TechCrunch - Binance, gre za eno večjih kriptomenjalnic, ki za svoje člane tudi hrani bitcoine in druge kriptovalute, je minuli torek doživela obsežen vdor, pri katerem so nepridipravi v enem zamahu odnesli za 41 milijonov dolarjev bitcoinov. Upravljavci so se takoj odzvali s prepovedjo dvigov sredstev, napovedali pa so tudi, da bodo škodo krili iz lastnega sklada za izredne dogodke.
Napadalci so za napad uporabili več tehnik, med drugim phishing in namestitev zlobne kode, s čimer so si pridobili gesla za dvostopenjsko avtentikacijo in API ključe. Vse to jim je dalo dostop do vroče denarnice, ki je tedaj za potrebe transakcij med člani vsebovala približno 2 % vsega kripto-premoženja menjalnice. Preostale denarnice so po zagotavljanju predstavnikov Binanc ostale nedotaknjene. Vdiralci so bili potrpežljivi in so počakali, da so si pridobili dostop do velikega števila računov, nato pa v eni potezi dvignili že omenjeni znesek. Upravljavci so transakcijo sicer zaznali in jo poskušali blokirati preden bi bila izvršena, a neuspešno.
Changpeng Zhao, izvršni direktor Binanc, je na Twitterju priredil AMA (Aske ME Anything), kjer je pojasnil, da so takoj začeli delati na preprečevanju podobnih napadov, vzpostavili pa so tudi stik s preostalimi kriptomenjalnicami, s čimer želijo doseči blokado ukradenih bitcoinov.
Po temu kar pišejo tuji mediji ki so vseeno malo bolj obveščeni kot mi na slo-techu, naj bi pridobili API ključe in 2FA. Napad naj bi trajal več tednov ali mesecev. Nekako so izvedeli kolikšen znesek imajo v hot walletu in prerazporejali denar iz odtujenih accountov v enega in nato pobrali denar. Prav zaradi tega do trenutka ko so naredili nakazilo ni bilo nič pretirano sumljivo. Čudno je, da npr nimajo ročnih potrditev nad npr 100 BTC...ampak pač tako je. Imajo pa SAFU fund s katerega bodo krili krajo (in nisoo edini).
Vrednsot BTCja lahko v enem tednu (dokler bo blokirano dvigovanje na Binance) poskoči, saj se bo na trgu znašlo manj BTCjev. Binance naj bi imel v svojih CW 118.000 BTCjev - 590.000.000 EUR, ki so trenuto blokirani.
Po temu kar pišejo tuji mediji ki so vseeno malo bolj obveščeni kot mi na slo-techu, naj bi pridobili API ključe in 2FA. Napad naj bi trajal več tednov ali mesecev. Nekako so izvedeli kolikšen znesek imajo v hot walletu in prerazporejali denar iz odtujenih accountov v enega in nato pobrali denar. Prav zaradi tega do trenutka ko so naredili nakazilo ni bilo nič pretirano sumljivo. Čudno je, da npr nimajo ročnih potrditev nad npr 100 BTC...ampak pač tako je. Imajo pa SAFU fund s katerega bodo krili krajo (in nisoo edini).
Vrednsot BTCja lahko v enem tednu (dokler bo blokirano dvigovanje na Binance) poskoči, saj se bo na trgu znašlo manj BTCjev. Binance naj bi imel v svojih CW 118.000 BTCjev - 590.000.000 EUR, ki so trenuto blokirani.
Mene so kak mesec nazaj, tu na slo-techu poučevali, da sta dobro geslo + 2FA praktično nezlomljiva.
Mene so kak mesec nazaj, tu na slo-techu poučevali, da sta dobro geslo + 2FA praktično nezlomljiva.
Načeloma JE MFA presneto varna metoda. Vendar imaš različne implementacije MFA, ki so različno varne. Seveda pa ti ponudniki ne razlagajo o morebitnih pomanjkljivostih njihove implementacije - za te informacije moraš iti povprašati k konkurentom.
Kaj je dejansko šlo narobe in kako so se dokopali do 2FA žal ni bilo pojasnjeno, niti katera 2FA je bila v tem primeru uporabljena / zlorabljena.
Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).
AuthPoint 2FA npr. zahteva 'prstni odtis' naprave ob namestitvi tokena (ki ga posledično ne moreš klonirat), hkrati pa je default metoda push notifikacija. Torej bi se že ob prvi prijavi na določen username opazilo, da se nekdo nepooblaščeno prijavlja (ker bi lastnika uporabniškega imena spraševalo "ali se res želiš prijaviti...?").
Drugače pa bi tak velikan kot Binance lahko imel malo bolje pošlihtano, da bi tudi malo gledal na 'behavior' uporabnika, podobno kot ti Gmail zateži, če se prijaviš z nestandardne lokacije. Takih sistemov, ki spremljajo in analizirajo obnašanje uporabnika je vse več in že dolgo niso več znanstvena fantastika.
CZ je naredil več škode s tem, ko je twittal o tem, kako razmišljajo o chain reorg. Drugače mene bolj kot Binance hack skrbi Tether zgodba.
2FA je dokaj varna zadeva, je pa zmotno mišljenje, da te varuje pred phishingom. Poglejte si EvilGinx. Ko vpišeš OTP na eno stran, se ga komot lahko (takoj) reusa na legitimni strani.
Password manager, ki npr. ponudi vpis credentialov samo na pravi strani te lahko reši. Ali pa FIDO U2F token (ker upošteva url strani). Aja pa pri dvostopenjski avtentikaciji je veliko bolje met app na telefonu (npr. Authy) kot pa da dobiš kodo kot SMS (je bilo že ful primerov rogue prenosa telefonskih številk "k drugemu operaterju").
Drugače pa bi tak velikan kot Binance lahko imel malo bolje pošlihtano, da bi tudi malo gledal na 'behavior' uporabnika, podobno kot ti Gmail zateži, če se prijaviš z nestandardne lokacije. Takih sistemov, ki spremljajo in analizirajo obnašanje uporabnika je vse več in že dolgo niso več znanstvena fantastika.
Ampak, ampak, sledijo mi! Špijoniranje!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
hmmm, bom moral pogledat na binance kako je z mojimi kojni. jih celo imam nekaj tam...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).
*khm*Sparkasse*khm*
Se pravi bi v tem primeru bila napadena neposredno infrastruktura banke, ne komitent. Good. To pomeni, da bom od banke dobil 100% ukradenega, če mi kdaj na tak način spraznijo TRR. Če pa banka nima denarja, ste pa tu ostali davkoplačevalci do višine 100k EUR.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).
*khm*Sparkasse*khm*
Se pravi bi v tem primeru bila napadena neposredno infrastruktura banke, ne komitent. Good. To pomeni, da bom od banke dobil 100% ukradenega, če mi kdaj na tak način spraznijo TRR. Če pa banka nima denarja, ste pa tu ostali davkoplačevalci do višine 100k EUR.
Ne vem, če se nebi še vedno izgovarjali na to, da si s svojo malomarnostjo omogočil kloniranje TOTP token-a.
Drugače pa kar je za naše banke 'raketna znanost', kje drugje že dolgo ni nič posebnega:
Če je pravilno implementirano, od Binance-a ne moreš, saj private key-a (iz katerega je edino možno izpeljati začasno 2FA 6mestno številko) binance ni potrebno da ima! Binance ne potrebuje private keya da preveri tvoj 2FA.
Lahko pa so preko phishing-a (fake binance spletnih strani): - hijackali seje uporabnikov ter jih držali stalno odprte dokler je bilo treba. - ali pa zahtevali da nevedni uporabnik vpiše 2FA PRIVATE KEY, česar seveda NE SMEŠ NIKOLI naredit in te Binance ne bo nikoli vprašal!!
Ali so posameznim uporabnikom shekali v telefon in ga rootali in extractali iz GoogleApp ali Ali pa so posameznim uporabnikom shekali v "Authy" app ali podobno 2FA Storitev/app ki ima Online Backup.
Verjtno pa so bile kombinacije vsega zgornjega.
Možno tudi da so se infiltrirali v Binance-ov web server (in prislukovali poslanim usernamom+geslom+2FA+2faSetupPrivKey ter vrivali zlo kodo). Binance mora bolj podrobno obrazložiti v obširnejšem poročilu.
Čudno je, da npr nimajo ročnih potrditev nad npr 100 BTC...
PO Sklepam do so se hekerji dokopali enega high-value računa ki ima izjemoma krepko višje withdrawal limite, torej krepko nad 100BTC. Tak high-value account potebujejo kakšni velikih arbitražniki. To so specializirani trejderji ki vse kar delajo je da kupujejo BTC-je na eni borzi(Binance) po nižji ceni, potem withdraw-ajo na drugo in tam prodajo za malce vičjo. Pri ogromnih zneskih (npr 7000BTC) se jim to splača delat četudi je le 0.01% razlike v ceni.
Če je pravilno implementirano, od Binance-a ne moreš, saj private key-a (iz katerega je edino možno izpeljati začasno 2FA 6mestno številko) binance ni potrebno da ima! Binance ne potrebuje private keya da preveri tvoj 2FA.
za TOPT/HOTP ni public/private keyev, ampak je samo en secret key, ki ga morata imeti oba, tako da tole zgoraj ne bo drzalo. Poglej RFC.
Kako mislite, da se bo to izteklo. Kdaj bi lahko odprli withdrawalas? Gor imam še od oka 500 eur. Imam slab občutek, da se v času 'suspended' withdeawals gradi escape plan. Že videno n-krat.
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+