#hack #btc #ironkey #ripple
Фирма по восстановлению цифровых активов Unciphered в открытом письме предложила разблокировать кошелек, принадлежащий бывшему техническому директору Ripple Стефану Томасу. На нем хранится 7002 BTC (~$244 млн на момент написания).
В 2021 году Томас рассказал о потере доступа к адресу. По словам программиста, лист с паролем от аппаратного кошелька IronKey он потерял несколько лет назад — остались только две попытки на ввод пароля.
По данным Unciphered, сотрудники фирмы разработали метод взлома оборудования и доступа к биткоин-ключам. Технологический журнал Wired сообщил, что фирма смогла получить доступ к данным на аналогичном IronKey после «200 трлн попыток» в обход ограничения на количество неправильных паролей.
https://forklog.com/news/unciphered-predlozhila-vzlomat-koshelek-eks-cto-ripple-c-7000-btc
Фирма по восстановлению цифровых активов Unciphered в открытом письме предложила разблокировать кошелек, принадлежащий бывшему техническому директору Ripple Стефану Томасу. На нем хранится 7002 BTC (~$244 млн на момент написания).
В 2021 году Томас рассказал о потере доступа к адресу. По словам программиста, лист с паролем от аппаратного кошелька IronKey он потерял несколько лет назад — остались только две попытки на ввод пароля.
По данным Unciphered, сотрудники фирмы разработали метод взлома оборудования и доступа к биткоин-ключам. Технологический журнал Wired сообщил, что фирма смогла получить доступ к данным на аналогичном IronKey после «200 трлн попыток» в обход ограничения на количество неправильных паролей.
https://forklog.com/news/unciphered-predlozhila-vzlomat-koshelek-eks-cto-ripple-c-7000-btc
🤔2
#xrpl #crypto #keys #tx #hack #quant #howto
Немного тезисов для понимая того, почему адрес XRPL без исходящих транзакций считается квантово-устойчивым вариантом хранения активов.
1)
Криптография = математика
2)
Закрытый ключ математически производит Открытый ключ и на этих данных математически вычисляется и адрес счëта за которым закрепляются в сети активы.
3)
Транзакцию подписывают Закрытым ключом. В данные о транзакции, кроме самой Подписи, суммы, адреса назначения и др. записывают так же и Открытый ключ. Собственно так он и попадает в сеть. В случае с XRPL - сеть прозрачна, поэтому любой может увидеть эту транзакцию и Открытый ключ от конкретного адреса.
4)
Консенсус сети проверяет и удостоверяет все транзакции, которые попадают в сеть XRPL. Математически относительно просто на основании Открытого ключа подтвердить, что подписанная транзакция действительно соответствует адресу который принадлежит Закрытому ключу.
5)
Математика этой криптографии такова, что с помощью современных бинарных кремниевых компьютеров вычислить неизвестный третьей стороне Закрытый ключ на основании Открытого ключа, Адреса и Подписи транзакции практически невозможно. При достаточной степени энтропии, в момент создания ключей, перебор комбинаций может занять столетия.
6)
Однако, если брать в расчёт "квантовые" компьютеры, то ситуация потенциально может измениться в горизонте лет 10. Смысл этой квантовой математики в том, что при достаточном числе кубитов и новых алгоритмов работы с ними — скорости подбора вариантов можно ускорить тысячекратно И те расчёты, которые бы занимали десятилетия и столетия на обычных компьютерах, теоретически, на "квантах", могут занять вполне разумные сроки. В этом и состоят опасения "криптанов",.. а недёжно ли их адреса и монетки сохранены в долгосрочной перспективе?
7)
Отсюда вывод... если в сети нет Открытого ключа от вашего адреса, то даже на супер-пупер "квантах" подбор и взлом НЕВОЗМОЖЕН. Попросту нет точки опоры даже для начала таких вычислений. А теперь вернёмся к пункту (3) и осознаем, что, если не было ни одной исходящей транзакции с адреса — то и ваш даже публичный Открытый ключ никому ещё не известен кроме вас и вашего кошелька.
📌 @tech_di
---
Дополнительно, для интересующихся, статейка, которая расскажет о том, как не стоят на месте и что в криптографии предпринимается для решения описанной выше задачи:
Что там с квантово-устойчивой криптографией?
Немного тезисов для понимая того, почему адрес XRPL без исходящих транзакций считается квантово-устойчивым вариантом хранения активов.
1)
Криптография = математика
2)
Закрытый ключ математически производит Открытый ключ и на этих данных математически вычисляется и адрес счëта за которым закрепляются в сети активы.
3)
Транзакцию подписывают Закрытым ключом. В данные о транзакции, кроме самой Подписи, суммы, адреса назначения и др. записывают так же и Открытый ключ. Собственно так он и попадает в сеть. В случае с XRPL - сеть прозрачна, поэтому любой может увидеть эту транзакцию и Открытый ключ от конкретного адреса.
4)
Консенсус сети проверяет и удостоверяет все транзакции, которые попадают в сеть XRPL. Математически относительно просто на основании Открытого ключа подтвердить, что подписанная транзакция действительно соответствует адресу который принадлежит Закрытому ключу.
5)
Математика этой криптографии такова, что с помощью современных бинарных кремниевых компьютеров вычислить неизвестный третьей стороне Закрытый ключ на основании Открытого ключа, Адреса и Подписи транзакции практически невозможно. При достаточной степени энтропии, в момент создания ключей, перебор комбинаций может занять столетия.
6)
Однако, если брать в расчёт "квантовые" компьютеры, то ситуация потенциально может измениться в горизонте лет 10. Смысл этой квантовой математики в том, что при достаточном числе кубитов и новых алгоритмов работы с ними — скорости подбора вариантов можно ускорить тысячекратно И те расчёты, которые бы занимали десятилетия и столетия на обычных компьютерах, теоретически, на "квантах", могут занять вполне разумные сроки. В этом и состоят опасения "криптанов",.. а недёжно ли их адреса и монетки сохранены в долгосрочной перспективе?
7)
Отсюда вывод... если в сети нет Открытого ключа от вашего адреса, то даже на супер-пупер "квантах" подбор и взлом НЕВОЗМОЖЕН. Попросту нет точки опоры даже для начала таких вычислений. А теперь вернёмся к пункту (3) и осознаем, что, если не было ни одной исходящей транзакции с адреса — то и ваш даже публичный Открытый ключ никому ещё не известен кроме вас и вашего кошелька.
📌 @tech_di
---
Дополнительно, для интересующихся, статейка, которая расскажет о том, как не стоят на месте и что в криптографии предпринимается для решения описанной выше задачи:
Что там с квантово-устойчивой криптографией?
Хабр
Что там с квантово-устойчивой криптографией
В начале июля институт NIST одобрил четыре защищенных алгоритма. В блоге T1 Cloud мы рассказываем про облачные технологии, разработку и информационную безопасность. Поэтому сегодня мы...
🔥11👍5
bits.media
Компания Unciphered выявила критическую уязвимость биткоин-кошельков на $2 млрд
Компания Unciphered выявила критическую уязвимость биткоин кошельков на $2 млрд
#hack #btc #js #alert
Команда экспертов по кибербезопасности считает, что уязвимость затронет миллиарды долларов и миллионы криптокошельков, созданных с 2011 по 2015 годы. Проблема была обнаружена более года назад, когда команда Unciphered работала над получением доступа к заблокированному биткоин-кошельку в интересах некоего своего клиента. Было установлено: ошибка в функции SecureRandom биткоин-библиотеки с открытым исходным кодом BitcoinJS на JavaScript потенциально может повлиять на все кошельки, созданные BitcoinJS и производными проектами, включая кошельки Bitcoin, Dogecoin, Litecoin и Zcash.
«Цепочка уязвимостей сочетает в себе функцию SecureRandom со слабыми местами, существовавшими в основных реализациях Math.random в браузерах. В результате приватные ключи биткоин-кошельков могли быть сгенерированы с меньшим количеством энтропии, чем необходимо. Это делает их более уязвимыми для хакерских атак. В случае, если обнаружится, что программное обеспечение создавало уязвимые кошельки, единственным решением будет перемещение активов пользователей в новые криптокошельки», – заявили в Unciphered.
источник: https://bits.media/kompaniya-unciphered-vyyavila-kriticheskuyu-uyazvimost-bitkoin-koshelkov-na-2-mlrd/
📌 @tech_di
Команда экспертов по кибербезопасности считает, что уязвимость затронет миллиарды долларов и миллионы криптокошельков, созданных с 2011 по 2015 годы. Проблема была обнаружена более года назад, когда команда Unciphered работала над получением доступа к заблокированному биткоин-кошельку в интересах некоего своего клиента. Было установлено: ошибка в функции SecureRandom биткоин-библиотеки с открытым исходным кодом BitcoinJS на JavaScript потенциально может повлиять на все кошельки, созданные BitcoinJS и производными проектами, включая кошельки Bitcoin, Dogecoin, Litecoin и Zcash.
«Цепочка уязвимостей сочетает в себе функцию SecureRandom со слабыми местами, существовавшими в основных реализациях Math.random в браузерах. В результате приватные ключи биткоин-кошельков могли быть сгенерированы с меньшим количеством энтропии, чем необходимо. Это делает их более уязвимыми для хакерских атак. В случае, если обнаружится, что программное обеспечение создавало уязвимые кошельки, единственным решением будет перемещение активов пользователей в новые криптокошельки», – заявили в Unciphered.
источник: https://bits.media/kompaniya-unciphered-vyyavila-kriticheskuyu-uyazvimost-bitkoin-koshelkov-na-2-mlrd/
📌 @tech_di
👍3
#xrpl #ripple #ceo #hack #strange #kyc
Странный инцидент.
Сообщалось, что один из кошельков Ripple "был взломан" на ~213 миллионов XRP (112,5 миллионов долларов)
Крис Ларсен, соучредитель и исполнительный председатель Ripple подтвердил факт взлома и отметил, что пострадавшие учетные записи принадлежат ему, а не Ripple.
Пруф 1 ...
Пруф 2 ...
Под это подписался и Бред Гарлингаус (CEO Ripple)
Пруф 3 ...
Адрес Ларсена rLsUemhuBZtF44rqqzneb2F9JgyrRYYd4t
---
Хорошо, предположим, что один из директоров крупной крипто-компаниипрое профукал и скомпрометировал свои ключи от личного кошелька на на сотен лимонов XRP, что уже само по себе странно. Но речь хочу поднять не о нём, а о предполагаемом хакере.
Любая крипто-биржа, а особенно крупная, с такими суммами будет работать только если у клиента есть KYC (Знай Своего Клиента). Такие суммы попросту не провернуть без надлежащего раскрытия личных данных и AML (анти отмывочных протоколов)
Отсюда череда вопросов:
1.
— Вряд ли. Тогда вся гениальность взлома попросту теряется.
2.
— Вряд ли. Учитываем обязательную двух-факторную авторизацию и дополнительные проверки на крупных суммах (AML). Речь идёт о MEXC, Gate, Binance, Kraken, OKX, HTX, HitBTC.
3.
— Интересный вопрос. Гипотетически такой сценарий имеет право на жизнь. В таком случае должна быть вскрыта дыра в безопасности бирж размером со слона. И скоро тогда в эту дыру упадут все 😆
Если 3й вариант — то, напоминаю про Decentralized Identity (DID), которую Ripple как раз и внедряет в XRPL уже в ближайшем будущем.
---
Вся эта история выглядит для меня сшитой белыми нитками на чёрном.
В любом случае будет любопытно посмотреть на результаты "расследования" 😉
📟 @tech_di
Странный инцидент.
Сообщалось, что один из кошельков Ripple "был взломан" на ~213 миллионов XRP (112,5 миллионов долларов)
Крис Ларсен, соучредитель и исполнительный председатель Ripple подтвердил факт взлома и отметил, что пострадавшие учетные записи принадлежат ему, а не Ripple.
Пруф 1 ...
Пруф 2 ...
Под это подписался и Бред Гарлингаус (CEO Ripple)
Пруф 3 ...
Адрес Ларсена rLsUemhuBZtF44rqqzneb2F9JgyrRYYd4t
---
Хорошо, предположим, что один из директоров крупной крипто-компании
Любая крипто-биржа, а особенно крупная, с такими суммами будет работать только если у клиента есть KYC (Знай Своего Клиента). Такие суммы попросту не провернуть без надлежащего раскрытия личных данных и AML (анти отмывочных протоколов)
Отсюда череда вопросов:
1.
Неужели хакер действовал под своими личными данными на биржах?
— Вряд ли. Тогда вся гениальность взлома попросту теряется.
2.
Неужели хакер смог предварительно взломать и получить доступ к учёткам разных клиентов на разных биржах, которые уже имели KYC?
— Вряд ли. Учитываем обязательную двух-факторную авторизацию и дополнительные проверки на крупных суммах (AML). Речь идёт о MEXC, Gate, Binance, Kraken, OKX, HTX, HitBTC.
3.
Неужели хакер смог подделать KYC, то есть сфабриковать аватара, который и прошёл регистрацию на биржах?
— Интересный вопрос. Гипотетически такой сценарий имеет право на жизнь. В таком случае должна быть вскрыта дыра в безопасности бирж размером со слона. И скоро тогда в эту дыру упадут все 😆
Если 3й вариант — то, напоминаю про Decentralized Identity (DID), которую Ripple как раз и внедряет в XRPL уже в ближайшем будущем.
---
Вся эта история выглядит для меня сшитой белыми нитками на чёрном.
В любом случае будет любопытно посмотреть на результаты "расследования" 😉
📟 @tech_di
👍21🔥1
#backdoor #hack #linux #debian #ssh
The пакет xz-утильс, начиная с версий 5.6.0 до 5.6.1, было обнаружено, что содержать бэкдор (CVE-2024-3094). Этот бэкдор потенциально может позволить злоумышленнику скомпрометировать sshd-аутентификацию, предоставляя удаленный несанкционированный доступ ко всей системе.
https://www.kali.org/blog/about-the-xz-backdoor/
The пакет xz-утильс, начиная с версий 5.6.0 до 5.6.1, было обнаружено, что содержать бэкдор (CVE-2024-3094). Этот бэкдор потенциально может позволить злоумышленнику скомпрометировать sshd-аутентификацию, предоставляя удаленный несанкционированный доступ ко всей системе.
https://www.kali.org/blog/about-the-xz-backdoor/
Kali Linux
All about the xz-utils backdoor | Kali Linux Blog
As of 5:00 pm ET on March 29, 2024 the following information is accurate. Should there be updates to this situation, they will be edited onto this blog post.
The xz-utils package, starting from versions 5.6.0 to 5.6.1, was found to contain a backdoor…
The xz-utils package, starting from versions 5.6.0 to 5.6.1, was found to contain a backdoor…
👍3
Forwarded from ...Teka-819 🧭 (ʣͥ)
#opinion #news #neuro #nation #hack #ver #chance
Чем больше внешних новостей по конкретной теме проходит через вас, чем больше из них вы читаете, осмысливаете и анализируете -- тем вероятнее, что вы принимаете (порой неосознанно) вектор, заложенный в конкретную инфо.компанию.
Таковы косвенные выводы большинства исследований, которые проводились с человеческой социальной психологией.
Яркий пример тому описан на странице блокнота 170
Абъюз этого (модный ныне англицизм, рекомендую ознакомится со значением) в части рекламы и зарабатывания доходов корпораций -- лишь побочный эффект.
---
Для меня наиболее любопытен этот опыт и знание применительно к нейросетям, и тем потенциальным возможностям, которые эта методика за собой несëт.
📟 @tech_di
Чем больше внешних новостей по конкретной теме проходит через вас, чем больше из них вы читаете, осмысливаете и анализируете -- тем вероятнее, что вы принимаете (порой неосознанно) вектор, заложенный в конкретную инфо.компанию.
Таковы косвенные выводы большинства исследований, которые проводились с человеческой социальной психологией.
Яркий пример тому описан на странице блокнота 170
Абъюз этого (модный ныне англицизм, рекомендую ознакомится со значением) в части рекламы и зарабатывания доходов корпораций -- лишь побочный эффект.
---
Для меня наиболее любопытен этот опыт и знание применительно к нейросетям, и тем потенциальным возможностям, которые эта методика за собой несëт.
📟 @tech_di
👍7🔥4
Блокнот Техника [📌📒📟]
#mem #evangelion #eva #dg #gif #limit #n16 #n18 #mental #level #opinion В моëм случае -- это пересечение черты, которая отделяет то, что "кое-как получается" от того, что "так получается лучше". Такое направление и развиваю, значит "нащупал" что-то ценное…
This media is not supported in your browser
VIEW IN TELEGRAM
#mem #video #darts #target #rule #hack #surprise
Любопытная ситуация, которую многие программисты отнесли бы к "багофиче" 😁
Не знаю точных правил соревнований по дартсу, но предположу, что:
1. Третий дротик не упал!
2. Третий дротик остался у доски.
3. Острие третьего дротика касается доски и "яблочка" в частности, что считается как попадание и фиксация результата броска.
Врядли есть уточняющие правила, насколько глубоко должно острие дротика погрузиться в доску цели.
😄
📌 @tech_di
Любопытная ситуация, которую многие программисты отнесли бы к "багофиче" 😁
Не знаю точных правил соревнований по дартсу, но предположу, что:
1. Третий дротик не упал!
2. Третий дротик остался у доски.
3. Острие третьего дротика касается доски и "яблочка" в частности, что считается как попадание и фиксация результата броска.
Врядли есть уточняющие правила, насколько глубоко должно острие дротика погрузиться в доску цели.
📌 @tech_di
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍3😁3
#quant #resist #crypto #keys #hack
На волне новых упоминаний о криптографической квантовой устойчивости:
https://t.iss.one/rippleweb/6482
Хочется вспомнить об:
https://t.iss.one/tech_di/2208
На волне новых упоминаний о криптографической квантовой устойчивости:
Профессор считает, что безопасность блокчейна находится под угрозой со стороны квантовых вычислений.
https://t.iss.one/rippleweb/6482
Хочется вспомнить об:
Немного тезисов для понимая того, почему адрес XRPL без исходящих транзакций считается квантово-устойчивым вариантом хранения активов.
https://t.iss.one/tech_di/2208
Telegram
Ripple XRP Channel (Новости рипл)
✅ Ripple поддерживает идею квантовой устойчивости блокчейнов
В новой серии Ripple Insights профессор Массимилиано Сала рассматривает пересечение блокчейна и квантовых вычислений. Сала является известным профессором математики в Университете Тренто и участником…
В новой серии Ripple Insights профессор Массимилиано Сала рассматривает пересечение блокчейна и квантовых вычислений. Сала является известным профессором математики в Университете Тренто и участником…
👍7✍4
Ubuntu
CVE-2024-6387 | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
#hack #cve #OpenSSH #ssh #sshd #sec
Обнаружена критическая уязвимость в OpenSSH
Опубликовано: 1 июля 2024 г.
Удаленный злоумышленник может использовать эту проблему для обхода аутентификации и удаленного доступа к системам без соответствующих учетных данных.
https://ubuntu.com/security/CVE-2024-6387
📌 @tech_di
Обнаружена критическая уязвимость в OpenSSH
CVE-2024-6387Опубликовано: 1 июля 2024 г.
На сервере OpenSSH (sshd) обнаружена уязвимость безопасности (CVE-2006-5051). Существует состояние гонки, которое может привести к тому, что sshd будет обрабатывать некоторые сигналы небезопасным образом.
Удаленный злоумышленник может использовать эту проблему для обхода аутентификации и удаленного доступа к системам без соответствующих учетных данных.
https://ubuntu.com/security/CVE-2024-6387
📌 @tech_di
#dns #hack #bug
Ребята подняли серьëзную тему по поводу проблем DNS, которая потенциально задевает всех, кто связан с криптой (крипто-валютой).
https://t.iss.one/enosys_global/243548
Это НЕ касается ТОЛЬКО Энозис.. Это может касаться многих и многих других, которые используют микс своих доменов из эры web2 в эре web3.
АвтоПеревод их сообщения:
Комменты к этому кину по кат.
📌 @tech_di
Ребята подняли серьëзную тему по поводу проблем DNS, которая потенциально задевает всех, кто связан с криптой (крипто-валютой).
https://t.iss.one/enosys_global/243548
Это НЕ касается ТОЛЬКО Энозис.. Это может касаться многих и многих других, которые используют микс своих доменов из эры web2 в эре web3.
АвтоПеревод их сообщения:
Предупреждаем всех пользователей Enosys: существует активная эксплойт Squarespace, влияющий на DNS. Мы не считаем, что на данный момент это затронуло, но, пожалуйста, следите за всем подозрительным или неуместным, включая необычные адреса контрактов. Проверьте все в цепочке перед транзакцией.
Это затрагивает множество проектов в криптопространстве, поэтому будьте осторожны.
Возможно, это хороший день, чтобы прикоснуться к траве и не заниматься криптовалютой.
Комменты к этому кину по кат.
📌 @tech_di
🔥1