Сегодня вчерашнее завтра
-
Ну, видимо чем-то занимались, строят из себя невинных овец, никаких подробностей не пишут.
if FTX has evidence that an account is violating the terms of service, FTX reserves the right to shut down the account and, except in cases of suspected violations of our anti money laundering (AML) policy or other similar concerns about the source of wealth or malicious market manipulation, return funds to the user.
Надо узнавать, почему они думают их могли бы закрыть. Карточки, наверное.
-
https://mobile.twitter.com/kelvinfichter/status/1489041221947375616
Очень интересно, как украли 90 тысяч эфирок. -
@dimok Можно в краце, как украли то? А то через переводчик не понятно совсем
-
@unbreakble Также читал всё это в чате. У FTX проблемы с отправкой СМС на телефон при 2 FA.Они не могут (или не хотят) пофиксить эту проблему недели две.Они сами прямым текстом отвечают, что у них проблемы с отправкой СМС.Невозможно зайти на биржу,создаёшь тикет,отвечают в течении 12 часой где-то,потом по их ссылке логинишься пробуешь войти в аккаунт и через некоторое время от них приходит СМС с кодом для входа.Короче я три раза так помучался и вывел сегодня всё .Бинанс -СМС присылают без проблем-всё работает годами, практически без сбоев,Хуоби -приходит код подтверждения на почту-тоже всегда без проблем.И только у FTX какие-то проблемы с СМС.
Депозиты и выводы у меня без проблем работали.
(про GA при 2FA писать не надо, она меня не устраивает ) -
@andreich
Solana Wormhole мост хакнули на $300М. Как это произошло?12 часов назад одной транзакцией было перемещено 80к эфира на адрес злоумышленника:
https://etherscan.io/tx/0x24c7d855a0a931561e412d809e2596c3fd861cc7385566fd1cb528f9e93e5f14На счету эксплоитера сейчас 93 750 ETH, рассмотрим хронику событий:
https://etherscan.io/address/0x629e7da20197a5429d30da36e77d06cdf796b71a
Транзакция, которая вывела 80 000 ETH, на самом деле была переводом 80 000 ETH из Соланы в Ethereum.
Первый эксплоит произошел благодаря транзакции на Солане, которая наминтила из ниоткуда 120 000 «wormhole ETH»:
Злоумышленник вначале смог создать на стороне Соланы wormhole ETH, а затем смог корректно воспользоваться мостом, чтобы снять ETH с депозитного контракта Wormhole сети ETH.
Транзакция, которая произвела минт имела функцию complete_wrapped. Одним из параметров, которые принимает эта функция, является «transfer message», в основном сообщение, подписываемое гардианами (защитниками моста), в котором говорится, какой токен чеканить и в каком количестве.
Исполнение смарт-контрактов на Солане необычное, поэтому этот параметр там является самостоятельным смарт-контрактом.
Этот контракт с функцией "transfer message" триггерит функцию "post_vaa".
"post_vaa" функция не проверяет подписи. Вместо этого, в типичном солана стиле - другой смарт-контракт вызывает функцию смарт-контракта "verify_signatures".
Неправильное использование уязвимости данного смарт-контракта привели к возможности подменить системный адрес, отвечающий за проверку достоверности депозита на стороне Соланы эфира и в результате позволило злоумышленнику из воздуха чеканить кучу необеспеченных wormhole ETH.
Эксплоит был исправлен, денежные средства недвижимы на счету хакера.
Хайлайт разбора взлома взят из твиттер-треда:
https://twitter.com/kelvinfichter/status/1489041221947375616?s=21
-
Пользователь @снеговик написал в Сегодня вчерашнее завтра:
У FTX проблемы с отправкой СМС на телефон при 2 FA
Очень глупо использовать SMS в качестве 2FA. Функциональность TOTP давно есть в любых менеджерах паролей, в том числе и для телефоны. Смски просто не предназначены для одноразовых кодов, нет гарантии доставки, очень легко получить дубликат сим-карты, не надо так делать.
Google Authenticator тоже левая шляпа, попробуйте KeepassXC или аналоги, там всё работает из коробки - создаёте запись, добавляете одноразовый код и всё, у вас полный контроль за вашей учётной записью.
-
Пользователь @dimok написал в Сегодня вчерашнее завтра:
очень легко получить дубликат сим-карты
У меня, дубликаты финансовых симок выдаются только под паспорт, мобильным оператором. Не 100% защита, но защита.
Пользователь @dimok написал в Сегодня вчерашнее завтра:
Google Authenticator тоже левая шляпа
А почему левая шляпа? Вроде ж лучшая защита всегда была
-
Тоже интересно почему GA шляпа?
-
Потому что нет нативной возможности сделать бекап устройства и/или перенести код в другую программу.
Что вы озаботились защитой симки - это хорошо, но проще было бы сделать всё правильно: поставить парольную программу, запомнить мастер-пароль и хранить в ней всё важное - от доступа на сайты до 2FA кодов и телефонов любовниц. -
То что GA не даёт 100% защиты, это тоже факт. На одном из блокчейнов бот ломает GA.
Но больше я не слышал чтобы взламывалось GA.Пользователь @dimok написал в Сегодня вчерашнее завтра:
поставить парольную программу
Это вы говорите про KeepassXC? Её можно прикрепить как 2фа, что будут в ней пароли генерироваться как в GA? Ну и нужно ж, чтобы сайты принимали её коды...
Пользователь @dimok написал в Сегодня вчерашнее завтра:
Потому что нет нативной возможности сделать бекап устройства и/или перенести код в другую программу.
Ну тут ручками, да. Второй смартфон у меня для этого. Дело тридцати секунд чтобы продублировать все аккаунты на другой смартфон. А коды восстановления да, нужно записывать обязательно. Есть такие платформы, которые не восстанавливают доступ к акку, если потерял доступ к GA. Потерял смартфон и т.п.
-
Вы прямо любитель большой, подстраиваться под недостатки текущих решений, лишь бы новые не пробовать :)
Качаете KeepasXC
Создаёте файлик базы данных, придумываете и запоминаете хороший пароль, символов на 10-12 хотя бы с разными всякими символами.
В нём создаёте запись про какой-то сервис, сайт.
Указываете в нём логин, пароль доступа и TOTP (это и есть временный код, который генерирует Google Authenticator).
Добавляете в ваш любимый браузер расширение, чтобы считывались пароли для входа в браузере.
Файлик базы данных любым удобным способом сохраняете (обычно его держат в синхронизируемой с облачным хранилищем папке).Всё, не нужны ни смски, ни вторые смартфоны, ничего не нужно, файл надёжно защищён мастер-паролем, поэтому не представляет особенной ценности для злоумышленников, потерять его вы не можете, так как он синхронизируется в облако, пользоваться можете на любом устройстве с популярной OS.
-
То что вы говорите, также можно назвать доп. танцами с бубном. GA нельзя назвать не надёжной защитой. Только на блокчейне Вакс он ломается.
Больше не слышал чтобы ломали. Но вам захотелось изобрести новый велосипед. Ну хорошо👍.
Если бы GA ломали налево-напрово, то да, был бы смысл в чём-то новом. А так ничего сложного я не вижу в том, когда вы создаёте новый акк(биржи как пример), и всё равно инфу логин и пароль сохраняете в условный keepass. И там же сохранить код восстановления GA не видится сложным.
Ну и да, нужно ещё второй смартфон в руки взять. А он наверное тяжелее члена🤭.
Да и дома его можно держать в тумбочке. Таскать его с собой не обязательно.А по поводу keepass, я тоже свои пароли в нём храню. Я так понимаю keepassXC это того же разработчика продукт.
А вдруг ломанут keepass, тогда вы и пароли и 2фа потеряете. -
GA нельзя назвать не надёжной защитой. Только на блокчейне Вакс он ломается
Что значит "ломается"? эти временные коды - просто некоторый хэш от секрета, который вы создаёте, его можно "сломать" либо перебором (чего не должен допускать сервис), либо сломав хэш-функцию, а это на текущий момент невозможно. Ещё есть сложные методики какого-то сложного восстановления секрета, но там надо иметь доступ к сгенерированным кодам, тут уже можно ничего не придумывать.
2FA я лично считаю ненужной вещью, но, к сожалению, во многих местах её надо включать обязательно, поэтому приходится мириться. Куда вы сохраняете коды восстановления 2FA, если не в парольничек - для меня загадка. А если у вас есть парольничек - зачем вам GA?
"Сломать кипасс" точно так же сложно, так как файлик с данными шифруется теми же самыми алгоритмами хеширования данных, на текущий момент считается, что они надёжны, надо же чем-то пользоваться. Ну а если у вас на компьютере какая-то бяка пароли подсматривает - тут уж ничего не поделать.
Про член и второй смартфон не понял, второй смартфон хорош именно в качестве "посмертной записки", чтобы посторонний человек мог получить доступ ко всем важным учётным записям, он, разумеется, должен быть и должен лежать в надёжном месте.
-
Пользователь @dimok написал в Сегодня вчерашнее завтра:
Указываете в нём логин, пароль доступа и TOTP (это и есть временный код, который генерирует Google Authenticator).
А для TOTP можно и отдельный файлик создать...
-
Зачем, это лишнее совсем. Если у вас один файлик утащат - то и второй смогут, а за одним файликом легче следить.
-
У каждого свои алгоритмы безопасности😉. Кто-то и на листочке в сейфе держит код восстановления GA.
Бот для игры Фармерс Ворлд ломает Вакс. Сам очень удивился.
Просто при запуске скрипта не замечает GA.Да, бот установлен на ПК. Но всё равно. Был удивлён что так просто можно GA обойти.
-
Пользователь @dimok написал в Сегодня вчерашнее завтра:
Зачем, это лишнее совсем. Если у вас один файлик утащат - то и второй смогут, а за одним файликом легче следить.
Вы же нарушаете главный принцип двухфакторной аутентификации - хранить данные входа и одноразовый код на разных устройствах. Во-вторых, не все сервисы нуждаются в ней. В-третьих, нет ничего сложного следить за двумя файликами. И в конце-концов, это святотатство хранить пароли к условному порнхабу и криптобирже в одном файлике.
-
Вы же нарушаете главный принцип двухфакторной аутентификации - хранить данные входа и одноразовый код на разных устройствах
Нет, мы просто убираем этот рудимент, придуманный, чтобы люди не использовали слишком простые пароли, которые можно подобрать.
Нет никакого сакрального смысла в разделении данных входа и единовременного подтверждения, что вы пароль не подобрали, а как раз владелец счёта.У вас устаревшие представления о компьютерной безопасности, надо понимать векторы атаки. Сейчас уже плюс-минус никто пароли не "взламывает" и не ворует. Теперь либо машина компроментируется (и с этим ничего не поделать, просто от вашего имени осуществить можно любые операции), либо обманывают фишингом, социнженерией и человек сам вводит все пароли и коды. Поэтому и надо заботиться об этих векторах - что попало не запускать, под администратором не сидеть, на адресную строку внимательно смотреть, никому ничего не рассказывать в интернетах. А пароли - что пароли, они есть, они какие-то, они достаточно хороши.
-
Пользователь @dimok написал в Сегодня вчерашнее завтра:
Сейчас уже плюс-минус никто пароли не "взламывает" и не ворует
Ну да, взломают всего лишь keepass и больше ничего взламывать и подбирать не нужно, так как всё и так на руках😄.
Я уже три месяца "сижу" в игре Фармерс Ворлд, я за три месяца больше скама видел чем за всю прошлую "жизнь" в интернете.
Что только не было, и пароли простые, которые,(как сказал ботовод который бота нам сделал), которые подбирает прога специальная.И скачивание бесплатного бота, через который получают доступ к браузеру, и что хотят то и делают.
А как скамер работает в чате...админы ж удаляют его скам-преложение бесплатного бота. А скамер просто пишет обычное сообщение в чате в телеграмме, и через некоторое время его меняет на скамовое. А админы ж, по второму разу, не будут же сообщения перечитывать. А другой юзер не читал пол дня, давай перечитывать, и так и попадает на скам.
И другим давали акк юзать, не зная, что GA работает только на вход в акк, а на вывод средств нет🤥.
Да и проще есть способы,(на которые люди ведутся). Просто озвучивать не хочется, так как умельцы сейчас побегут деньги заколачивать.
-
Извините, но вы пишете совершенные банальности с видом каких-то откровений, я не готов продолжать с вами обсуждение этой темы, извините.
-
Ну ок, посмотрим кого первого хакнут🖐
-
Вы, наверное, в каске по улице ходите и гордитесь, что вам-то уж точно кирпич на голову не упадёт.
-
Пользователь @dimok написал в Сегодня вчерашнее завтра:
Вы, наверное, в каске по улице ходите и гордитесь, что вам-то уж точно кирпич на голову не упадёт.
надо же, троллинг от самого димка, не часто увидишь
-
Пытаюсь вывести с пинакла деньги, пишет:
Обратите внимание, что выплаты через недоступны для вашего счета.
На ваш зарегистрированный адрес электронной почты отправлено письмо с дополнительной информацией.
Но никакого письма я так и не получил. Было у кого нибудь такое? -
Ну если не получили - сами напишите по почте или в чатик если он там есть: здрасте, счёт такой-то, выплаты недоступны, что случилось.