#hack #btc #ironkey #ripple

Фирма по восстановлению цифровых активов Unciphered в открытом письме предложила разблокировать кошелек, принадлежащий бывшему техническому директору Ripple Стефану Томасу. На нем хранится 7002 BTC (~$244 млн на момент написания).

В 2021 году Томас рассказал о потере доступа к адресу. По словам программиста, лист с паролем от аппаратного кошелька IronKey он потерял несколько лет назад — остались только две попытки на ввод пароля.

По данным Unciphered, сотрудники фирмы разработали метод взлома оборудования и доступа к биткоин-ключам. Технологический журнал Wired сообщил, что фирма смогла получить доступ к данным на аналогичном IronKey после «200 трлн попыток» в обход ограничения на количество неправильных паролей.

https://forklog.com/news/unciphered-predlozhila-vzlomat-koshelek-eks-cto-ripple-c-7000-btc

#xrpl #crypto #keys #tx #hack #quant #howto

Немного тезисов для понимая того, почему адрес XRPL без исходящих транзакций считается квантово-устойчивым вариантом хранения активов.


1)
Криптография = математика

2)
Закрытый ключ математически производит Открытый ключ и на этих данных математически вычисляется и адрес счëта за которым закрепляются в сети активы.

3)
Транзакцию подписывают Закрытым ключом. В данные о транзакции, кроме самой Подписи, суммы, адреса назначения и др. записывают так же и Открытый ключ. Собственно так он и попадает в сеть. В случае с XRPL - сеть прозрачна, поэтому любой может увидеть эту транзакцию и Открытый ключ от конкретного адреса.

4)
Консенсус сети проверяет и удостоверяет все транзакции, которые попадают в сеть XRPL. Математически относительно просто на основании Открытого ключа подтвердить, что подписанная транзакция действительно соответствует адресу который принадлежит Закрытому ключу.

5)
Математика этой криптографии такова, что с помощью современных бинарных кремниевых компьютеров вычислить неизвестный третьей стороне Закрытый ключ на основании Открытого ключа, Адреса и Подписи транзакции практически невозможно. При достаточной степени энтропии, в момент создания ключей, перебор комбинаций может занять столетия.

6)
Однако, если брать в расчёт "квантовые" компьютеры, то ситуация потенциально может измениться в горизонте лет 10. Смысл этой квантовой математики в том, что при достаточном числе кубитов и новых алгоритмов работы с ними — скорости подбора вариантов можно ускорить тысячекратно И те расчёты, которые бы занимали десятилетия и столетия на обычных компьютерах, теоретически, на "квантах", могут занять вполне разумные сроки. В этом и состоят опасения "криптанов",.. а недёжно ли их адреса и монетки сохранены в долгосрочной перспективе?

7)
Отсюда вывод... если в сети нет Открытого ключа от вашего адреса, то даже на супер-пупер "квантах" подбор и взлом НЕВОЗМОЖЕН. Попросту нет точки опоры даже для начала таких вычислений. А теперь вернёмся к пункту (3) и осознаем, что, если не было ни одной исходящей транзакции с адреса — то и ваш даже публичный Открытый ключ никому ещё не известен кроме вас и вашего кошелька.

📌 @tech_di
---

Дополнительно, для интересующихся, статейка, которая расскажет о том, как не стоят на месте и что в криптографии предпринимается для решения описанной выше задачи:
Что там с квантово-устойчивой криптографией?

#hack #btc #js #alert

Команда экспертов по кибербезопасности считает, что уязвимость затронет миллиарды долларов и миллионы криптокошельков, созданных с 2011 по 2015 годы. Проблема была обнаружена более года назад, когда команда Unciphered работала над получением доступа к заблокированному биткоин-кошельку в интересах некоего своего клиента. Было установлено: ошибка в функции SecureRandom биткоин-библиотеки с открытым исходным кодом BitcoinJS на JavaScript потенциально может повлиять на все кошельки, созданные BitcoinJS и производными проектами, включая кошельки Bitcoin, Dogecoin, Litecoin и Zcash.

«Цепочка уязвимостей сочетает в себе функцию SecureRandom со слабыми местами, существовавшими в основных реализациях Math.random в браузерах. В результате приватные ключи биткоин-кошельков могли быть сгенерированы с меньшим количеством энтропии, чем необходимо. Это делает их более уязвимыми для хакерских атак. В случае, если обнаружится, что программное обеспечение создавало уязвимые кошельки, единственным решением будет перемещение активов пользователей в новые криптокошельки», – заявили в Unciphered.

источник: https://bits.media/kompaniya-unciphered-vyyavila-kriticheskuyu-uyazvimost-bitkoin-koshelkov-na-2-mlrd/

📌 @tech_di

#mem #hack #top #cyber #trend #list #y2024

#backdoor #hack #linux #debian #ssh

The пакет xz-утильс, начиная с версий 5.6.0 до 5.6.1, было обнаружено, что содержать бэкдор (CVE-2024-3094). Этот бэкдор потенциально может позволить злоумышленнику скомпрометировать sshd-аутентификацию, предоставляя удаленный несанкционированный доступ ко всей системе.


https://www.kali.org/blog/about-the-xz-backdoor/

#mem #hack #heatmap #pin

Тепловая карта наиболее часто выбираемых 4-значных числовых PIN кодов.

Кроме прочего, виден и квадратный паттерн (решëтка).

📌 @tech_di

#quant #resist #crypto #keys #hack

На волне новых упоминаний о криптографической квантовой устойчивости:

Профессор считает, что безопасность блокчейна находится под угрозой со стороны квантовых вычислений.

https://t.iss.one/rippleweb/6482

Хочется вспомнить об:

Немного тезисов для понимая того, почему адрес XRPL без исходящих транзакций считается квантово-устойчивым вариантом хранения активов.

https://t.iss.one/tech_di/2208

#comp #pron #notebook #hard #hack

Старенький разбитый ноутбук ещë может послужить.

На фото компьютерное порно, рабочий ноутбук без корпуса 😁

#hack #cve #OpenSSH #ssh #sshd #sec

Обнаружена критическая уязвимость в OpenSSH

CVE-2024-6387
Опубликовано: 1 июля 2024 г.

На сервере OpenSSH (sshd) обнаружена уязвимость безопасности (CVE-2006-5051). Существует состояние гонки, которое может привести к тому, что sshd будет обрабатывать некоторые сигналы небезопасным образом.

Удаленный злоумышленник может использовать эту проблему для обхода аутентификации и удаленного доступа к системам без соответствующих учетных данных.

https://ubuntu.com/security/CVE-2024-6387

📌 @tech_di

#dns #hack #bug

Ребята подняли серьëзную тему по поводу проблем DNS, которая потенциально задевает всех, кто связан с криптой (крипто-валютой).

https://t.iss.one/enosys_global/243548

Это НЕ касается ТОЛЬКО Энозис.. Это может касаться многих и многих других, которые используют микс своих доменов из эры web2 в эре web3.

АвтоПеревод их сообщения:

Предупреждаем всех пользователей Enosys: существует активная эксплойт Squarespace, влияющий на DNS.  Мы не считаем, что на данный момент это затронуло, но, пожалуйста, следите за всем подозрительным или неуместным, включая необычные адреса контрактов.  Проверьте все в цепочке перед транзакцией.

Это затрагивает множество проектов в криптопространстве, поэтому будьте осторожны.

Возможно, это хороший день, чтобы прикоснуться к траве и не заниматься криптовалютой.

Комменты к этому кину по кат.

📌 @tech_di

#hack #win #cmd #site #verify

Записка от пояснительной бригады:

Якобы обычная проверка на человека, обычная капча. Однако в процессе предлагают нажать пару сочетаний кнопок и Enter типо как следующие шаги верификации вас как человека чайника

Что происходит, по порядку:

1. Кликнули на капчу = скопировался в буфер обмена текст кода для исполнения в командной строке

2. "Win + R" - открывает окошко на исполнение команды в Windows

3. "CRTL + V" - вставка из буфера обмена

4. Нажали Enter - и вы сами, с правами вашего пользователя в командной строке исполняете то, что вам подсунули на каком-то сайте

...

Расчëт на невнимательного и неопытного пользователя.

А хакерам 👍 за смекалку в соц.инженерии

📌 @tech_di