не вижу повода для радости. Пострадал Рома и ему мои сочувствия. Где-то давно читала, что самое важное иметь защиту от хакеров. Многие программисты умеют разрабатывать программы, но не все умеют придумать защиту своих программ от хакеров.
@ksantoprotein, спасибо большое, что заметил и смог предупредить нас всех.
RE: Хьюстон... у нас снова проблемы с Golos.io или как всего лишиться с бустерами
Вы читаете одну нить комментариев от:
Хьюстон... у нас снова проблемы с Golos.io или как всего лишиться с бустерами
79
felicita
в thallid
в thallidВам может быть интересно
@felicita я пригласил @ksantoprotein к решению проблемы. Пока что мы не можем утверждать факт воровства, а только потерю контроля над аккаунтом. Деньги не выведены на биржи, возможно это показательная акция для демонстрации уязвимости и дыр в безопасности. Спасибо большинству комментаторов за горячий отклик и сочувствие, а от неадекватов ожидал большего. Что это за явка такая? Всего два человека отметилось. Непорядок. По моим подсчётам, их где-то семь.
Как уже отмечал Протей, провести подобную спланированную акцию на GOLOSе способны немногие. Реально это под силу десятку человек. Конечно же, ни о каком хакере со Стимита речь не идёт, потому что связать мой аккаунт и @psk за несколько минут и перехватить контроль путём создания мультисига и поломки активного ключа, могут лишь те, кто глубоко погружён в "кухню" бустинга на GOLOSе.
Это был какой-то высший пилотаж хакерства. За несколько минут связать и идентифицировать аккаунты и всё это провернуть. В другой ситуации я бы аплодировал мастерству.
Все намного проще.
Метод
get_key_referencesкоторый можно запустить из консоли браузера за секунду покажет все аккаунты связанные с указанными ключами. Не нужно ничего перебирать или искать взаимосвязи аккаунтов. Просто запрос на скомпрометированный ключ.На стимите сотни таких ботов ждущих ключей. Им ничто не мешает добавить ботов на форки в т.ч. голос.
@vik Метод get_key_references который можно запустить из консоли браузера за секунду покажет все аккаунты связанные с указанными ключами
а какие параметры ему надо передать?
Массив с публичными ключами
Получение публичного ключа из приватного стандартно для биткойно-подобных алг.
http://ropox.tools/steemjs/api/account_by_key/get_key_references
пытался испробовать у гороха. но что скормить в поле данных - не знаю
Вставь в консоль браузера на любой странице где есть golos-js
Например на golos.cf
SRC
@vik, чего эти боты ждут на Стимите, там вроде же блокируется активный ключ в поле MEMO?
@romapush ну у стимита клиентов много, не в каждом есть проверка.
Но чаще с биржи. Например на bittrex есть поле memo при выводе, так вот многие пихают туда memo ключ.
Мемо ключи скомпрометированы у 1000 пользователей на стимит. Просто вот они их вставляют не думая на бирже.
Казалось бы мемо ключ бесполезный и безопасный, но вообще он расшифровывает личные сообщения. И когда будет популярный клиент с личными сообщениями - они уже не будут такими уж "личными".
@vik, а почему этот, который меня подломил, не выводит награбленное? Как думаешь?
Очевидно некуда.
Стимит торгуется на большом количестве бирж, в том числе в азии и в том числе тех, где не требуется KYC\AML, кроме этого для стимита есть blocktrades, который похож принципом на shapeshift, обмен токенов между чейнами без регистрации.
А вот что делать с токенами GOLOS - вероятно злоумышленник не представляет :)
@vik
)))
Забавно и подходит под описание "воришки" на 100+1%
@vik, обидно за Golos. :) Совсем не котируется на международном рынке. Украл, а пристроить некуда.
https://dex.openledger.io/golos-and-gbg-delisting-announcement/
@romapush, если бы хакеры действовали во благо платформе и обществу, было бы очень классно. А так да, разработчикам есть над чем думать и делать все возможное, чтобы защитить нас от взлома аккаунтов и кошельков. Спасибо, что вы так философски отнеслись к проблеме. Если здесь и сейчас убыло, то в скором времени обязательно прибудет и еще больше!
@romapush , будем надеяться, что демонстрация уязвимости. Но все равно не приятная ситуация