Forwarded from SOLAR Labs
Meet #MNEMOGATE. Exposed wallets in Cosmos-based blockchains.
Recently, our joint investigation team SOLAR Labs & MightyFrog found out that there’s a relatively easy way to lose your tokens due to confusing naming of transaction parameters in Cosmos-based blockchains. Some of the users put their mnemonics (wallet private key, in other words) into publicly visible MEMO of transactions, which is basically acting like more a "note" for a transaction.
Our team made some efforts to take situation under control and save inattentive people's tokens:
1) First of all, we've introduced a website to check if your wallet was exposed. We've scanned Cosmos, Persistence, CertiK, Akash & Sentinel blockchain networks and found wallets with tokens of total worth over 1,300,000 U.S. dollars. Go and check if your wallet is compromised.
2) We've delegated most of available tokens of such wallets to reliable validators — to make sure no one is able to withdraw them from you without your consent. For Sentinel — it's our SOLAR Validator and Amphibious, for other blockchains it's No. #1 validator of the network. Tokens cannot be withdrawn unless unbonded and unbonding period is long enough to take further actions and prepare to protect vulnerable wallets.
3) We're preparing pull requests for wallet apps and etc. to make sure, that MEMO parameter is changed to something less confusing and users are not submitting their mnemonics into it.
We've also introduced a hotline email to provide support to everyone, who were affected by this issue — [email protected]. Feel free to reach us if you have any questions.
Stay tuned,
Aleksandr Litreev
CEO at Solar Labs
Drink water, wash your hands and keep your mnemonic safe and secret.
Recently, our joint investigation team SOLAR Labs & MightyFrog found out that there’s a relatively easy way to lose your tokens due to confusing naming of transaction parameters in Cosmos-based blockchains. Some of the users put their mnemonics (wallet private key, in other words) into publicly visible MEMO of transactions, which is basically acting like more a "note" for a transaction.
Our team made some efforts to take situation under control and save inattentive people's tokens:
1) First of all, we've introduced a website to check if your wallet was exposed. We've scanned Cosmos, Persistence, CertiK, Akash & Sentinel blockchain networks and found wallets with tokens of total worth over 1,300,000 U.S. dollars. Go and check if your wallet is compromised.
2) We've delegated most of available tokens of such wallets to reliable validators — to make sure no one is able to withdraw them from you without your consent. For Sentinel — it's our SOLAR Validator and Amphibious, for other blockchains it's No. #1 validator of the network. Tokens cannot be withdrawn unless unbonded and unbonding period is long enough to take further actions and prepare to protect vulnerable wallets.
3) We're preparing pull requests for wallet apps and etc. to make sure, that MEMO parameter is changed to something less confusing and users are not submitting their mnemonics into it.
We've also introduced a hotline email to provide support to everyone, who were affected by this issue — [email protected]. Feel free to reach us if you have any questions.
Stay tuned,
Aleksandr Litreev
CEO at Solar Labs
Drink water, wash your hands and keep your mnemonic safe and secret.
Cybersecurity & Co. 🇺🇦
Meet #MNEMOGATE. Exposed wallets in Cosmos-based blockchains. Recently, our joint investigation team SOLAR Labs & MightyFrog found out that there’s a relatively easy way to lose your tokens due to confusing naming of transaction parameters in Cosmos-based…
Встречайте #MNEMOGATE. Скомпрометированные кошельки в блокчейнах на базе Cosmos. Перевод.
Недавно наша исследовательская группа SOLAR Labs и MightyFrog нашла один очень простой способ потерять все ваши токены из-за путающего пользователей названия одного из параметров транзакций. Некоторые пользователи опубликовали свои мнемоники (приватные ключи кошельков, другими словами) в поле MEMO, которое служит простым "комментарием" к транзакции и доступно всеобщему обозрению в блокчейне.
Наша команда предприняла меры, чтобы взять ситуацию под контроль и сохранить токены невнимательных пользователей:
1) Во-первых, мы представили сайт, на котором можно проверить, скомпрометирован ли ваш кошелек. Просканировав сети Cosmos, Persistence, CertiK, Akash и Sentinel, мы нашли кошельки с токенами общей суммой более чем на 1,300,000 долларов США. Проверьте, что ваш кошелек не скомпрометирован.
2) Мы делегировали большинство доступных токенов таких кошельков надежным валидаторам сети. Это сделано для того, чтобы никто не мог списать токены с ваших кошельков без вашего согласия. Для сети Sentinel — это наш SOLAR Validator и Amphibious, а для других блокчейнов мы выбрали ТОП-1 валидатора сети. Токены не могут быть списаны до разделегирования, а период разделегирования достаточно долгий, чтобы принять меры по дальнейшему спасению утопающих.
3) Мы подготовим ряд Pull Request'ов в приложения кошельков, дабы убедиться, что параметр MEMO переименован во что-то более понятное и никто из пользователей не публикует свои мнемоники на всеобщее обозрение через него.
Также, запустили "горячий" адрес эл. почты, по которому помогаем тем, кто пострадал от этой проблемы — [email protected]. Пишите, если у вас есть какие-то вопросы.
Следите за новостями,
Александр Литреев
CEO в Solar Labs
Пейте воду, мойте руки и держите свою мнемонику в секрете.
Недавно наша исследовательская группа SOLAR Labs и MightyFrog нашла один очень простой способ потерять все ваши токены из-за путающего пользователей названия одного из параметров транзакций. Некоторые пользователи опубликовали свои мнемоники (приватные ключи кошельков, другими словами) в поле MEMO, которое служит простым "комментарием" к транзакции и доступно всеобщему обозрению в блокчейне.
Наша команда предприняла меры, чтобы взять ситуацию под контроль и сохранить токены невнимательных пользователей:
1) Во-первых, мы представили сайт, на котором можно проверить, скомпрометирован ли ваш кошелек. Просканировав сети Cosmos, Persistence, CertiK, Akash и Sentinel, мы нашли кошельки с токенами общей суммой более чем на 1,300,000 долларов США. Проверьте, что ваш кошелек не скомпрометирован.
2) Мы делегировали большинство доступных токенов таких кошельков надежным валидаторам сети. Это сделано для того, чтобы никто не мог списать токены с ваших кошельков без вашего согласия. Для сети Sentinel — это наш SOLAR Validator и Amphibious, а для других блокчейнов мы выбрали ТОП-1 валидатора сети. Токены не могут быть списаны до разделегирования, а период разделегирования достаточно долгий, чтобы принять меры по дальнейшему спасению утопающих.
3) Мы подготовим ряд Pull Request'ов в приложения кошельков, дабы убедиться, что параметр MEMO переименован во что-то более понятное и никто из пользователей не публикует свои мнемоники на всеобщее обозрение через него.
Также, запустили "горячий" адрес эл. почты, по которому помогаем тем, кто пострадал от этой проблемы — [email protected]. Пишите, если у вас есть какие-то вопросы.
Следите за новостями,
Александр Литреев
CEO в Solar Labs
Пейте воду, мойте руки и держите свою мнемонику в секрете.
This media is not supported in your browser
VIEW IN TELEGRAM
Навальный.
Всем привет, меня зовут Александр Литреев. Человек, которого я искренне считаю своим другом сейчас находится в колонии во Владимирской области. Чудом выжив после покушения на убийство с использованием боевых отравляющих веществ, он вернулся на родину, где его, в нарушение всех возможных законов, вопреки любой морали и справедливости, незамедлительно отправили за решётку. Будучи в заключении, он подорвал своё здоровье. Сейчас к нему не допускают врачей, в связи с чем он объявил голодовку. Его жизнь находится под реальной угрозой. Фактически, его сейчас снова пытаются убить. Этот друг — Алексей Навальный.
Я требую немедленно допустить врачей к Алексею, освободить его и прекратить этот цирк с сфабрикованными уголовными делами. И вы, требуйте.
Всем привет, меня зовут Александр Литреев. Человек, которого я искренне считаю своим другом сейчас находится в колонии во Владимирской области. Чудом выжив после покушения на убийство с использованием боевых отравляющих веществ, он вернулся на родину, где его, в нарушение всех возможных законов, вопреки любой морали и справедливости, незамедлительно отправили за решётку. Будучи в заключении, он подорвал своё здоровье. Сейчас к нему не допускают врачей, в связи с чем он объявил голодовку. Его жизнь находится под реальной угрозой. Фактически, его сейчас снова пытаются убить. Этот друг — Алексей Навальный.
Я требую немедленно допустить врачей к Алексею, освободить его и прекратить этот цирк с сфабрикованными уголовными делами. И вы, требуйте.
Forwarded from Channel
❗️ ВАЖНО!
Мы решили сделать наш VPN полностью бесплатным ДЛЯ ВСЕХ в предверии митингов в среду. Начиная со вторника, все желающие смогут получить доступ к бесплатному VPN через Красную Кнопку.
Установите Красную Кнопку сейчас, чтобы получить уведомление:
https://redbtn.info
Мы решили сделать наш VPN полностью бесплатным ДЛЯ ВСЕХ в предверии митингов в среду. Начиная со вторника, все желающие смогут получить доступ к бесплатному VPN через Красную Кнопку.
Установите Красную Кнопку сейчас, чтобы получить уведомление:
https://redbtn.info
Касательно якобы «слитой» базы ФБК. Это развод — никакая база (кроме email’ов) не слита. Все остальные данные были подобраны злоумышленниками по открытым источникам.
Если вам пришло письмо от этих горе-хакеров, пожалуйста, сообщите об этом в наш чат:
https://www.tg-me.com/joinchat-nBJNt73zzKk4OTA0
Если вам пришло письмо от этих горе-хакеров, пожалуйста, сообщите об этом в наш чат:
https://www.tg-me.com/joinchat-nBJNt73zzKk4OTA0
Forwarded from Чайный Клуб
Как выжить на несогласованном митинге
В среду, 21 апреля, многие из вас выйдут на митинг за Навального, свободу и гражданские права человека.
Как на самой демонстрации, так и в её предверии государство развернёт машину репрессий. Как не поддаваться на провокации полиции и правильно отвечать на вопросы, если вами или вашими близкими вдруг заинтересовались:
👮♀️ blog.libtea.club/mama_ya_v_policii
Ситуация во время протеста может накалиться до предела — полиция может нанести демонстрантам серьёзные травмы. В сети много советов по оказанию первой помощи, но часто они бесполезные или даже вредные. Пишем, как помочь и не навредить, на основе своего опыта:
🚑 blog.libtea.club/first_medical_aid
Что делать в случае задержания и как всё должно работать с точки зрения закона? Наш юрист по административному праву, Евгений Смирнов, в феврале проводил большой вебинар об этом. Запись не потеряла актуальности, и мы добавили таймкоды, чтобы вы могли посмотреть только то, что интересно именно вам:
🧑🏫 youtu.be/NzViM2ToNK0
Красная кнопка — приложение, разработанное участником @libteaclub, Александром Литреевым. Оно в одно нажатие оповестит правозащитников из ОВД-инфо и ваших друзей о том, что вас задержали. Адвокаты узнают, куда им ехать — достаточно включить трансляцию своего местоположения. В этот раз ставки высоки, поэтому Кнопка будет также выполнять функции системы массового оповещения и VPN.
🔴 redbtn.info
Берегите себя и помните про 51 статью конституции.
В среду, 21 апреля, многие из вас выйдут на митинг за Навального, свободу и гражданские права человека.
Как на самой демонстрации, так и в её предверии государство развернёт машину репрессий. Как не поддаваться на провокации полиции и правильно отвечать на вопросы, если вами или вашими близкими вдруг заинтересовались:
👮♀️ blog.libtea.club/mama_ya_v_policii
Ситуация во время протеста может накалиться до предела — полиция может нанести демонстрантам серьёзные травмы. В сети много советов по оказанию первой помощи, но часто они бесполезные или даже вредные. Пишем, как помочь и не навредить, на основе своего опыта:
🚑 blog.libtea.club/first_medical_aid
Что делать в случае задержания и как всё должно работать с точки зрения закона? Наш юрист по административному праву, Евгений Смирнов, в феврале проводил большой вебинар об этом. Запись не потеряла актуальности, и мы добавили таймкоды, чтобы вы могли посмотреть только то, что интересно именно вам:
🧑🏫 youtu.be/NzViM2ToNK0
Красная кнопка — приложение, разработанное участником @libteaclub, Александром Литреевым. Оно в одно нажатие оповестит правозащитников из ОВД-инфо и ваших друзей о том, что вас задержали. Адвокаты узнают, куда им ехать — достаточно включить трансляцию своего местоположения. В этот раз ставки высоки, поэтому Кнопка будет также выполнять функции системы массового оповещения и VPN.
🔴 redbtn.info
Берегите себя и помните про 51 статью конституции.
Поговорили с «Настоящим Временем» про СВР и их сайт в Даркнете
https://www.currenttime.tv/a/razvedka-darknet/31211594.html
https://www.currenttime.tv/a/razvedka-darknet/31211594.html
Настоящее Время
"Следуйте простым инструкциям". Служба внешней разведки России открыла приемную в даркнете
30 декабря 2020 года в левом нижнем углу на сайте Службы внешней разведки России появилась неприметная ссылка – Report Information ("сообщить информацию"), это единственная фраза на английском языке на главной странице сайта. Ссылка ведет на инструкцию по…
Forwarded from Говорит Литреев (Aleksandr Litreev)
Штабы Навального включили в перечень террористов/экстремистов. Приехали.
Содержимое Email-ящиков МИД России оказалось в открытом доступе.
На днях неизвестный хакер выгрузил из почтовых ящиков российского внешнеполитического ведомства файлы и документы, в том числе, конфиденциального характера. Ларец открывался просто — почта своим интерфейсом светит в сеть, а пароли дипломатов оказались весьма незамысловатыми.
Возможно, вы помните, что некоторое время назад я смог авторизоваться в админке портала законодательства РФ с логином и паролем admin/admin. Ещё тогда я предупредил, что такая проблема есть ещё у ряда государственных служб. Всё это — результат крайней халатности на всех уровнях иерархии ведомств.
Обо всём этом я поговорил с Настоящим Временем. Подробнее — по ссылке ниже.
https://www.currenttime.tv/a/darknet-mofa-russia/31242815.html
На днях неизвестный хакер выгрузил из почтовых ящиков российского внешнеполитического ведомства файлы и документы, в том числе, конфиденциального характера. Ларец открывался просто — почта своим интерфейсом светит в сеть, а пароли дипломатов оказались весьма незамысловатыми.
Возможно, вы помните, что некоторое время назад я смог авторизоваться в админке портала законодательства РФ с логином и паролем admin/admin. Ещё тогда я предупредил, что такая проблема есть ещё у ряда государственных служб. Всё это — результат крайней халатности на всех уровнях иерархии ведомств.
Обо всём этом я поговорил с Настоящим Временем. Подробнее — по ссылке ниже.
https://www.currenttime.tv/a/darknet-mofa-russia/31242815.html
Настоящее Время
В даркнете опубликовали документы МИД России, чтобы "ускорить падение" Путина. Настоящее Время поговорило с организатором утечки
В конце апреля 2021 года Министерство иностранных дел России подверглось кибератаке: анонимы похитили паспортные данные сотрудников, отчеты о работе, инструкции для переговоров и другие конфиденциальные документы. Вскоре этот архив появился на площадке Intel…
This media is not supported in your browser
VIEW IN TELEGRAM
Привет, это Литреев.
Ищу супергероев в команду нового проекта — Android, iOS и Frontend разработчиков! Перевезем вас в Европу (если хотите) и будем бороться за свободный интернет!
iOS разработчик:
https://hh.ru/vacancy/44654352
Android разработчик:
https://hh.ru/vacancy/44654316
Frontend разработчик:
https://hh.ru/vacancy/44654715
Репост, пожалуйста!
Ищу супергероев в команду нового проекта — Android, iOS и Frontend разработчиков! Перевезем вас в Европу (если хотите) и будем бороться за свободный интернет!
iOS разработчик:
https://hh.ru/vacancy/44654352
Android разработчик:
https://hh.ru/vacancy/44654316
Frontend разработчик:
https://hh.ru/vacancy/44654715
Репост, пожалуйста!
Cybersecurity & Co. 🇺🇦
Привет, это Литреев. Ищу супергероев в команду нового проекта — Android, iOS и Frontend разработчиков! Перевезем вас в Европу (если хотите) и будем бороться за свободный интернет! iOS разработчик: https://hh.ru/vacancy/44654352 Android разработчик: htt…
Получили более 1000 резюме за последние сутки. Мы отобрали лучших из лучших и отправили приглашения на собеседования.
Если вы чувствуете мощь в своих жилах, но всё еще не подали к нам заявку — милости прошу, никогда не поздно.
Всем спасибо!
Если вы чувствуете мощь в своих жилах, но всё еще не подали к нам заявку — милости прошу, никогда не поздно.
Всем спасибо!
Кибератаки в отношении США
Поговорил с Юрием Жигалкиным из «Радио Свобода» о последних громких кибератаках на критическую инфраструктуру США. Кто за этим стоит, зачем это делают и что будет дальше — читайте в материале на сайте издания.
https://www.svoboda.org/a/31363375.html
Поговорил с Юрием Жигалкиным из «Радио Свобода» о последних громких кибератаках на критическую инфраструктуру США. Кто за этим стоит, зачем это делают и что будет дальше — читайте в материале на сайте издания.
https://www.svoboda.org/a/31363375.html
Радио Свобода
Союз Кремля и хакеров. Почему киберпреступники не боятся гнева США
Выполняют ли хакеры задания Кремля, атакуя американские объекты? Белый дом пугает, а хакерам не страшно? Могут ли США уничтожить кошельки российских олигархов? Война в киберпространстве?
О дерзких кибератаках на американские объекты мы говорим с Полом Джоялом…
О дерзких кибератаках на американские объекты мы говорим с Полом Джоялом…
Слышали ли вы когда-нибудь про криптомиксеры? Используете ли их для анонимизации ваших транзакций?
Едва ли можно сказать, что транзакции в blockchain анонимны — вся история транзакций в открытом доступе. Один из вариантов дополнительной защиты — криптомикшеры. Слышали ли наши подписчики о них и пользуются ли ими?
Едва ли можно сказать, что транзакции в blockchain анонимны — вся история транзакций в открытом доступе. Один из вариантов дополнительной защиты — криптомикшеры. Слышали ли наши подписчики о них и пользуются ли ими?
Cybersecurity & Co. 🇺🇦 pinned «Слышали ли вы когда-нибудь про криптомиксеры? Используете ли их для анонимизации ваших транзакций? Едва ли можно сказать, что транзакции в blockchain анонимны — вся история транзакций в открытом доступе. Один из вариантов дополнительной защиты — криптомикшеры.…»
Криптомиксеры — что это такое и зачем это нужно?
Подавляющее большинство существующих блокчейнов держат историю транзакций кошельков в открытом доступе — это предоставляет любому желающему пользователю отследить движение средств. Зная изначальный или конечный кошелек "путешествия" средств, можно проследить всю цепочку. Казалось бы, а что такого, ведь транзакции не содержат в себе личных данных и кошелек ничего не знает о своем владельце?
На самом деле всё просто — привязка к конкретных средств к личности происходит, например, в момент приобретения или продажи криптовалюты. Это может быть какая-то биржа, а может быть личная встреча или банковский перевод человеку с LocalBitcoin. Таким образом, кто-то, кто продал вам криптовалюту, обладает знанием о том, что этот конкретный криптокошелек принадлежит конкретно вам. Соответственно, это же лицо может отслеживать все ваши последующие транзакции — узнать цель ваших переводов дальше уже не составит труда.
Криптовалютные миксеры решают эту проблему. С их помощью можно значительно увеличить степень вашей анонимности в блокчейне. Алгоритм работы таких сервисов прост: владелец криптовалюты отправляет её на адрес миксера, который генерируется отдельно для каждого клиента, затем его средства смешиваются с транзакциями других участников или дробятся между множеством кошельков внутри него, составляя сложный "лабиринт" из транзакций. Разобраться в нём и не спутать транзакции одного пользователя с сотнями других — практически невозможно. После этих процедур, криптовалюта из этого "лабиринта" попадает в конечное назначение — другой указанный кошелек реального владельца средств.
Некоторые криптовалюты, такие как ZCash, не требуют использования миксеров — транзакции в них не "разглашаются" в открытый доступ, а блокчейн хранит лишь, так называемое, доказательство с нулевым разглашением. В других же, таких как Bitcoin или Ethereum таких средства защиты пока нет — здесь в игру и вступают криптомиксеры.
Подавляющее большинство существующих блокчейнов держат историю транзакций кошельков в открытом доступе — это предоставляет любому желающему пользователю отследить движение средств. Зная изначальный или конечный кошелек "путешествия" средств, можно проследить всю цепочку. Казалось бы, а что такого, ведь транзакции не содержат в себе личных данных и кошелек ничего не знает о своем владельце?
На самом деле всё просто — привязка к конкретных средств к личности происходит, например, в момент приобретения или продажи криптовалюты. Это может быть какая-то биржа, а может быть личная встреча или банковский перевод человеку с LocalBitcoin. Таким образом, кто-то, кто продал вам криптовалюту, обладает знанием о том, что этот конкретный криптокошелек принадлежит конкретно вам. Соответственно, это же лицо может отслеживать все ваши последующие транзакции — узнать цель ваших переводов дальше уже не составит труда.
Криптовалютные миксеры решают эту проблему. С их помощью можно значительно увеличить степень вашей анонимности в блокчейне. Алгоритм работы таких сервисов прост: владелец криптовалюты отправляет её на адрес миксера, который генерируется отдельно для каждого клиента, затем его средства смешиваются с транзакциями других участников или дробятся между множеством кошельков внутри него, составляя сложный "лабиринт" из транзакций. Разобраться в нём и не спутать транзакции одного пользователя с сотнями других — практически невозможно. После этих процедур, криптовалюта из этого "лабиринта" попадает в конечное назначение — другой указанный кошелек реального владельца средств.
Некоторые криптовалюты, такие как ZCash, не требуют использования миксеров — транзакции в них не "разглашаются" в открытый доступ, а блокчейн хранит лишь, так называемое, доказательство с нулевым разглашением. В других же, таких как Bitcoin или Ethereum таких средства защиты пока нет — здесь в игру и вступают криптомиксеры.