White Hat - Как я взломал 5 аккаунтов Голоса за пару минут
Вы всегда должны быть очень осторожны с информацией, которую вы публикуете на Голос.
Тем, кто не желает читать пост целиком, я хочу сообщить, что
- Я не взламывал блокчейн Голос
- Я не взламывал веб-сайт Голос
- Я не крал ничьих средств
Несколько дней назад я почти что опубликовал в блокчейне один из своих приватных ключей, скопировав его из своего буфера обмена в поле мемо транзакции. К счастью, я очень осторожен и всегда (стараюсь) проверяю всё дважды, особенно в случае с деньгами.
Та же история произошла и с некоторыми пользователями Стимит, и у меня возникла мысль: “Если это случилось со мной, быть может, некоторые другие пользователи Голоса совершили ту же ошибку?”
Известно, что публичные ключи Голоса начинаются с “GLS”, а приватные ключи начинаются с цифры “5”.
Что, если некоторые пользователи по ошибке написали свои приватные ключи в поле мемо или перевода, как здесь:
A very simple query like the following helped me identify 519 transactions which could potentially hold a user private key
С GolosSQL, весьма простой запрос, вроде представленного ниже, помог мне идентифицировать 519 транзакций, которые потенциально содержат приватный ключ пользователя
SELECT
TxTransfers.[from],
TxTransfers.[to],
TxTransfers.[memo]
FROM
TxTransfers (NOLOCK)
WHERE
TxTransfers.type = 'transfer'
AND TxTransfers.memo LIKE '5%'
2 минуты спустя я получил возможность залогиниться в 5 аккаунтов.
Это реально пугает меня, так как некоторые из этих пользователей держат на своих кошельках ликвидные токены. Атакующий злоумышленник без проблем опустошил бы их кошельки за несколько секунд. У пользователя @dmytroscript на счету было около 563835 RUB в ликвидном GOLOS.
Хотелось бы надеяться, что их приватный ключ, который они использовали в мемо переводов, был приватным мемо-ключом, поэтому я не смог бы сделать с ним ничего серьезного. Если бы это был “активный приватный ключ” или “приватный ключ владельца”, я, как white hat хакер, переместил бы их ликвидные токены в сберегательную часть кошелька, прежде чем опубликовать этот пост и попытаться выйти на контакт с этими пользователями.
Что нужно делать скомпрометированным аккаунтам?
@dmytroscript, @erikkartmen, @loaf, @mrgreen, @vlad,
Немедленно поменяйте свой пароль!!!
Зайдите в свой кошелек и нажмите на вкладку “Пароль”.
Насколько мне известно, засвеченный мемо-ключ не приносит ощутимого вреда. Но в будущем этот ключ может использоваться для шифрования сообщений. Засвеченный приватный мемо-ключ будет означать, что кто угодно сможет читать ваши сообщения.
Рекомендации команде Голоса
Веб-сайт нужно обновить, дабы не дать пользователям возможность вводить что-либо похожее на приватный ключ в поле “мемо” транзакции. Необходимо либо не давать возможность продолжить, либо отображать предупреждение об угрозе безопасности.
Рекомендации для всех пользователей
Если вы полагаете, что могли использовать приватный ключ в поле мемо транзакции, смените свой пароль!!!
И наконец, никогда, я сказал НИКОГДА не пишите свой приватный ключ где-либо, кроме обязательных полей на golos.io! И всегда проверяйте всё дважды, когда дело касается денег.
Помните, когда вы что-либо публикуете на Голосе, это будет видно всем и всегда!
Спасибо за внимани!
Спасибо @rusteemitblog за вычитку этого поста перед публикацией.
Голосуйте за меня в качестве делегата
Вы также можете проголосовать прямо с платформы Голос здесь. Для этого нужно проделать следующее. Каждый голос важен. Спасибо !
Если Вам понравился этот пост, не забудьте проголосовать, подписаться на меня или поделиться