Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
arcange
7 лет назад

White Hat - Как я взломал 5 аккаунтов Голоса за пару минут

Вы всегда должны быть очень осторожны с информацией, которую вы публикуете на Голос.

Тем, кто не желает читать пост целиком, я хочу сообщить, что

  • Я не взламывал блокчейн Голос
  • Я не взламывал веб-сайт Голос
  • Я не крал ничьих средств

Несколько дней назад я почти что опубликовал в блокчейне один из своих приватных ключей, скопировав его из своего буфера обмена в поле мемо транзакции. К счастью, я очень осторожен и всегда (стараюсь) проверяю всё дважды, особенно в случае с деньгами.

Та же история произошла и с некоторыми пользователями Стимит, и у меня возникла мысль: “Если это случилось со мной, быть может, некоторые другие пользователи Голоса совершили ту же ошибку?”

Известно, что публичные ключи Голоса начинаются с “GLS”, а приватные ключи начинаются с цифры “5”.

Что, если некоторые пользователи по ошибке написали свои приватные ключи в поле мемо или перевода, как здесь:

A very simple query like the following helped me identify 519 transactions which could potentially hold a user private key
С GolosSQL, весьма простой запрос, вроде представленного ниже, помог мне идентифицировать 519 транзакций, которые потенциально содержат приватный ключ пользователя

SELECT 
    TxTransfers.[from], 
    TxTransfers.[to], 
    TxTransfers.[memo]
FROM 
    TxTransfers (NOLOCK)
WHERE 
    TxTransfers.type = 'transfer' 
    AND TxTransfers.memo LIKE '5%'

2 минуты спустя я получил возможность залогиниться в 5 аккаунтов.

Это реально пугает меня, так как некоторые из этих пользователей держат на своих кошельках ликвидные токены. Атакующий злоумышленник без проблем опустошил бы их кошельки за несколько секунд. У пользователя @dmytroscript на счету было около 563835 RUB в ликвидном GOLOS.

Хотелось бы надеяться, что их приватный ключ, который они использовали в мемо переводов, был приватным мемо-ключом, поэтому я не смог бы сделать с ним ничего серьезного. Если бы это был “активный приватный ключ” или “приватный ключ владельца”, я, как white hat хакер, переместил бы их ликвидные токены в сберегательную часть кошелька, прежде чем опубликовать этот пост и попытаться выйти на контакт с этими пользователями.

Что нужно делать скомпрометированным аккаунтам?

@dmytroscript, @erikkartmen, @loaf, @mrgreen, @vlad,

Немедленно поменяйте свой пароль!!!

Зайдите в свой кошелек и нажмите на вкладку “Пароль”.

Насколько мне известно, засвеченный мемо-ключ не приносит ощутимого вреда. Но в будущем этот ключ может использоваться для шифрования сообщений. Засвеченный приватный мемо-ключ будет означать, что кто угодно сможет читать ваши сообщения.

Рекомендации команде Голоса

Веб-сайт нужно обновить, дабы не дать пользователям возможность вводить что-либо похожее на приватный ключ в поле “мемо” транзакции. Необходимо либо не давать возможность продолжить, либо отображать предупреждение об угрозе безопасности.

Рекомендации для всех пользователей

Если вы полагаете, что могли использовать приватный ключ в поле мемо транзакции, смените свой пароль!!!

И наконец, никогда, я сказал НИКОГДА не пишите свой приватный ключ где-либо, кроме обязательных полей на golos.io! И всегда проверяйте всё дважды, когда дело касается денег.

Помните, когда вы что-либо публикуете на Голосе, это будет видно всем и всегда!

Спасибо за внимани!

Спасибо @rusteemitblog за вычитку этого поста перед публикацией.

Голосуйте за меня в качестве делегата

Вы также можете проголосовать прямо с платформы Голос здесь. Для этого нужно проделать следующее. Каждый голос важен. Спасибо !

Если Вам понравился этот пост, не забудьте проголосовать, подписаться на меня или поделиться

1
2126.678 GOLOS
0
Ответить
Комментарии (62)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io