется)

Как рассказал адвокат хозяина ресторана Евгений Скрипилев, ферма была установлена тайно, конспиративно. Предприятие ежемесячно терпело убытки на 200 тысяч рублей в месяц, пока ферма генерировала криптовалюту.

«Лефортовским отделением полиции изъята майнинговая ферма. В настоящее время мы ожидаем привлечения двух этих сотрудников уголовной ответственности», — поделился юрист.

По его словам, полиция уже четырежды отказывала в возбуждении уголовного дела. Однако прокуратура на стороне потерпевшего, и в результате решения об отказе были отменены. Теперь адвокат ожидает, что виновные будут наказаны, а владелец ресторана признан потерпевшим.

А вот один из участников конфликта все отрицает.

«Я ничего не устанавливал. Если вы получили информацию от хозяина ресторана Арутюняна, то вы со временем поймете, что он не совсем адекватный человек. Очень негативно начал эту тему развивать и хочет кого-то привлечь к ответственности уголовной. Он завалил жалобами прокуратуру, привел кучу адвокатов и все равно состава уголовного дела никто не нашел. Ему обидно, что ферму ему поставили», — объяснил IT-специалист.

В этой новости прекрасно всё!

— и аргументация айтишника («ему обидно, что ферму ему поставили»). а что электричество воровали на огромную сумму — это как? он от радости должен подпрыгивать?

— если воровали электричество по 200 тысяч в месяц целых два года — куда смотрит бухгалтерия, внутренний аудит? может там получше надо проверить все? может там искусственным освещением петрушку с укропом для ресторана выращивают без лицензии?

— ну и конечно удивили счета за электричество для ресторана. Пол-миллиона только за электричество, а там плюсом коммуналка и аренда либо расходы на налог на недвижимость. Не говоря уже о прочем. Сколько же он должен приносить, чтобы окупать весь этот праздник, чтобы быть рентабельным и годами не замечать воровство только электричества, не говоря уже о прочем?

Впечатляет

Крупнейшая в России майнинг-ферма в Братске, примерно в 5 км от Братской ГЭС. На площади 15,5 тысяч кв.м работает около 20 тысяч устройств общей мощностью более 25 МВт. Туда попали журналисты Bloomberg и пофоткали все изнутри.

Погодите-ка!

Трамп: биткоин не деньги, он подкреплён воздухом.
федеральный резерв:

В Китае предлагают запретить майнинг криптовалют, потому что это глупая трата энергии

Китайская национальная комиссия по развитию и реформе опубликовала документ, в котором помимо всего прочего предлагается запретить майнинг как «нежелательную» экономическую деятельность. Чиновники считают, что добыча криптовалют — это пустая трата ценных энергоресурсов. До 7 мая это предложение будет открыто для общественного обсуждения в Китае.

Согласно данным газеты South China Morning Post, добытчики криптовалюты облюбовали зависимые от угля регионы Синьцзян и Внутреннюю Монголию. Они выбирают их из-за довольно дешевого электричества. При этом 74% всех мощностей для криптомайнинга сосредоточено именно в Китае. А во всем мире загрязнения, связанные с добычей криптовалют, по разным оценкам, достигают от 3 до 5 млн тонн углекислого газа.

Согласно данным, опубликованным в журнале ScienceDirect, лишь майнинг криптовалюты Monero потребовал больше 30 Гигаватт-часов. Что в условиях Китая примерно равно 19 тысячам тонн выброшенного в атмосферу углекислого газа в период с апреля по декабрь 2020 года.

Биткоин поднялся до $3700

Биткоин вступил в фазу самого продолжительного падения в своей истории — 411 дней медвежьего тренда.

Биткоин сейчас переживает самый продолжительный медвежий тренд в своей 10-летней истории.

Главная мировая криптовалюта достигла своего пика 17 декабря 2020 года — $19 767, а затем начала свое затяжное падение, которое продолжается по сей день.

Сегодня биткоин движется в глобальном медвежьем направлении 411-ый день к ряду, что превосходит подобный показатель предыдущего самого длительного снижения в период с 2020 по 2020 года — тогда нисходящий тренд сохранялся 410 дней подряд.

Первый наиболее существенный нисходящий тренд длился 163 дня в 2020 году.

Впрочем, если рассматривать вопрос с точки зрения падения курса в процентном соотношении, то можно увидеть, что нынешнее снижение — не самое рекордное, несмотря на столь длительный срок.

В 2020 году биткоин обрушился на 93% (с $31 до $2) во время глобального медвежьего тренда и на 86% в 2020 гг. В то время, как сейчас фиксируем 82% потерь.

AMD: майнеры больше никому не нужны

Спрос на устройства для добычи цифровых денег пропал, сообщили представители крупной компании

AMD представила ежеквартальный отчет, в котором сообщается о рекордной прибыльности бизнеса за последние семь лет. За 2020 г. фирма заработала $6,48 млрд, в 2020 г. этот показатель был ниже — около $5,25 миллиардов. Представители компании рассказали, что в первом квартале текущего года доходы снизятся, отчасти из-за падения интереса к продукции со стороны майнеров цифровых денег.

«Снижение относительно того же квартала прошлого года объясняется перенасыщенностью каналов поставок, отсутствием выручки от продаж GPU в сфере блокчейна и снижением продаж памяти», — написали руководители AMD.

В октябре прошлого года глава компании Лиза Су предупредила, что спрос майнеров упадет в будущем. Тогда в AMD сообщили, что выручка от продаж видеокарт для добычи цифровых денег оказалась «ничтожной».

Самый крупный китайский развод на моей памяти

Занимаюсь доставкой из Китая, живу в Китае. И я представляю вашему вниманию самый крупный развод на моей памяти:

Был у меня клиент, возили разную электронику, объемы неплохие, все шло хорошо. Пока в прошлом году не случилась эта «золотая лихорадка» — надо брать биткоин, надо майнить!

Началось все с видеокарт летом, а к осени вовсю возили майнеры. Особенность доставки майнеров в том, что они очень дорогие, бОльшую часть стоимости доставки составляет страховка. Потерял груз, украли в пути — нужно возмещать клиенту всю стоимость. Большие деньги и большой риск. Каждый грузчик знал, что если тут майнеры — значит речь идёт о нескольких тысячах долларов за штуку. Надо пиздить!

Соответственно, только за страховку майнеров мы брали 6% от стоимости. Неплохие деньги. Но и потерять можно не мало, если товар пропадёт по пути.

Решил мой клиент тоже привезти в Россию майнеры. Начали разговаривать — я назвал стоимость доставки и страховки. Ну что-то он ни туда ни сюда, вроде дорого, давай дешевле. Я отказался.

Нашёл он надежную транспортную (Карго) в Шенчжене, знакомые советуют, канал на ютубе есть, русский парень там работает — вроде как можно верить. Ну ладно, его выбор.

Приехал в Китай, познакомился с поставщиками у которых майнеры в наличии, познакомился со своей новой Карго компанией, как полагается. Взял пробную партию — 10 штук. Заплатил биткоинами. А в то время (да и сейчас) многие поставщики в Шенчжене оплату биткоинами брали — с производителем нужно биткоинами рассчитываться.

Товар отдал в свою новую надежную транспортную, через две недели все в Москве, все отлично — схема работает, люди надежные, за страховку берут не 6%, как мы, а всего лишь 1%. Сэкономил.

Наступает ноябрь 2020, цены на криптовалюту растут, майнеры хрен найдёшь — разбирают как горячие пирожки. Раньше купишь — раньше начнёшь майнить.

Короче он подрывается, напрягается, находит деньги, берет кредиты, выводит из оборота, у друзей занимает — заказывает 100 майнеров. На сумму что-то около $350 000.

Звонит мне. Алексей, говорит, мы с тобой давно работаем, сумма большая, давай отвези майнеры, там 100 штук. Давай страховку хоть 2%? Я отказался, риск большой. Опять говорю — 6%.

Да ты там охренел, $20 000 с меня хочешь срубить, да с пустого места, да пошёл ты на хер! Ну и ладно, мне же спокойнее спать.

Платит он опять биткоинами поставщику. Договариваться на доставку, новая надежная транспортная — даёт добро, ждём товар.

Проходит три дня. Поставщик скидывает ему фотки — вот 100 штук, отгрузили, вот машина, вот фотка у склада твоей транспортной — все сделали.

Звонит в транспортную — товар они не получали. нет говорят, никто ничего не привозил.

Опять звонит поставщику — те говорят отвезли, вот бумажка типа — вот в ней кто-то расписался, товар приняли.

Звонит своему русскому парню, которой в этой Карго работает — получали товар? Нет, не получали.

Чья подпись на бумажке? Да хз чья, ничего не знаем.

Круг замкнулся, где майнеры — никто не знает.

Срывается прилетает в Китай. Идёт в транспортную — те сидят спокойно чай пьют — ничего не привозили. Пригоняет к поставщику — те тоже сидят чай попивают — все отгрузили вот бумажка, вот фотки. Причём фоток разгрузки нет.

Звонит мне и рассказывает всю эту историю. Приезжай говорит, пойдём в полицию, пошли весь город на уши поднимем, спиздили! Я не поехал, понятно что ничего там не добьёмся — с майнерами кидали направо и налево. Когда мы договаривались что я повезу — я обязательно указывал что лично поеду, лично загружу, партия большая. Оплати дорогу и тд — он же мне говорил что я охуел и ещё дорогу и гостиницу мне оплачивать.

Я живу в Иу, до Шенчженя ехать далеко, 1200 км, поэтому.

Потом звонил снова, рассказывал. Пошёл в полицию всё-таки. В Китае же камеры везде — можно доказать что угодно, куда машина ехала, разгружалась или нет и так далее.

Первое что его попросили — контракт, инвойс, факт оплаты и факт сделки доказать.

Как платил? — Биткоинами.

Где контракт? — Ну вот, в почте файл.

Понятно, всего вам доброго, до свидания, хорошего настроения, здоровья и держитесь там — вот краткий ответ полиции. Камеры смотреть нет оснований даже.

Факта сделки юридически не было. Потом звонил мне ещё много раз, просил бандитов каких найти, на ножи там всех поставить, истерика — но я же в триадах не состою, чем могу помочь? Ничем. Сэкономил? Молодец. $350 000 ушли в зрительный зал.

А клиент пропал. С весны не пишет, не звонит. Сотовый заблокирован, сайт не работает.

Пока писал, ещё три истории про кидалово с майнерами вспомнил, завтра напишу.

Бес попутал…

Иркутскэнерго уличило Церковь евангельских христиан “Благодать” в майнинге криптовалюты. Суд согласился с энергетиками и в этой связи повысил священникам стоимость электричества в три раза.

Церковь евангельских христиан “Благодать” занималось “майнингом” биткоинов, иначе никак нельзя объяснить высокие цифры потребления электроэнергии, решил арбитражный суд Иркутской области. Всего за один месяц церковь потребила более полумиллиона киловатт-часов энергии, в десять раз больше, чем иные приходы тратят за год. А с учетом того, что у священнослужителей был еще и оплаченный доступ в Интернет, суд сделал вывод: майнили крипту.
Наличие доступа к сети Интернет, а также значительный объем потребленной электрической энергии, является достаточным, что позволяет суду прийти к выводу о том, что в спорный период истцом осуществлялась деятельность по «добыванию биткоинов», что, очевидно, не относится в религиозной деятельности, — отметили судьи.
А раз церковь фактически занимается коммерческой деятельностью, то и льготный тариф (97 коп. за кВт./ч) на нее не распространяется, а значит, энергетики вправе перерасчитать тариф как для промышленности — почти 3 рубля за кВт/ч)

Как следует из материалов дела, значительное увеличение объема потребления
истцом электрической энергии в мае 2020 в сравнении с прошлым периодом (апрель
2020) обусловлено расположением в нежилом помещении на втором этаже
производственного цеха по адресу: г. Иркутск, ул. Ширямова, 2 (2 этаж) серверной
станции, подтверждается Актом целевой проверки № 1525 от 05.06.2020. Признаков
деятельности религиозной организации в соответствии с кодом ОКВЭД 94,91 не
обнаружено. Проверка проводилась с использованием средств фотофиксации,
материалы фотофиксации (на фото зафиксировано наличие серверных установок),
приложены к Акту. Акт подписан инженером-инспектором Катышевцевым А.А.

Кроме того, в ходе судебного разбирательства, в судебном заседании были
допрошены в качестве свидетелей Катышевцев А.А. (инженер-инспектор ООО
«ИРКУТСКЭНЕРГОСБЫТ»), Кащин Л.Б. (начальник технического отдела аудита ООО
«ИРКУТСКЭНЕРГОСБЫТ» и Демеев А.В. (специалист инженер-электроник отдела по
обслуживанию рабочих мест Иркутского куста ООО «Учетно-сервисный центр
ЕвроСибЭнерго») (личность свидетелей судом установлена, разъяснены права и
обязанности).

И далее описано, что свидетели всё подтвердили.

Здравомыслие от суда:

При этом суд учитывает, что само
по себе наличие доступа к сети Интернет, не является доказательством
осуществления майнинговых операций.

Как хакеры крадут вашу криптовалюту

Число киберпреступлений год от года растет. Совокупный ущерб, нанесенный киберпреступниками, вырос до полутора триллионов долларов. Все чаще их жертвами становятся не банки и правительства, а обычные люди. Директор по позиционированию Diamond Guard Александр Мамаев рассказал «Снобу», как хакеры крадут криптовалюту и что поможет защититься от атак

19 октября 2020 16:01

Д ержатели биткойнов все чаще становятся жертвами киберпреступников. К началу 2020 года в США зарегистрированы более 2600 инцидентов, связанных с кражей криптовалют, при этом большинство происшествий так и не были раскрыты. По сообщению крупнейшей американской криптобиржи Coinbase, ежемесячно количество атак на криптовалюты увеличивается на 100% — и это не предел.

Дырявые проекты

Ethereum — одна из самых популярных блокчейн-платформ в мире. Ее основатель Виталик Бутерин заявлял, что система остается надежной. «Иногда взломы есть, но практически всегда они случаются из-за ошибок, которые люди делают, строя свои проекты на Ethereum. Я думаю, что безопасность самой платформы — нормальная».

По данным Bloomberg, в каждом десятом случае участник ICO на Ethereum наверняка станет жертвой мошенников: потери от фишинговых атак здесь уже достигли 225 миллионов долларов в 2020 году. Главная причина взломов — недостаточная внимательность организаторов ICO. Так, ошибка в исходном коде (лишний символ) проекта Zerocoin позволила хакерам похитить 370 тысяч зерокойнов (чуть больше 590 тысяч долларов), генерируя дополнительную криптовалюту в рамках одной транзакции, а после — заметая следы, перепродавая валюту. Вскоре разработчики выпустили патч, устранивший проблему.

В другой раз хакеры взломали Ethereum-клиент Parity и украли 32 миллиона долларов. Мошенники воспользовались уязвимостями в многопользовательских кошельках, доступ к которым был у нескольких человек. Эта оплошность быстро вскрылась, и теперь программисты работают над ее устранением.

По данным Bloomberg, в каждом десятом случае участник ICO на Ethereum наверняка станет жертвой мошенников: потери от фишинговых атак здесь уже достигли 225 миллионов долларов в 2020 году

При этом главным бичом проектов стали фишинговые атаки, от которых в 90% случаев не уберегут ни антивирус, ни другие системы защиты. Киберпреступникам удалось взломать сайт блокчейн-стартапа CoinDash и похитить эфиров почти на 8 миллионов долларов, подменив адрес кошелька. Пользователи, не подозревая подвоха, добровольно перечислили средства в кошелек преступников.

Буквально через несколько минут после старта ICO CoinDash предупредил о взломе и попросил не отправлять деньги на указанный адрес, однако и этого хватило для серьезного финансового урона.

Точно так же хакеры атаковали и одну из крупнейших в мире криптобирж Bithumb. Получив доступ к компьютеру одного из сотрудников, хакеры похитили средства 31,8 тысяч пользователей биржи (около 3% всей клиентской базы). В тот же день мошенникам удалось взломать кошелек Classic Ether Wallet, завладев доменом Classic Ether Wallet и похитив со счетов 300 тысяч долларов.

Преступное ПО

Еще одним распространенным способом хищения криптовалюты является использование вредоносного ПО в совокупности с фишинговыми методами. В прошлом году многие держатели криптовалюты лишились средств из-за сайта CryptoChartiq. При клике на ссылку на устройство загружалось вредоносное ПО, списывавшее криптовалюты из online-кошельков пользователей. Жертвами стали и пользователи популярного ресурса Reddit: профайл одного из авторов был взломан, от его имени опубликовали несколько подветок обсуждения, посвященных криптовалюте. При клике на ссылки жертва попадала на вредоносный сайт, с которого скачивалось ПО.

Хакерам удалось вывести в топ Google-поиска вредоносный сайт о биткойнах, который перенаправлял пользователя на поддельные, фишинговые сайты, попутно воруя криптосредства

Но, пожалуй, одной из самых красивых афер стоит признать масштабную кампанию, организованную авторами площадки Darknetmarkets.org. Хакерам удалось вывести в топ Google-поиска вредоносный сайт о биткойнах, который обещал «научить пользователей Tor» обращению с криптовалютами и даркнетом. Площадка перенаправляла пользователя на поддельные, фишинговые сайты, попутно воруя криптосредства. Оказалось, что сайт функционировал с 2020 года, однако вышел в топ Google совсем недавно.

Не стоит забывать и об уязвимостях в лицензионном ПО, которые не только дают преступникам доступ к вашему компьютеру, но и способны рассказать о вас всё. Не так давно специалисты по информационной безопасности сообщали минимум о двух уязвимостях, влияющих на системы расширений, встроенных в браузеры Chrome, Firefox, Opera. Эти недостатки могут применяться для выявления установленных расширений пользователя, для сбора данных о пользователе и создания уникального отпечатка браузера, благодаря чему можно идентифицировать и тех, кто скрывается за VPN или Tor.

Кошелек или жизнь

Традиционно для хранения биткойнов и эфиров пользователи используют электронные кошельки. У любой криптовалюты есть два ключа: публичный (он указывается для перечисления на него средств и доступен всем) и приватный (который известен только владельцу и нужен для подтверждения транзакции). Для хранения криптовалюты используются «горячие» кошельки (когда оба ключа хранятся в интернете у вашего провайдера) и «холодные» кошельки (приватный ключ сохраняется на внешнем устройстве и недоступен никому, кроме пользователя). Складывается ощущение, что «холодные» кошельки защищены лучше. Однако и тут могут быть уязвимости: например, вы можете стать жертвой трояна из уже упомянутого выше вредоносного ПО.

Чтобы обезопасить «горячие» кошельки, пользователю стоит подключить двухфакторную аутентификацию. Но и это не гарантирует совершенную защиту. Не так давно Федеральная торговая комиссия США сообщила о значительном росте краж телефонных номеров пользователей с целью захватить контроль над их учетными записями в социальных сетях и криптовалютными кошельками. Хакеры, получив в открытом доступе информацию о пользователе, звонили операторам связи и убеждали переадресовать звонки и сообщения на новые устройства, благодаря чему даже двухфакторная аутентификация не срабатывала.

Бесплатная рабочая сила

Впрочем, это не все опасности, которые могут подстерегать вас. Так, многие системы стали жертвами майнеров, использующих вычислительные мощности компьютеров — процессоры и видеокарты. Подобным образом действовали ботнеты DevilRobber и CoinMiner. Еще в 2020 году серверы одного из итальянских банков применялись хакерами для добычи криптовалюты. Правда, в течение часа проникновение удалось зарегистрировать и банковский сервер был отключен. Однако постепенно подобные схемы уходят в прошлое: директор компании Darktrace Дэйв Палмер в ходе лондонской конференции Research and Applied AI Summit отметил , что расцвет майнинга с использованием зараженных устройств пришелся на 2020 год. Сегодня же это становится нерентабельно: для генерирования криптовалюты требуются колоссальные вычислительные мощности, и использование рядовых пользователей неэффективно, полагает эксперт. Тем не менее, по словам советника президента по интернету Германа Клименко, от 20 до 30% из 20 млн компьютеров в России заражены вирусом для майнинга криптовалюты.

Однако и сами майнеры порой не защищены от взломов. Так, нидерландский исследователь безопасности Виктор Геверс выявил 2893 устройства для майнинга биткойнов, доступные через Telnet без какой-либо парольной защиты. Аналитик предположил, что владельцем устройств является организация, финансируемая или подконтрольная правительству КНР. После публикации информации об уязвимости все устройства были стремительно запаролены. Подобный пул майнеров за один день может сгенерировать прибыль до 1 миллиона долларов в криптовалюте Litec. Будь у Геверса другие мотивы, он мог бы похитить средства майнеров.

Спасение утопающих — дело рук самих утопающих

Как видно из анализа, основные векторы атак — это люди, владельцы криптоактивов. Киберпреступникам гораздо проще организовать атаку на большое количество жертв, предполагая, что у какой-то части пользователей уровень защиты окажется минимальным.

Однако выполнение простых базовых правил личной безопасности поможет вам минимизировать риск стать жертвой хакеров.

1. Не торопитесь! Всегда внимательно подходите к вопросу выбора, будь то проект для ICO, биржа или обменный пункт, новостной ресурс и т. д. Это позволит уйти от тривиальных схем с фишинговыми сайтами.

2. Используйте проверенные системы безопасности: антивирусы, персональный межсетевой экран, качественный VPN-построитель. Не стоит забывать о том, что под видом бесплатного антивируса может скрываться вредоносное ПО. Проверьте разработчика — такие вопросы лишними не бывают.

3. Храните деньги в криптокошельках! Если вы обладаете значительными суммами, то не храните все в одном месте. Пользуйтесь холодными аппаратными кошельками. Не подключайтесь и не работайте на незнакомых компьютерах, где может быть установлено вредоносное ПО.

4. Будьте в теме событий. При использовании любого ПО, имеющего доступ к вашим криптоактивам, следите за обновлениями продукта и рекомендациями разработчиков.

5. Что касается корпоративной безопасности, то тут важно обеспечивать защиту от таргетированных атак, а это уже зависит от вашей службы информационной безопасности.

Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

Биткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами. Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.

Ещё в конце весны я купил доступ за $500 к инсайдам одного инвестиционного клуба. Прикупил себе ещё монет, — это кроме эфира и биткоина, а в конце августа поступила рекомендация о том, что можно отдавать свои биткоины трейдерам под %15 в месяц, именно поэтому я начал свой путь с сайтов, которые занимаются доверительным управлением.

Первая компания — example1.com (Запретили разглашать названия, связанные с их веб-сайтами) очень популярна и известна для многих инвесторов. Перед тем, как вкладывать туда деньги, решил проверить личный кабинет на уязвимости. Зарегистрировался, но на удивление — ничего не нашёл, везде фильтрация, csrf токены и тд. Потом зарегистрировал ещё один аккаунт, но вместо имени вписал скрипт сниффера. Мне долго ничего не приходило, я уже было смирился с тем, что у проекта все хорошо с безопасностью, нет никаких BLIND XSS и прочих вещей, но только до момента пока мне не пришли логи (исходный код, ip администратора, local storage и др)

JS выполнился, когда админ проверял страницу с данными о пользователе admin.example1.com/user/default/index?page=75. Аналогичные уязвимости всё чаще встречаются на hackerone, пример https://hackerone.com/reports/251224.

Просмотрев логи, я расстроился из-за того, что все cookies с httponly флагом и не удалось получить ни одной, в итоге, я бы не смог получить доступ к админ панели, но когда перешёл по ссылке admin.example1.com/user/default/index?page=75, то увидел, что админ панель можно использовать без авторизации, — это грубейшая ошибка разработчиков.

Всего можно было просматривать и изменять информацию о 2020 пользователях (email, телефон, ссылки на соц сети, кошелёк для вывода bitcoin, логин, баланс, реферер). На скриншоте один из самых богатых инвесторов клуба, у него большое число подписчиков и я постоянно слежу за его блогом. Он порекомендовал всем своим подписчикам вкладывать в это ДУ свои деньги, конечно же, по реферальной ссылке, но не больше %20 от капитала. Через небольшой промежуток времени ему удалось заработать на этом 20 биткоинов, что равняется $360 000 на сегодняшний день.

Злоумышленник без какой-либо подготовки или опыта мог легко зайти в админку и изменить email адреса всех инвесторов на свои(или просто изменить кошельки для вывода, чтобы не вызвать лишних подозрений когда жертва решит вывести деньги, ибо при выводе кошелек по каким-то причинам не отображался). Инвесторы там достаточно крупные, у многих есть депозиты >0.5btc. Очень странно, что в админке не указаны пароли в открытом виде, —
у меня такое чувство, что разработчики этого ДУ способны на всё что угодно в плане ухудшения безопасности своего сервиса.

После обнаружения уязвимости я прислал репорт разработчикам, они, в свою очередь, связались с создателем и устранили уязвимость… Мне предложили начислить награду на счет в личном кабинете, где я буду получать % и через полгода смогу выйти в безубыток, а уже через год заберу само тело. Месяцем позже, когда я нашёл похожую blind xss у них в сервисе и получил за неё ещё баунти, стало известно, что разработчиков ДУ уволили (и деньги за их работу на то время вроде бы не выплатили), разработкой стали заниматься другие люди.

Немного позже, после первой рекомендации, пришла вторая (example2.com). Это тоже топовый, популярный сервис доверительного управления, у него alexarank POST /v2/support/cs/work-order/reply HTTP/1.1
Host: http://www.okcoin.com

4. Stored XSS в html файле, который прикреплялся к тикету, но на домене bafangpublic.oss-cn-hangzhou.aliyuncs.com. Домен уже не доступен и whois говорит, что он принадлежит Hangzhou Alibaba Advertising Co.,Ltd.

5. Disclosure information. Я заметил, что разработчики бирж хотят максимально скрыть номер телефона пользователя при взломе аккаунта. На странице безопасности телефон отображается как 636819****, в cookies он 6 * 6. Но в ответе api службы поддержки /v2/support/cs/work-order/2550/replies его полностью отображает, так не годится.

Насколько я понял, — у всех бирж один владелец и нет смысла писать всем отдельно, поэтому отправил репорт в чат и на email биржи okex. Очень быстро получил сообщение от официального аккаунта okex в твиттер, и уязвимости оперативно устранили.

Дальше начал тестировать example3.com. Биржа запретила раскрывать информацию об уязвимостях, цитирую:

Regarding posting on your blog, we would appreciate if you don’t do this at the moment. Our site is still not 100% secured and I fear it will open a door for malicious users.

Обнаружил XSS в кошельке, а именно — в отделе партнерской программы, — получилось поднять её из self в хранимую с помощью csrf эксплойта, можно было воровать cookies, так как отсутствовал флаг httponly. Я мог бы сейчас прикрепить видео, которое уже записал, но, увы — там раскрывается название биржи.

За неё в службе поддержки мне предложили $100, но почти в тот же момент на сниффер пришли логи из их домена для сотрудников.

В логах была только cookie

AWSELB=2ЕB3B1851EC08CCFEEC18E2DB93AE1EF2A69A2A2F9D65DCC84AB785C7C7773319F1F769CCF35CA8F430D5785D5AE4AB2C48C46EE6BE8F33Cу293D40F3CCA9F92E38E62AA65 , сессионная кука(самая главная) отсутствовала, мы не можем проникнуть в админ панель через подмену куков. Я тщательно проверил репорт и нашёл в исходном коде логин и пароль администратора

Но когда зашёл на страницу авторизации, то увидел это.

В админ панель через логин; пароль мы попасть не можем, необходимо взломать учетную запись google и получить доступ к authenticator, или сделать редирект на фишинговый сайт прямо из админки, украсть его код и быстро его ввести. Второй вариант вполне реализуем.

Пока писал репорт об blind xss в админке, нашёл ещё:

1) CSRF уязвимость в изменении реквизитов для вывода партнерских средств, краткий запрос:

security токена нет, был написан эксплойт.

2) iDOR в удалении заказов, уязвимый запрос example3.com/account?act=cancel&order=ID_of_order. Суть уязвимости в том, что если юзер уже создал заказ и хочет переводить свои биткоины на кошелек биржи, — мы можем отменить это действие. В лучшем случае, его заказ просто удалится из системы, в худшем — он переведет биткоины и потеряет свои деньги. Эта уязвимость в основном полезна только для бирж-конкурентов, а не для хакеров.

После того, как я прислал новый репорт в поддержку, со мной на связь вышел chief security officer для обсуждения уязвимостей. Мне хотели позвонить в скайпе или по телефону, но в данный момент мои знания английского находятся на среднем уровне, поэтому решили ограничиться чатом. За уязвимость мне предложили 0,1 btc($1130):

After consulting with our finance and regarding our situation, we can pay you $1000. This is the highest amount we paid for a bug and is much higher than what we usually pay. It is to show our appreciation to you and the way you handled the situation.

Приношу свою благодарность за bounty. Они ответственно относятся к безопасности, приятно было общаться с их CTO.

Всего с поиска уязвимостей на этих сайтах, занимающихся криптовалютой я получил:
Доверительно управление example1.com: 1 btc.
Доверительное управление example2.com: 0,122 btc.
Биржа livecoin.net: $200 фиатными средствами.
Биржа okex.com: 2 btc, я благодарен okex за баунти, CTO биржи разрешил публично раскрыть уязвимость.
Биржа example3.com: 0,1 btc.
1+0.122+2+0.1+$200=$58 200 и с ростом курса bitcoin эта сумма будет расти.

Вывод из статьи: Всегда нанимайте высококвалифицированных программистов для своих проектов, особенно, если ваш бюджет позволяет это сделать. В первых двух случаях компании достаточно крупные, могут позволить себе нанять качественных специалистов, но экономят, и из-за этого могут пострадать пользователи и репутация — они оставляют админку совсем «голой» и игнорируют проблемы, на которые указывает специалист по безопасности.

Список надежных брокеров бинарных опционов на русском языке:
  • Бинариум
    Бинариум

    1 место! Лидер на рынке — самый честный брокер бинарных опционов!
    Идеально для новичков — предоставляется бесплатное онлайн-обучение и демо-счет!
    Получите бонус за регистрацию по ссылке:

Добавить комментарий