👺Также обратите внимание, что любая орагинация может развернуть / заставить технарей внедрить EDR и другие меры, и должна бы делать это. Всё, никаких споров. Конец разговора.

Однако, крипто индустрия в целом считает это "не очень так идейкой" исходя из всех типов философских + практичных причин.

Так что, пока мы не стали идеальными, вот расклад:

Когда деревенщина утверждает "малварь" или "ой это троян", в обсуждении утончённой атаки, мы не имеем ввиду простой инфостилер, криптостилер, или другое дерьмо "общего назначения".

Атака утончённая потому, что должна быть такой.

Это не взлом, если они не смогут обойти Железные Валлеты и Мульти-Сиг валлеты.

Атакующие получают какой-то мелкий доступ, и затем используют его, чтобы в конце концов получить полный, удалённый доступ к вашему девайсу.

Это значит, что они могут читать и писать.

Это значит, что они могут видеть все ваши файлы, смотреть как вы работаете, читать ваши сообщения, использовать вашу клавиатуру, создавать новые файлы, и модифицировать уже существующие. 😱

#bqwallets #bybithack #multisig

🧣Вам и ПРАВДА необходимо защитить себя от попсовых крипто-крадунов

(НАЧНИТЕ УЖЕ ИСПОЛЬЗОВАТЬ ЖЕЛЕЗНЫЕ КОШЕЛЬКИ, ВЫ МАНЬЯКИ!!!!)

НО, если вы управляете Централизованной Криптобиржей (CEX), или протоколом, и вы в самом деле используете Железные Кошельки и Мульти-Сиги, вы играете против совершенно другого типа противника.

И такие противники - со стальными жопами. 😈

Ну, вообще, обычно, это целая команда стальных жоп. 😈😈😈😈😈

Которые внедряются и выясняют и схематозят и пишут вирусный код чтобы красть крипту, весь день, каждый день.

Когда они осознают, что вы на самом деле не владеете ключами от вашего лептопа... или от вашего AWS... или, что вы используете Мулти-Сиг...

#bqwallets #bybithack #multisig

🧰...То они просто пишут кастомный ебучий блять вирусный код-солюшен, заточенный конкретно под вашу жопу. 😳

Они протестируют свою схему в течение недель, до того как поймут все детали верно + убедятся, что она работает.

Они создадут кастомные транзакционные детали для каждого конкретного участника в Мульти-Подписи, чтобы он подписал это при помощи своего отдельного кошелька, в конкретно заданный день.

#bqwallets #bybithack #multisig

🧲В случае WazirX, они подготовили всё вокруг архитектуры "GALA"

Так как у неё в тот день оказался самый низкий баланс среди всех коинов.

Атакущие задепозитили ETH —> сняли GALA —> свопнули назад в ETH —> задепозитили ETH —> сняли ещё GALA.

До того момента, когда команда не получие уведомление, и повторное уведомление, что у них низкий баланс токена GALA. 🫠

#bqwallets #bybithack #multisig

🧨А эта штучка с третьей стороной провайдером HSM и их безопасностью?

Которая позволяет автоматическую подпись всех транзакций, надо лишь, чтобы все участники поставили свою подпись?

ЛОЛ.

Вайтлист?

Псссссст, просто сотворите кастомный чек, который смотрится точно как будто имеет правильный "адрес получения".

Если хакерам нужно, то можно изменять разные аттрибуты прямо на лету.

#bqwallets #bybithack #multisig

🩸Вы также могли заметить, что задроты Безопасники задают вопросы, какая Операционная Система и какие приложения использовались командой Radiant

Кто-то использовал Макбуки, другие Windows.
Кто-то юзал Frame, другие Rabby.
Кто-то юзал Trezor, другие Ledger.

Агась. Зачем беспокоиться про инфостилеры? А также, вдруг сейчас всё ещё 2004-й?

И ваш Мак + нишевый валлет спасут вас? Лол?

#bqwallets #bybithack #multisig

🎈Изначальный доступ всегда в состоянии пробить любую Операционку. Включая Linux.

Хакеры больше не парятся с "приложениями" в наши дни, ведь так их софт слишком легко замечается антивирусами.

Файлы EXE были заменены на "npm run"

И, язык кодинга Python, конечно же. Для бекендов, парни. 🫠🫠🫠

Последние стадии — сумасшедшее дерьмо — всё делается вручную.

#bqwallets #bybithack #multisig

📮Исходя из всех вышеописанных, и других, причин, моё мнение таково, что как только они проберутся на ваш девайс, вам пизда

Конец.

Если ваши ключи - горячие, на серверах Amazon Web Services, они трахнут вас моментально.

Если ключи не там, то они поработают чуть жоще, чтобы трахнуть вас.

Но, так или иначе, вас трахнут.

~
Ваша лучшая ставка должна быть на то, что вы не позволите им пробраться в ваш девайс.

Это означает и железные кошельки.

Но это также означает, что вы не используете свой повседневный компьютер, когда подписываете транзакции при помощи этого железного кошелька.

Заведите для подписи альтернативное устройство. Используйте iPhone или iPad. Разберитесь в теме.

Не надо настрачивать сообщения.
Не надо лазить в GitHub.
Не надо запускать rpm или pypi.
Не переписывайтесь по е-мейлу.
Не синхронизируйте всё подряд.
Не играйте в игрульки.

Только подписывайте там транзакции. И всё.

Это просто. Кто угодно может это.

Если у вас миллионы, и вы - CEX, или вы - подписант в Web3 Протоколе, пожалуйста, в самом деле делайте это. 🙏" - пишет Tayvano.

#bqwallets #bybithack #multisig

Выше вы имеете возможность изучить в деталях тред от Tayvano, Эксперта по Безопасности, которая работает в команде кошелька MetaMask

🌡Тред из 10 сообщений выше является переводом экспрессивного описания уязвимостей, благодаря которым были взломаны три известные крипто конторы: Radiant, WazirX, и DMM.

Все они использовали мульти-сиг решения в Облаке AWS.

Точно, как криптовалютная биржа Bybit, один из "холодных" кошельков которой недавно был скомпрометирован на 1.4 млрд в ETH.

Знаете, что тут смешно?

Тред разработчицы МетаМаска был опубликован в Твиттере в октябре 2024 года. 👀

И если вы внимательно прочитали этот тред, то для вас уже сейчас очевидно, что гендир Байбита тоже его прочитал, или как минимум видел когда-то мельком. Или может, его прочла команда безопасности Байбита или кто-то из их бизнес партнёров.

Потому что, если они ЭТО не видели, или - если они САМИ не знают всего этого, - то какого хрена они всё ещё работают в нашей индустрии, позвольте спросить?

~
Про уязвимость известно как минимум пол года, а гендир Байбита просто сидел и выжидал, кто бы его "вставил"?

Тут напрашиваются два вывода - он или знал, или догадывался, что сетап кошельков биржи откровенно херовый. Но предпочёл "не думать об этом", чтобы не расстраиваться, парясь в джакузи с тёлками.

Или, он изначально "ждал" хакеров Ким Чен Ина, которые снимут дань.

~
Позаботьтесь о себе сами - выведите бабки с Байбита, пока ещё можете.

💋Интересный факт: 81% всех когда либо полученных каналом донатов пришли с биржи Bybit.

Спасибо вам, ребята! Но, вы и правда должны позаботиться о своём капитале и не держать на Байбите больше, чем готовы потерять вот прям завтра.

Держу пари, что 95% гендиров криптобирж и web3 стартапов именно так и делают

Они просто создают мульти-сиг с "4 из 6" подписей, и располагают ключи подписантов на Облаке Amazon, на Леджерах, и на Трезорах. 🤷

И это хорошо, когда мульти-сиг конфигурация принуждает авторов "революционных блокчейн стартапов, только что получивших 193 ляма баксов инвестиций от А16z", разделять подпись между Леджерами и Трезорами.

Сэм Банкман-Фрид, успешный успех которого привел к краху его биржи и тюремному сроку в 25 лет, хранил доступы к десяткам миллиардов баксов клиентов в облачном аккаунте без 2FA.

Отправляя деньги на любую криптобиржу, вы ожидаете, что они более детально проработали модель безопасности, не так ли?

То же касается и личных кошельков для крипты.

Безопасные солюшены почти неизвестны широкой публике / не используются. Тогда как попсовое дерьмо с целой коллекцией багов в комплекте, всегда у всех на виду.

Вы не можете не понимать, что тут творится: масштабные невежество и дезинформация.

"В один месяц, Rheinmetall добавил +20 млрд в маркеткапе, Thales добавил +15 млрд, BAE Systems +12 млрд, Leonardo +8 млрд, Dassault Aviation +5 млрд.

Трамп стоил США сотни миллиардов долларов военными контрактами.

Вопрос "почему альянсы имеют значение?" для толпы МАГовцев скоро станет понятным через самый ужасный пример для них."

~
Итак, что мы видим. Инвесторы Европы наконец поняли, что им не нужны акции Диснея, и начали вливать бабки в собственных производителей оружия, aka "оборонный тех".

Каждый мох! 👍🏻

Судя по одновременному падению акций американских оборонных компаний, не только европейские инвесторы стали переливать капитал с "левой" территории рынка на "правую".

Заключённая между Сальвадором и МВФ сделка подразумевает, что Сальвадор больше не будет закупать новые биткоины

"Согласно этому соглашению с МВФ, мы более не будем аккумулировать новые Биткоины в наше портфолио." - указано в документе на 111 страниц, опубликованном на сайте МВФ.

Соглашение не просто устраняет обязательную установку Биткоин терминалов на кассах супермаркетов и накладывает запрет на государственные закупки и Chivo Wallet.

Оно также подразумевает запрет государству на майнинг Биткоина и ряд других запретов, связанных с криптой, с чётко указанными дедлайнами (март, июнь, декабрь).

К концу 2025 года, по замыслу хитрожопых юристов и дельцов из МВФ, в Сальвадоре не должно остаться даже воспоминаний о Биткоине.

~
😕На фоне этого, решение Тезера переехать с Каймановых островов - где они платили 0% налогов в год, - в Сальвадор, где они будут платить корпоративный налог 33% в год, выглядит ещё более странным.

😑И если у них есть 13 лярдов прибыли с 2024, почему они не займут Букеле 1.4 лярда?

Хорошая попытка. Смотрю фишеры и PDF-бекдорщики растут с каждым годом, вот наконец они перешли от дебильных "курсов по трейдингу, которые я могу бесплатно закинуть вам в ЛС", к "книгам Канемана, которые учат не вестись на херню".

Браво! Заворачивать файлик с криптодрейнером в книжку про необходимость не доверять всему, что люди пишут и выкладывают в Интернете, действительно умно.

Кто ж не хочет не попасться на скам?

Напоминаю дорогим читателям, что любые предложения в Телеграм "бесплатно дать вам ценную книгу", это 99% шанс получения вируса на ваш девайс.

Никогда не принимайте файлы в ТГ и не открывайте их. Даже от друзей и родственников.

Тем более, от друзей и родственников.

Я вот недавно узнал, что в ЗСУ даже не проводят инструктаж по фишингу для мобилизированных. А потом мы удивляемся, что ФСБ успешно "угоняет" аккаунты офицеров и получает доступ к секретным данным.

Не надо тыкать по линкам, где вам обещают миллионы.

Не надо качать книги от незнакомцев в чатиках.

Просто... не делайте этого.

Криптобиржа Bybit просит DAO (Децентрализованные Автономные Организации) вернуть им 4 ляма, заработанных в комиссиях с проведённого для "хакера" отмыва

https://cointelegraph.com/news/bybit-hack-paraswap-dao-fees-refund

Участник DAO вспомнил случай в 2013 году, когда в такой же ситуации DAO приняло решение не компенсировать жертвам деньги, заработанные с комиссий за свопы краденой крипты.

Знач так, я ща скажу, специально для представителей команды Bybit, которые меня читают.

1. Раз в 2013м это не прокатило, с чего биржа решила, что прокатит сейчас? Глупо ссылаться на кейс где Зло Победило, и требовать, чтобы в этот раз победило Добро

2. Каждый мох!

Нет, ну каждый мох, господа! Каждый мох же! Какие, нафиг, компенсации? Боже, когда уже админы Байбита повзрослеют-то, а?

Первое правило Успешной Крипто-Успешности: тебя наебали? ты сам виноват.

У нас тут не банки и правительства, никаких "Фондов Компенсации Вкладов" не предусмотрено.

Постер особенно доставляет. У биржи украли 1.4 миллиарда долларов, а все сотрудники сидят и улыбаются, как будто им пообещали со следующего месяца платить 3х от текущей зарплаты.

В ранние годы, штатный художник КоинТелеграфа был их "визитной картой", которая помогла изданию заметно выделиться среди остальных, использующих бесплатные стоковые фотки и прочую банальщину в качестве пекшотов.

Но сейчас, всё это выглядит глупо и манипулятивно.

Сразу вспомнилась сцена из Бойцовского Клуба, где Тайлер Дерден объясняет главному герою фильма, почему на обучающих листовках в пассажирских самолётах инструкция по безопасности на случай авиакатастрофы содержит в себе только улыбающихся людей.

Гипноз, такой гипноз.