Вы всегда должны быть очень осторожны с информацией, которую вы публикуете на Голос.
Тем, кто не желает читать пост целиком, я хочу сообщить, что
- Я не взламывал блокчейн Голос
- Я не взламывал веб-сайт Голос
- Я не крал ничьих средств
Несколько дней назад я почти что опубликовал в блокчейне один из своих приватных ключей, скопировав его из своего буфера обмена в поле мемо транзакции. К счастью, я очень осторожен и всегда (стараюсь) проверяю всё дважды, особенно в случае с деньгами.
Та же история произошла и с некоторыми пользователями Стимит, и у меня возникла мысль: “Если это случилось со мной, быть может, некоторые другие пользователи Голоса совершили ту же ошибку?”
Известно, что публичные ключи Голоса начинаются с “GLS”, а приватные ключи начинаются с цифры “5”.
Что, если некоторые пользователи по ошибке написали свои приватные ключи в поле мемо или перевода, как здесь:
A very simple query like the following helped me identify 519 transactions which could potentially hold a user private key
С GolosSQL, весьма простой запрос, вроде представленного ниже, помог мне идентифицировать 519 транзакций, которые потенциально содержат приватный ключ пользователя
SELECT
TxTransfers.[from],
TxTransfers.[to],
TxTransfers.[memo]
FROM
TxTransfers (NOLOCK)
WHERE
TxTransfers.type = 'transfer'
AND TxTransfers.memo LIKE '5%'
2 минуты спустя я получил возможность залогиниться в 5 аккаунтов.
Это реально пугает меня, так как некоторые из этих пользователей держат на своих кошельках ликвидные токены. Атакующий злоумышленник без проблем опустошил бы их кошельки за несколько секунд. У пользователя @dmytroscript на счету было около 563835 RUB в ликвидном GOLOS.
Хотелось бы надеяться, что их приватный ключ, который они использовали в мемо переводов, был приватным мемо-ключом, поэтому я не смог бы сделать с ним ничего серьезного. Если бы это был “активный приватный ключ” или “приватный ключ владельца”, я, как white hat хакер, переместил бы их ликвидные токены в сберегательную часть кошелька, прежде чем опубликовать этот пост и попытаться выйти на контакт с этими пользователями.
Что нужно делать скомпрометированным аккаунтам?
@dmytroscript, @erikkartmen, @loaf, @mrgreen, @vlad,
Немедленно поменяйте свой пароль!!!
Зайдите в свой кошелек и нажмите на вкладку “Пароль”.
Насколько мне известно, засвеченный мемо-ключ не приносит ощутимого вреда. Но в будущем этот ключ может использоваться для шифрования сообщений. Засвеченный приватный мемо-ключ будет означать, что кто угодно сможет читать ваши сообщения.
Рекомендации команде Голоса
Веб-сайт нужно обновить, дабы не дать пользователям возможность вводить что-либо похожее на приватный ключ в поле “мемо” транзакции. Необходимо либо не давать возможность продолжить, либо отображать предупреждение об угрозе безопасности.
Рекомендации для всех пользователей
Если вы полагаете, что могли использовать приватный ключ в поле мемо транзакции, смените свой пароль!!!
И наконец, никогда, я сказал НИКОГДА не пишите свой приватный ключ где-либо, кроме обязательных полей на golos.io! И всегда проверяйте всё дважды, когда дело касается денег.
Помните, когда вы что-либо публикуете на Голосе, это будет видно всем и всегда!
Спасибо за внимани!
Спасибо @rusteemitblog за вычитку этого поста перед публикацией.
Голосуйте за меня в качестве делегата
Вы также можете проголосовать прямо с платформы Голос здесь. Для этого нужно проделать следующее. Каждый голос важен. Спасибо !
Если Вам понравился этот пост, не забудьте 
проголосовать, подписаться на меня или поделиться
Да, есть такая беда. Я тоже об этом писал.
К сожалению, я не видел ваш пост. Я бы сделал мой тест гораздо раньше.
@arcange спасибо, что проделал то же исследование, которое сделали ребята в steem! уверен, что пользователи теперь будут внимательнее обращаться со своими ключами
Для вашей информации, я также сделал тест со всеми другими комментариями, которые не начинаются с "5". Я не нашел никакой другой "пароль".
Спасибо! Поменяла пароль. Нужна простая инструкция что к чему. Как вывести деньги на биржу миллион инструкций, а как завести не нашла. В поле мемо ввела мемо-ключ что логично подумала.
Ух)
Отлично!
Да, это логично. Одни и те же слова приводят нас иногда в заблуждение.
Мы все учимся на своих ошибках ;)
в итоге то что вводить в поле мемо?
если переводите на биржу то на бирже вам дадут мемо. а так неважно
То, что вы хотите! Это может быть имя вашей матери, например.
Или у вашей кошки ... Нет ... в конце концов, не имя кошка! )))
@kotturinn, Как это?
Лучше ссылку на фото кошки.
Про назначение ключей есть отдельный пост? Если нет напишите пожалуйста.
Я постараюсь сделать это. Но я не обещаю ничего.
Буду ждать с терпением и спасибо что нашли время ответить.
maaany thanks!!! I think I flashed my p-d somehow on steemit
Рад помочь =)
that was a kind of politeness of mine)
I do flashed my posting key. I'm not an media person to carry about my hacked reputation though. without masterkey it's kinda useless.
btw. we did not see ony personal posts of U for a long time!
well, stats is kinda interesting info but I DO think that a lot of golos users will be interested in how is it going in France things!
Wasn't that post personal enough?
I'm not that public and try to preserve part of my privacy, if any ;)
ammm..nope)
nobody wants ur privacy)
I mean.. well..what d'U eat/watch/music 2 listen.. which movies d'U prefer.. etc.. without faces and details which may point 2 Ur person.
it's always interesting to read such things.
Спасибо за предупреждение!
Спасибо, что обратили внимание. Разгильдяев необходимо иногда подстегивать )) для их же блага
Я думаю, что образование лучше, чем кнут.
@arcange, спасибо за предупреждение.
Огромное вам спасибо за вашу работу!
Надеюсь, я не попала в те 519 транзакций...
Если бы вы были в 519 транзакций, вы бы видели, появиться снимок экрана вашего кошелька. ))
Спасибо за инфу!) Подпись
Ух!
Статья полезная для невнимательных. Для меня не новость, подобная была на стимите недавно. Поделюсь для других.
@arcange, Ммррр-авится :)
Purring to that haha
Спасибо за полезный пост) вообще очень много добрых и полезных статей, что создает впечатление того, что все адекватные и позитивные люди находятся на этом ресурсе,надеюсь в дальнейшем моё ощущение не изменится. Всем хорошего дня!!!
Спасибо. я надеюсь, что вы по достоинству оцените основной ваш опыт на Голос
There's quite a lot of work here. You're really smart and selfless man, @arcange. Well done.
Thanks a lot =)
Очень полезная инфа. Спасибо!
обалдеть, @arcange! я же всех этих пользователей знаю и читаю! что же они так неаккуратны! вот это статья, да, ты молодец! срочно надо принимать меры!... ой, привет! )
Ого! Бережёного Бог бережёт, как говорится...
Эта пословица, я не знаю. Но я постараюсь удержать его.
У кого-то могли увести пол ляма? Серьёзно? Пол ляма рублей?
Честно говоря, мне непонятно почему многие достаточно беспечно относятся к своим деньгам или персональным данным. Логично концентрироваться на своих действиях и не допускать таких проколов. Тем более, когда на твоих счетах собираются приличные суммы. Никто же не публикует номера своих карт и cvc , например в соц. сетях...неужели так сложно проследить куда и что ты вводишь...
Есть 4 разных ключа. Кроме того, закрытый ключ и открытый ключ. Это не легко для всех, чтобы понять, как это работает.
Спасибо за полезную информацию
@arcange спасибо за предупреждение!
Пост очень важный и предостерегающий. Спасибо огромное, @arcange
Нужная инфа. Поменял на всякий случай.
Осторожность-мать безопасности ;)
@arcange , пожалуйста, загляните в чат.
и как же ты это запрос прописал? в базе данных? скрипт? откуда выдача пришла или у тебя доступ к базе голос ио есть?
она открыта для всех
и как же ее посмотреть?
Не я автор поста
Эт к тру программистам. Sql есть например
так а ты как то по базе нашел аккаунты? как запрос делал?
лохи
хотя я сам такой же - приятно видеть, что все мы обычные люди
Error humanus est!
Вроде новость и была уже и на steemit и на голосе, а даже киты попались.. надеюсь авторы уже вкурсе до выхода новости?
это опасно!
Это не опасно, когда вы знаете, какие ошибки не делать.