Как взломать аккаунт биткоин

10 способов взломать Биткоин кошелек в 2020 году

Цифровые валюты становятся распространенным методом оплаты среди потребителей во всем мире. Bitcoin и другие криптовалюты быстро расширяют сферу своего применения. Так как люди все больше доверяют им в осуществлении платежей, переводе денег и даже их сохранении.

Тем не менее, волатильность и безопасность остаются двумя важными аспектами, которые люди не могут игнорировать при рассмотрении вопроса о криптовалютах. Привязывание к стабильным денежным единицам, таким как доллар , евро или фунт стерлингов снизило риски.

Что касается мер безопасности, то здесь есть на что обратить внимание. Например, поставщик услуг кошелька, которого вы выбрали для хранения ваших крипто-валют. А сейчас минуточку внимания, спросите себя: обеспечивает ли это защиту ваших средств? Застрахованы ли счета? Как насчет верификации 2FA? Безопасно ли я храню свои личные ключи? Делюсь ли я с кем-нибудь личной информацией? У кого есть доступ к моим аккаунтам? Эти вопросы нельзя игнорировать. Если вы хотите, чтобы ваши средства оставались подальше от рук хакеров.

Один из очень полезных способов повысить безопасность вашего аккаунта — это понять, как хакеры на самом деле могут получить доступ к вашему кошельку. В списке ниже мы рассмотрим некоторые из этих методов:

1. Взлом ваших устройств

Физические кошельки могут быть потеряны и украдены. То же самое касается и цифровых кошельков, особенно тех, которые содержат криптовалюту. Безопасность кошелька состоят из двух ключей:

• Публичный ключ: похожий на номер банковского счета, которым вы делитесь для получения средств.
• Личный ключ: код безопасности, используемый для вывода средств.

Если ваш личный ключ украден, он эквивалентен потере кредитной или дебетовой карты с PIN-кодом, написанным на обратной стороне. Нет необходимости объяснять, что произойдет с вашим аккаунтом дальше.

Хранение ваших личных ключей в Интернете, скажем, в файле на вашем компьютере — не очень мудрая идея. Если хакеры получат доступ к вашему компьютеру, они смогут легко найти файл и использовать его.

По этой причине специалисты по безопасности всегда советуют хранить ваши личные ключи в бумажном виде. Хоть клочок бумаги не кажется самым надежным способом хранения ключей. Также неплохо было бы заламинировать его так, чтобы утренний кофе не разрушил вашу финансовую стабильность.

В некоторых случаях, услуги кошельков, таких как Crypterium , Wirex или Blockchain.com будет хранить ваши личные ключи для вас, избавляя вас от необходимости справляться с этим самостоятельно. Очевидно, что вы должны доверять свои ключи только авторитетным провайдерам, таким как упомянутые выше

2. Отправка фишинговых электронных писем

В настоящее время мы получаем много писем в день. Хакеры знают об этом и имеют инструменты, чтобы использовать это против вас. Фишинговая электронная почта состоит из письма, якобы приходящего от службы, с которой вы, скорее всего, знакомы, и запрашивающего у вас данные для выполнения определенных операций.

Если вы используете службу кошелька, как Wirex, хакеры могут отправить электронное письмо, выдавая себя за представителя компании и прося вас поделиться некоторыми личными данными, и порой даже в лоб попросить ваш пароль. В то время как некоторые из вас могут понять, что официальный представитель никогда не будет запрашивать такую информацию, другие могут попасть в ловушку и предоставить информацию.

Помните, что личные ключи похожи на PIN-коды. Ни один официальный представитель банка не позвонит вам или не отправит электронное письмо с просьбой предоставить такую информацию. Если вы получите подобное сообщение, свяжитесь с официальными представителями и сообщите об этом как можно скорее.

3. Установка кейлоггеров

Все дело в данных. И хакеры постоянно пытаются разными способами достать их. Кейлоггеры — это вредоносные программы, которые записывают каждый вводимый на вашем компьютере или мобильном устройстве пароль или PIN-код, а затем передают их хакерам.

Если вредоносная программа попадает на ваше устройство, то она становится шлюзом для хакеров, чтобы получить доступ к вашим личным ключам. Но… как они вообще попадают на ваше устройство? Ну, есть три способа заразиться от кейлоггера:

• Email: убедитесь, что ваша антивирусная система сканирует все вложения.
• Запуск зараженного программного обеспечения с определенного сайта или торрента.
• Вставка зараженного USB на вашем персональном компьютере или устройстве

4. Скачивание поддельных кошельков

Хакеры пойдут на любой шаг, чтобы украсть крипто-валюту. Поддельные приложения — отличный пример того, как далеко они готовы зайти. Недавнее исследование показало, что несколько приложений на Google App Store выдают себя за Trezor , популярную службу кошельков в криптовалюте.

Исследование показало, что поддельные мобильные приложения, маскирующие официальный кошелек, используют схожие названия и включают в себя убедительные маркетинговые баннеры, чтобы не только обмануть пользователей, но и получить зеленый свет от платформы Google и избежать получения запрета.

Полезным советом, чтобы избежать попадания в эту ловушку, является загрузка приложения прямо с официального сайта службы кошелька. Например, Crypterium Wallet запрашивает номер вашего телефона, чтобы отправить вам безопасную ссылку, которая приведет вас в магазин приложений.

5. Выдавать себя за компанию или человека

Хорошо. Представьте себе: вы являетесь небольшим инвестором и ищете перспективную компанию в крипто-валютном пространстве. Внезапно, представитель этой компании обращается к вам, чтобы рассказать об эксклюзивном предпродажном предложении. Звучит как сделка, не так ли?

Выдавать себя за компании, крипто-валютную биржу или человека к этому причастному — один из наиболее распространенных способов, на которые полагаются хакеры, чтобы получить доступ к вашим средствам.

Почему? Скажем так, легче обмануть кого-то, чем взломать компьютерную систему. В данном конкретном случае, мошенники не заинтересованы в взломе вашего счета, а просто с помощью социальной инженерии они убедят вас перевести X биткойнов на определённый адрес.

Более изощрённые хакеры создают веб-сайты, чтобы вы могли войти в систему и визуализировать свои «инвестиции». Затем вас попросят поделиться данными для доступа к определённым льготам и т.д.

6. Нападение на вас с помощью троянов

Подобно кейлоггерам, трояны могут войти в ваш компьютер и следить за вашим поведением. Воруя все, что напоминает пароль от кошелька.

Трояны — это не совсем новая вещь. И скорее всего, вы уже знаете, как предотвратить заражение ваших устройств. Регулярные антивирусные проверки, загрузка файлов из защищенных источников и т.д.

Если крипто-валютный троян получает доступ к вашему устройству и идентифицирует ваши ключи, то пиши пропало… У него появляется куча способов украсть ваши средства.

7. Установка расширений браузера

От AdBlock-а до проверки грамматики, расширения браузера делают нашу жизнь проще во многих отношениях. Но их скрытый характер также создает потенциальную угрозу вашей безопасности.

Существует множество вариаций расширений. Которые, помимо предоставления ожидаемого сервиса, также отслеживают и копируют данные для хакеров. Поэтому в следующий раз, когда вы дадите доступ к расширению. Проверьте компанию или разработчика, стоящего за ним. И дважды проверьте отзывы и комментарии.

8. В обход двухфакторной аутентификации

Двухфакторная аутентификация, или 2FA , является дополнительным уровнем безопасности, который доверяют поставщики кошельков, такие как Crypterium, чтобы убедиться, что реальные пользователи стоят за определенными транзакциями или операциями. Например, если вы хотите вывести средства со своего счета на внешний кошелек или банковскую карту, вам потребуется ввести код безопасности, отправленный на указанный вами адрес электронной почты или с помощью текстового сообщения.

Несмотря на то, что это остается чрезвычайно эффективным способом защиты клиентов от мошеннических действий, бывали случаи, когда хакеры находили способы обойти 2FA. По этой причине крайне важно всегда следить за полученными уведомлениями.

9. Публикация поддельных объявлений

Многие крипто-валютные компании не могут размещать рекламу в Google, Yandex или Twitter. Лишь немногим уважаемым фирмам это разрешено.

Тем не менее, некоторые мошеннические компании могут найти способ обойти это и запустить недолговечные кампании, ориентированные на людей, желающих купить или продать криптовалюту.

Общим красным флагом являются смехотворные комиссии или другие заманчивые услугами. Как правило Google, Yandex или Twitter, всегда идут навстречу лицензированным компаниям, а не навстречу неизвестным провайдерам.

10. Изменения в вашем буфере обмена

Розничные торговцы, которые принимают прямые платежи в криптовалюте, как правило, делятся своим адресом кошелька на своем сайте. Чтобы вы могли скопировать и вставить его в свой кошелек для перевода денег. Но что, если есть вредоносная программа, которая портит эту простую операцию и вместо того, чтобы вставить адрес продавца, вводит чужой адрес.

Этот тип вредоносных программ — не новое изобретение. Программа под названием CryptoShuffler , как сообщается, украла более 150 тысяч долларов, сделав именно это. Самый простой способ — дважды проверить адрес, который вы вставляете. Хотя на самом деле это не очень привлекательная задача.

Автор: Кирилл Рудин, аналитик Freedman Сlub Crypto News

Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

Биткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами. Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.

Ещё в конце весны я купил доступ за $500 к инсайдам одного инвестиционного клуба. Прикупил себе ещё монет, — это кроме эфира и биткоина, а в конце августа поступила рекомендация о том, что можно отдавать свои биткоины трейдерам под %15 в месяц, именно поэтому я начал свой путь с сайтов, которые занимаются доверительным управлением.

Первая компания — example1.com (Запретили разглашать названия, связанные с их веб-сайтами) очень популярна и известна для многих инвесторов. Перед тем, как вкладывать туда деньги, решил проверить личный кабинет на уязвимости. Зарегистрировался, но на удивление — ничего не нашёл, везде фильтрация, csrf токены и тд. Потом зарегистрировал ещё один аккаунт, но вместо имени вписал скрипт сниффера. Мне долго ничего не приходило, я уже было смирился с тем, что у проекта все хорошо с безопасностью, нет никаких BLIND XSS и прочих вещей, но только до момента пока мне не пришли логи (исходный код, ip администратора, local storage и др)

JS выполнился, когда админ проверял страницу с данными о пользователе admin.example1.com/user/default/index?page=75. Аналогичные уязвимости всё чаще встречаются на hackerone, пример https://hackerone.com/reports/251224.

Просмотрев логи, я расстроился из-за того, что все cookies с httponly флагом и не удалось получить ни одной, в итоге, я бы не смог получить доступ к админ панели, но когда перешёл по ссылке admin.example1.com/user/default/index?page=75, то увидел, что админ панель можно использовать без авторизации, — это грубейшая ошибка разработчиков.

Всего можно было просматривать и изменять информацию о 2010 пользователях (email, телефон, ссылки на соц сети, кошелёк для вывода bitcoin, логин, баланс, реферер). На скриншоте один из самых богатых инвесторов клуба, у него большое число подписчиков и я постоянно слежу за его блогом. Он порекомендовал всем своим подписчикам вкладывать в это ДУ свои деньги, конечно же, по реферальной ссылке, но не больше %20 от капитала. Через небольшой промежуток времени ему удалось заработать на этом 20 биткоинов, что равняется $360 000 на сегодняшний день.

Злоумышленник без какой-либо подготовки или опыта мог легко зайти в админку и изменить email адреса всех инвесторов на свои(или просто изменить кошельки для вывода, чтобы не вызвать лишних подозрений когда жертва решит вывести деньги, ибо при выводе кошелек по каким-то причинам не отображался). Инвесторы там достаточно крупные, у многих есть депозиты >0.5btc. Очень странно, что в админке не указаны пароли в открытом виде, —
у меня такое чувство, что разработчики этого ДУ способны на всё что угодно в плане ухудшения безопасности своего сервиса.

После обнаружения уязвимости я прислал репорт разработчикам, они, в свою очередь, связались с создателем и устранили уязвимость… Мне предложили начислить награду на счет в личном кабинете, где я буду получать % и через полгода смогу выйти в безубыток, а уже через год заберу само тело. Месяцем позже, когда я нашёл похожую blind xss у них в сервисе и получил за неё ещё баунти, стало известно, что разработчиков ДУ уволили (и деньги за их работу на то время вроде бы не выплатили), разработкой стали заниматься другие люди.

Немного позже, после первой рекомендации, пришла вторая (example2.com). Это тоже топовый, популярный сервис доверительного управления, у него alexarank POST /v2/support/cs/work-order/reply HTTP/1.1
Host: http://www.okcoin.com

4. Stored XSS в html файле, который прикреплялся к тикету, но на домене bafangpublic.oss-cn-hangzhou.aliyuncs.com. Домен уже не доступен и whois говорит, что он принадлежит Hangzhou Alibaba Advertising Co.,Ltd.

5. Disclosure information. Я заметил, что разработчики бирж хотят максимально скрыть номер телефона пользователя при взломе аккаунта. На странице безопасности телефон отображается как 636819****, в cookies он 6 * 6. Но в ответе api службы поддержки /v2/support/cs/work-order/2550/replies его полностью отображает, так не годится.

Насколько я понял, — у всех бирж один владелец и нет смысла писать всем отдельно, поэтому отправил репорт в чат и на email биржи okex. Очень быстро получил сообщение от официального аккаунта okex в твиттер, и уязвимости оперативно устранили.

Дальше начал тестировать example3.com. Биржа запретила раскрывать информацию об уязвимостях, цитирую:

Regarding posting on your blog, we would appreciate if you don’t do this at the moment. Our site is still not 100% secured and I fear it will open a door for malicious users.

Обнаружил XSS в кошельке, а именно — в отделе партнерской программы, — получилось поднять её из self в хранимую с помощью csrf эксплойта, можно было воровать cookies, так как отсутствовал флаг httponly. Я мог бы сейчас прикрепить видео, которое уже записал, но, увы — там раскрывается название биржи.

За неё в службе поддержки мне предложили $100, но почти в тот же момент на сниффер пришли логи из их домена для сотрудников.

В логах была только cookie

AWSELB=2ЕB3B1851EC08CCFEEC18E2DB93AE1EF2A69A2A2F9D65DCC84AB785C7C7773319F1F769CCF35CA8F430D5785D5AE4AB2C48C46EE6BE8F33Cу293D40F3CCA9F92E38E62AA65 , сессионная кука(самая главная) отсутствовала, мы не можем проникнуть в админ панель через подмену куков. Я тщательно проверил репорт и нашёл в исходном коде логин и пароль администратора

Но когда зашёл на страницу авторизации, то увидел это.

В админ панель через логин; пароль мы попасть не можем, необходимо взломать учетную запись google и получить доступ к authenticator, или сделать редирект на фишинговый сайт прямо из админки, украсть его код и быстро его ввести. Второй вариант вполне реализуем.

Пока писал репорт об blind xss в админке, нашёл ещё:

1) CSRF уязвимость в изменении реквизитов для вывода партнерских средств, краткий запрос:

security токена нет, был написан эксплойт.

2) iDOR в удалении заказов, уязвимый запрос example3.com/account?act=cancel&order=ID_of_order. Суть уязвимости в том, что если юзер уже создал заказ и хочет переводить свои биткоины на кошелек биржи, — мы можем отменить это действие. В лучшем случае, его заказ просто удалится из системы, в худшем — он переведет биткоины и потеряет свои деньги. Эта уязвимость в основном полезна только для бирж-конкурентов, а не для хакеров.

После того, как я прислал новый репорт в поддержку, со мной на связь вышел chief security officer для обсуждения уязвимостей. Мне хотели позвонить в скайпе или по телефону, но в данный момент мои знания английского находятся на среднем уровне, поэтому решили ограничиться чатом. За уязвимость мне предложили 0,1 btc($1130):

After consulting with our finance and regarding our situation, we can pay you $1000. This is the highest amount we paid for a bug and is much higher than what we usually pay. It is to show our appreciation to you and the way you handled the situation.

Приношу свою благодарность за bounty. Они ответственно относятся к безопасности, приятно было общаться с их CTO.

Всего с поиска уязвимостей на этих сайтах, занимающихся криптовалютой я получил:
Доверительно управление example1.com: 1 btc.
Доверительное управление example2.com: 0,122 btc.
Биржа livecoin.net: $200 фиатными средствами.
Биржа okex.com: 2 btc, я благодарен okex за баунти, CTO биржи разрешил публично раскрыть уязвимость.
Биржа example3.com: 0,1 btc.
1+0.122+2+0.1+$200=$58 200 и с ростом курса bitcoin эта сумма будет расти.

Вывод из статьи: Всегда нанимайте высококвалифицированных программистов для своих проектов, особенно, если ваш бюджет позволяет это сделать. В первых двух случаях компании достаточно крупные, могут позволить себе нанять качественных специалистов, но экономят, и из-за этого могут пострадать пользователи и репутация — они оставляют админку совсем «голой» и игнорируют проблемы, на которые указывает специалист по безопасности.

Белая Получаем доступ к чужому крипто-кошельку blockchain.com и Atomic Wallet

Monetka787

Monetka787

Monetka787

• 10.11.2020

1. Для начала нужно сгенерировать Mnemonic code ( Мнемоническая фраза восстановления – это список слов, в которых хранится вся информация, необходимая для восстановления биткойн-кошелька. Для этого нужно перейти на этот сайт – ТЫК , выбираем количество слов 12 и нажимаем на GENERATE:

2. Копируем полученную фразу и переходим по этой ссылке – https://login.blockchain.com/#/recover

3. Вставляем фразу в строку и нажимаем “CONTINUE”:

4. Вводим новые данные для кошелька и кликаем на “RECOVER FUNDS”:

5. Если всё сделали правильно, то должно появиться такое сообщение –

Через несколько секунд нас перекинет уже на сам аккаунт:

Сразу скажу что шанс получить аккаунт с балансом примерно 1% , поэтому чтобы увеличить шансы получения аккунтов с балансом, можно использовать софт, который будет делать всё автоматически и сохранять данные
от аккаунтов в txt формате –

1. Первый софт
2. Второй софт
3. Если нет VPN, так как на сайт для скачивания он требуется.То можно с Яндекс скачать тут,я перезалил.(Скорость низкая у сайта,у Яндекс хорошая.)Это второй софт. https://yadi.sk/d/M6Z2Qtz9pd3FCQ Проверка второго софта на вирусы VirusTotal

Результат с софтом:

Скрин работы второго софта.Много вкладок не открываю,4-5 хватает.Зависит от мощности компа и интернета.
Первый софт не тестил.
Так же можно поставить на дедик и забыть,проверять изредко.

ВЗЛОМ Atomic Wallet
1. Также генерируем Mnemonic code и копируем его

2. Переходим в кошелёк (ПК или мобильное приложение Atomic Wallet) и кликаем на “RESTORE FROM BACKUP”:

3. В строку вставляем Mnemonic и нажимаем на “RESTORE”:

4. Придумываем новый пароль от кошелька и получаем доступ к аккаунту:

В мобильном приложении всё делается также –

Для повторного входа в кошелёк нужен тот же Mnemonic, который использовали для взлома и пароль который вы изменили. Софт для автоматического взлома Atomic Wallet не был найден

Как крадут биткоины: Пять распространённых способов

На прошлой неделе торговая платформа по продаже майнинговых мощностей NiceHash была взломана и обворована на $64 млн., что ещё раз подчёркивает, насколько мир цифровых валют привлекает мошенников и воров.

Такие истории могут отпугнуть инвесторов-любителей, которые решат для себя, что биткоин не только подвержен колебаниям курса, но и небезопасен. По отношению к биткоину это было бы нечестно.

Дело в том, что биткоин безопасен и простые люди могут защитить его без особых усилий. Реальная проблема заключается в том, что не все понимают, как работает биткоин, и это часто заставляет людей совершать действия, которые приводят к краже монет.

Приведённые ниже примеры, где описываются пять распространённых схем, которыми пользуются воры, чтобы умыкнуть чужие биткоины, помогут вам это понять. Но сначала мы кратко объясним, как работает биткоин, и расскажем, почему он безопасен (вы можете пропустить этот фрагмент, если уже в курсе).

Как технология биткоина защищает ваши средства

Вы можете думать о биткоине как о деньгах, которые упакованы в сейф. Возникает вопрос, хотите ли вы самостоятельно управлять этим сейфом или предпочтёте, чтобы третья сторона делала это за вас.

Большинство обычных инвесторов выбирают второй вариант, покупая и храня биткоины с помощью сервиса вроде Coinbase. Это разумный вариант, поскольку подобные сервисы полагаются на функции безопасности, встроенные в биткоин (вы бы полагались на них, если бы хранили биткоины самостоятельно).

Другой вариант — завести себе биткоин-кошелёк. Это влечёт за собой отслеживание двух строк из клавиатурных символов, известных как открытый ключ и закрытый ключ. Вы можете считать, что открытый ключ — это место расположения вашего сейфа, куда можно положить биткоины, в то время как закрытый ключ — секретный способ открыть сейф, поэтому вы должны хранить этот ключ в тайне.

Биткоин сконструирован так, что в принципе невозможно угадать закрытый ключ, а это означает, что никто не может взломать ваш кошелёк/сейф.

Всё это также говорит о том, что единственный способ, при котором биткоин может быть украден, состоит в том, чтобы вор обманом заставил вас или третью сторону, на которую вы полагаетесь, предоставить доступ к кошельку.

Вот примеры того, как это происходит, и рекомендации, которые помогут вам это предотвратить.

Вор получает пароль от вашего аккаунта в сервисе хранения

Как это происходит: если вы используете сервис вроде Coinbase, вам не нужно беспокоиться о том, как запомнить открытый и закрытый ключи. Это похоже на онлайн-банкинг, где вы используете имя пользователя (обычно адрес электронной почты) и базовый пароль.

И это позволяет ворам обчистить вас, получив ваш пароль. Самый распространённый способ сделать это — взломать аккаунт электронной почты клиента, а затем попросить Coinbase (или любой другой сервис, который вы используете) сбросить пароль. Инструкция по сбросу отправляется на ваш взломанный аккаунт электронной почты, что позволяет вору получить доступ к биткоинам.

Как это предотвратить: во-первых, защитите свой аккаунт электронной почты с помощью двухфакторной аутентификации, чтобы не допустить атак. Во-вторых, сделайте то же самое со своим сервисом хранения биткоинов. Coinbase уже требует двухфакторный вход в систему: он состоит из пароля и полученного по SMS текста. Поскольку SMS могут быть перехвачены, вы должны пользоваться опцией проверки на основе приложения, такого как Google Authenticator. (Это может показаться сложным, хотя это не так. Это кибергигиена, которая должна использоваться для любого защищённого паролем онлайн-сервиса.)

Вы сами раскрываете свой закрытый ключ

Как это происходит: этот риск существует только в том случае, если вы сами управляете своим кошельком. В этой ситуации кто-то может получить ваш секретный ключ, зайдя в вашу электронную почту (если вы храните закрытый ключ в ней). Или вы можете показать его кому-то из своего реального окружения. Был случай, когда человек показал свой секретный ключ на телешоу и хакеры быстро опустошили его кошелёк.

Как это предотвратить: храните секретный ключ на листе бумаги или на USB-накопителе и помещайте его в безопасное место, например в сейф (из реального мира).

Хакер изображает получателя биткоинов

Как это происходит: ряд громких киберкраж произошёл в этом году, когда компании проводили ICO и просили инвесторов платить биткоинами. В некоторых случаях хакеры представлялись компаниями-организаторами при помощи фальшивых веб-сайтов и убеждали инвесторов отправлять миллионы долларов в биткоинах на поддельный кошелёк. Отправленные коины невозможно вернуть, так как транзакции необратимы.

Как это предотвратить: когда вы собираетесь передать биткоины кому-либо, проверьте, что кошелёк является подлинным.

Вы полагаетесь на небезопасную третью сторону

Как это происходит: недавняя кража $64 млн. из сервиса NiceHash, похоже, произошла из-за того, что хакеры взломали ноутбук сотрудника и получили доступ к платёжным сервисам компании. Хакеры получили доступ к одному из кошельков, где находились средства, принадлежащие клиентам NiceHash, и опустошили его.

Подобные инциденты напоминают случай, когда злоумышленники взломали платёжную систему Target и украли информацию о кредитных картах клиентов. Владельцы биткоинов могут вести бизнес с компаниями, которые не защищены надлежащим образом в плане кибербезопасности. В отличие от «дела Target», у владельцев биткоинов нет способа вернуть свои деньги.

Как это предотвратить: будьте внимательны при выборе биткоин-компаний, с которыми вы решили вести бизнес.

Мошенничество с выходом из дела

Как это происходит: компания предлагает услуги, связанные с биткоинами — биржу/рынок, где у клиентов есть биткоин-аккаунт. Внезапно компания исчезает, утверждая, что её взломали. На самом деле её владельцы совершают «мошенничество с выходом из дела» — исчезают из интернета с биткоинами своих клиентов.

Как это предотвратить: этот вид мошенничества часто связан с тёмными углами сети или с фирмами-однодневками. Если вам сильно хочется пощеголять там биткоинами, то единственный совет — помните о рисках.

Взлом Bitcoin-кошелька: простые пароли — помощь мошенникам!

Сразу хотелось бы отметить, что данная статья не является гайдом, как осуществить взлом Bitcoin-кошелька, а в первую очередь нацелена на то, чтобы продемонстрировать насколько важно использовать надежные пароли для собственных кошельков.

Взлом Bitcoin-кошелька: теория

Всем известно, что для получения собственного Bitcoin-адреса необходимо сгенерировать случайное число, размер которого будет составлять 256 бит или 32 байта. В рассматриваемой криптовалюте для этого используется алгоритм SHA-256. Если верить подсчетам, то для расшифровки этого значения необходимо сделать 16 32 итераций. Соответствнно, существующие вычислительные мощности потратят на это целую вечность.

Но есть другой подход: что, если мы уже будем знать тот самый приватный ключ? Тогда определить публичный будет проще простого. И тут играет наивность людей, которые создают пароли типа QWERTY, 12345678 и т.д. Подобные комбинации можно легко определить, получив приватный ключ и доступ к кошельку. Как же взлом Bitcoin-кошелька осуществляется на практике?

Взлом Bitcoin-кошелька: практика

Итак, первым делом нам необходимо подобрать сам приватный ключ. Для этого мы будем использовать простейший калькулятор SHA-256. Как же это работает? Берем возьмем самую простую комбинацию, которая теоретически может использоваться в качестве пароля: 12345678. Через калькулятор генерируем для нее хеш. Он будет иметь следующий вид:

Собственно, это и есть наш приватный ключ, который мы будем использовать в дальнейшем.

Далее, переходим на сайт для создания Bitcoin-адресов bitaddress.org. На нем нам необходимо двигать мышкой до тех пор, пока не будет сгенерирован новый адрес. После этого нужно перейти на вкладку Wallet Details. Там будет строка Enter Private Key. Вставляем в нее полученный хеш и нажимаем кнопку View Details. Внизу появятся два адреса: один сжатый, а второй полный.

Взлом Bitcoin-кошелька практически завершен – теперь остается только проверить действителен ли он и есть ли, чем на нем поживиться. Заходим на эксплорер Bitcoin blockchain.info и вставляем адрес в поисковую строку. В нашем случае нам удалось найти активный адрес, но все средства на нем уже выведены.

Собственно, на этом взлом Bitcoin-кошелька завершен. Таким образом, подбирая самые популярные пароли, можно получить доступ к кошельку, который теоретически может иметь положительный баланс.

Заключение

Этот способ уже далеко не нов, но все также остается рабочим. Еще несколько лет назад на одном из криптовалютных форумов был опубликован список из миллионов различных паролей, которые проверялись пользователями. Правда, сегодня данный способ малоэффективен в силу того, что все подобные кошельки жестко мониторятся пользователями. И любые транзакции сразу перехватываются.

Надеемся, что данная статья дала вам понять, что Bitcoin-кошелек — это не игрушка и относиться к его безопасности следует с особым трепетом и тщательностью. В противном случае можно потерять все свои сбережения.

Сколько времени нужно хакерам, чтобы взломать ваш Биткоин-кошелёк и украсть криптовалюту?

Вам не кажется, что мы слишком много в своей жизни доверяем простым паролям, а в последнее время и приватным ключам, которые защищают наши кошельки с криптовалютами? Если у злоумышленника в руках окажется ваш приватный ключ, считайте, что вы подарили ему свои биткоины. Как думаете, сколько времени у него уйдёт на то, чтобы завладеть вашим паролем или приватным ключом от кошелька?

Сколько нужно времени, чтобы подобрать приватный ключ Биткоин-кошелька?

Напомню, приватный ключ — или закрытый ключ, как он называется в криптографии за пределами криптопространства — это 256-значное число, которое может быть также представлено в виде 64-значного шестнадцатеричного ключа.

Не так давно на сайте Better Buys запустили новый сервис, при помощи которого можно проверить сложность своего пароля. А что если ввести туда приватный ключ и узнать, сколько времени понадобится хакерам для подбора «пароля» от всех ваших биткоинов?

Источник: Better Buys

Бесконечность! И действительно, мы узнаем на сайте лишь то, что взломать ваш приватный ключ простым подбором невозможно. Однако давайте пока отставим празднования.

Что насчёт сид-фразы для восстановления кошелька?

Кто из нас знает наизусть приватные ключи от своих кошельков? Некоторые кошельки даже не предоставляют сами приватные ключи, вместо этого они выдают сид-фразы, при помощи которых можно восстановить кошелёк в случае непредвиденных обстоятельств. Как правило, сид-фразы состоят из 12-16 слов, которые пользователям предлагается записать на бумажке и хранить в каком-нибудь безопасном месте.

И опять же, при тестировании случайно сгенерированного ключа для пустого кошелька сервис выдал заветное слово «Бесконечность».

Хорошо, но есть ли более конкретные цифры?

Безусловно, все мы (на самом деле, нет) записали сиды на бумажку, положили в сейф или в банковскую ячейку и сидим довольные, будучи уверенными в сохранности наших биткоинов. Однако всегда надо помнить, что взломать кошелёк можно и с другой стороны. Например, почти у всех нас кошельки установлены на компьютере или смартфоне. И при этом открыть их получится при помощи самого простого пароля, а иногда отпечатком пальца. В свою очередь аппаратные криптовалютные кошельки в большинстве случаев защищены 4-значным PIN-кодом. И сколько же уйдёт времени, чтобы украсть ваши биткоины?

Плохие новости. На подбор 4-значного PIN-кода требуется не более 5 миллисекунд. Однако это при условии, если у вас в запасе есть бесконечное количество попыток для пробы очередной комбинации цифр. Кстати, сервис Better Buys позволяет даже вернуться в прошлое, чтобы оценить технические возможности для взлома на тот момент времени. Например, в 1992 году взлом PIN-кода занял бы чуть больше — около 3.5 минуты. Здесь обнадёживает лишь то, что в данный механизм защиты включили ограничение по количеству попыток.

Что же касается паролей, то строку из 7 случайных цифр можно подобрать за половину миллисекунды. Кстати, если добавить к этой строке хотя бы одну букву, то срок взлома тут же увеличивается до 5 часов. Ну а дальше по нарастающей. Если использовать пароль из 12 случайных букв, то на его взлом потребуется 2 века, даже с учётом самых современных технологий.

Ещё одним методом повышения сложности пароля является использование комбинации из больших и маленьких букв, цифр, а также специальных символов.

Простой пример: подбор пароля Password займёт 1/5 миллисекунды. В то же время программе для подбора паролей потребуется 14 лет, чтобы угадать пароль ‘P@ssw0rD’. Источник: Better Buys

Самое важное, что необходимо вынести из этой статьи: несмотря на относительную неуязвимость приватных ключей и сид-паролей Биткоин-кошельков, самым слабым звеном в их защите являетесь вы сами. Даже генеральный директор Твиттера Джек Дорси не смог стать исключением из этого правила.

А какие пароли для защиты своих аккаунтов и кошельков используете вы? Поделитесь ими в нашем крипточате миллионеров.