» »

Vdor v Binance hekerje obogatil za 7000 bitcoinov

Vdor v Binance hekerje obogatil za 7000 bitcoinov

vir: Pexels

vir: TechCrunch
TechCrunch - Binance, gre za eno večjih kriptomenjalnic, ki za svoje člane tudi hrani bitcoine in druge kriptovalute, je minuli torek doživela obsežen vdor, pri katerem so nepridipravi v enem zamahu odnesli za 41 milijonov dolarjev bitcoinov. Upravljavci so se takoj odzvali s prepovedjo dvigov sredstev, napovedali pa so tudi, da bodo škodo krili iz lastnega sklada za izredne dogodke.

Napadalci so za napad uporabili več tehnik, med drugim phishing in namestitev zlobne kode, s čimer so si pridobili gesla za dvostopenjsko avtentikacijo in API ključe. Vse to jim je dalo dostop do vroče denarnice, ki je tedaj za potrebe transakcij med člani vsebovala približno 2 % vsega kripto-premoženja menjalnice. Preostale denarnice so po zagotavljanju predstavnikov Binanc ostale nedotaknjene. Vdiralci so bili potrpežljivi in so počakali, da so si pridobili dostop do velikega števila računov, nato pa v eni potezi dvignili že omenjeni znesek. Upravljavci so transakcijo sicer zaznali in jo poskušali blokirati preden bi bila izvršena, a neuspešno.

Changpeng Zhao, izvršni direktor Binanc, je na Twitterju priredil AMA (Aske ME Anything), kjer je pojasnil, da so takoj začeli delati na preprečevanju podobnih napadov, vzpostavili pa so tudi stik s preostalimi kriptomenjalnicami, s čimer želijo doseči blokado ukradenih bitcoinov.

30 komentarjev

thetech ::

Nič novega. Next...

Vazelin ::

Se zgodi tudi najboljšim
Vazelin Investments Ltd.
WE BAKE : YOU MAKE

Mr.B ::

Ce uporabniki neznajo..
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Senior Dev ::

Ko bo 1 BTC vreden 300 jurjev bo to kar 2,1 milijarde €. Toliko za info samo.

Vuli ::

ja valda. (pridobili gesla za dvostopenjsko avtentikacijo in API ključe)
spet bo BTC padel.
|Gigabyte Z170X Gaming 7 | Core i5 6500 |
16GB DDR4 RAM G.Skill V 3000 | GigaByte HD 6870 OC | Armor VH6000BWS |

thetech ::

Senior Dev je izjavil:

Ko bo 1 BTC vreden 300 jurjev bo to kar 2,1 milijarde €. Toliko za info samo.


Hahaha itak. Kok je trenutno 5k? Ti pa si komedijant.

Vazelin ::

thetech je izjavil:

Senior Dev je izjavil:

Ko bo 1 BTC vreden 300 jurjev bo to kar 2,1 milijarde €. Toliko za info samo.


Hahaha itak. Kok je trenutno 5k? Ti pa si komedijant.

Hahahaha itak. Kok je trenutno 3usd? Ti pa si komedijant.
(2010)>:D
Vazelin Investments Ltd.
WE BAKE : YOU MAKE

thetech ::

Vazelin je izjavil:

thetech je izjavil:

Senior Dev je izjavil:

Ko bo 1 BTC vreden 300 jurjev bo to kar 2,1 milijarde €. Toliko za info samo.


Hahaha itak. Kok je trenutno 5k? Ti pa si komedijant.

Hahahaha itak. Kok je trenutno 3usd? Ti pa si komedijant.
(2010)>:D


Mhm, verjetno si kupil pri 3usd. Itak vsi ste..:)

darkotri ::

Po temu kar pišejo tuji mediji ki so vseeno malo bolj obveščeni kot mi na slo-techu, naj bi pridobili API ključe in 2FA. Napad naj bi trajal več tednov ali mesecev. Nekako so izvedeli kolikšen znesek imajo v hot walletu in prerazporejali denar iz odtujenih accountov v enega in nato pobrali denar. Prav zaradi tega do trenutka ko so naredili nakazilo ni bilo nič pretirano sumljivo. Čudno je, da npr nimajo ročnih potrditev nad npr 100 BTC...ampak pač tako je. Imajo pa SAFU fund s katerega bodo krili krajo (in nisoo edini).

Vrednsot BTCja lahko v enem tednu (dokler bo blokirano dvigovanje na Binance) poskoči, saj se bo na trgu znašlo manj BTCjev. Binance naj bi imel v svojih CW 118.000 BTCjev - 590.000.000 EUR, ki so trenuto blokirani.
darko

Vazelin ::

kako lahko dobiš 2fa?
Vazelin Investments Ltd.
WE BAKE : YOU MAKE

thetech ::

darkotri je izjavil:

Po temu kar pišejo tuji mediji ki so vseeno malo bolj obveščeni kot mi na slo-techu, naj bi pridobili API ključe in 2FA. Napad naj bi trajal več tednov ali mesecev. Nekako so izvedeli kolikšen znesek imajo v hot walletu in prerazporejali denar iz odtujenih accountov v enega in nato pobrali denar. Prav zaradi tega do trenutka ko so naredili nakazilo ni bilo nič pretirano sumljivo. Čudno je, da npr nimajo ročnih potrditev nad npr 100 BTC...ampak pač tako je. Imajo pa SAFU fund s katerega bodo krili krajo (in nisoo edini).

Vrednsot BTCja lahko v enem tednu (dokler bo blokirano dvigovanje na Binance) poskoči, saj se bo na trgu znašlo manj BTCjev. Binance naj bi imel v svojih CW 118.000 BTCjev - 590.000.000 EUR, ki so trenuto blokirani.



Mene so kak mesec nazaj, tu na slo-techu poučevali, da sta dobro geslo + 2FA praktično nezlomljiva.

Bwaze6 ::

Ampak kako je to mogoče, če je bitcoin sestavljen iz same varnosti, in za to pokurijo za eno Dansko lelektrike?


;((

SeMiNeSanja ::

thetech je izjavil:

Mene so kak mesec nazaj, tu na slo-techu poučevali, da sta dobro geslo + 2FA praktično nezlomljiva.

Načeloma JE MFA presneto varna metoda.
Vendar imaš različne implementacije MFA, ki so različno varne. Seveda pa ti ponudniki ne razlagajo o morebitnih pomanjkljivostih njihove implementacije - za te informacije moraš iti povprašati k konkurentom.

Kaj je dejansko šlo narobe in kako so se dokopali do 2FA žal ni bilo pojasnjeno, niti katera 2FA je bila v tem primeru uporabljena / zlorabljena.

Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).

AuthPoint 2FA npr. zahteva 'prstni odtis' naprave ob namestitvi tokena (ki ga posledično ne moreš klonirat), hkrati pa je default metoda push notifikacija. Torej bi se že ob prvi prijavi na določen username opazilo, da se nekdo nepooblaščeno prijavlja (ker bi lastnika uporabniškega imena spraševalo "ali se res želiš prijaviti...?").

Drugače pa bi tak velikan kot Binance lahko imel malo bolje pošlihtano, da bi tudi malo gledal na 'behavior' uporabnika, podobno kot ti Gmail zateži, če se prijaviš z nestandardne lokacije. Takih sistemov, ki spremljajo in analizirajo obnašanje uporabnika je vse več in že dolgo niso več znanstvena fantastika.

Zgodovina sprememb…

Vazelin ::

Evo sedaj jih še Mcafee trola:))
https://www.ccn.com/self-proclaimed-clo...
Vazelin Investments Ltd.
WE BAKE : YOU MAKE

MrStein ::

SeMiNeSanja je izjavil:


Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).

*khm*Sparkasse*khm*
Teštiram če delaž - umlaut dela: ä ?

fiction ::

CZ je naredil več škode s tem, ko je twittal o tem, kako razmišljajo o chain reorg. Drugače mene bolj kot Binance hack skrbi Tether zgodba.

2FA je dokaj varna zadeva, je pa zmotno mišljenje, da te varuje pred phishingom. Poglejte si EvilGinx. Ko vpišeš OTP na eno stran, se ga komot lahko (takoj) reusa na legitimni strani.

Password manager, ki npr. ponudi vpis credentialov samo na pravi strani te lahko reši. Ali pa FIDO U2F token (ker upošteva url strani).
Aja pa pri dvostopenjski avtentikaciji je veliko bolje met app na telefonu (npr. Authy) kot pa da dobiš kodo kot SMS (je bilo že ful primerov rogue prenosa telefonskih številk "k drugemu operaterju").

Zgodovina sprememb…

  • spremenil: fiction ()

MrStein ::

SeMiNeSanja je izjavil:


Drugače pa bi tak velikan kot Binance lahko imel malo bolje pošlihtano, da bi tudi malo gledal na 'behavior' uporabnika, podobno kot ti Gmail zateži, če se prijaviš z nestandardne lokacije. Takih sistemov, ki spremljajo in analizirajo obnašanje uporabnika je vse več in že dolgo niso več znanstvena fantastika.

Ampak, ampak, sledijo mi! Špijoniranje!
Teštiram če delaž - umlaut dela: ä ?

Machete ::

A moji BNB koini so na varnem? Jih je (bilo?) za enih 300 efričev..
Asrock-Z87Pro4|i5-4670K@4,3|4x4GB|GTX-1080|850EVO-250GB|WD2TB|W10Pro
Galaxy S10

gruntfürmich ::

hmmm, bom moral pogledat na binance kako je z mojimi kojni. jih celo imam nekaj tam...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Markoff ::

Senior Dev je izjavil:

Ko bo 1 BTC vreden 300 jurjev bo to kar 2,1 milijarde EUR. Toliko za info samo.

Ko bo 1 BTC vreden 1 milijardo, bo to kar 7 bilijard USD (1 USD =/= 1 EUR). Toliko za dodatno info samo spljoh de.

MrStein je izjavil:

SeMiNeSanja je izjavil:


Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).

*khm*Sparkasse*khm*

Se pravi bi v tem primeru bila napadena neposredno infrastruktura banke, ne komitent. Good. To pomeni, da bom od banke dobil 100% ukradenega, če mi kdaj na tak način spraznijo TRR. Če pa banka nima denarja, ste pa tu ostali davkoplačevalci do višine 100k EUR.
Prve besede v Novoreku idiokracije:
posebaj, skropucalo, inžinir, intiligenca, apsolutno, anEks.
Žal ne govorim idiokratsko ali z idiokrati.

Zgodovina sprememb…

  • spremenilo: Markoff ()

Vazelin ::

Ja razen če spremenijo zakon a ne in ni več zajamčeno 100k;)
Vazelin Investments Ltd.
WE BAKE : YOU MAKE

SeMiNeSanja ::

Markoff je izjavil:


MrStein je izjavil:

SeMiNeSanja je izjavil:


Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).

*khm*Sparkasse*khm*

Se pravi bi v tem primeru bila napadena neposredno infrastruktura banke, ne komitent. Good. To pomeni, da bom od banke dobil 100% ukradenega, če mi kdaj na tak način spraznijo TRR. Če pa banka nima denarja, ste pa tu ostali davkoplačevalci do višine 100k EUR.

Ne vem, če se nebi še vedno izgovarjali na to, da si s svojo malomarnostjo omogočil kloniranje TOTP token-a.

Drugače pa kar je za naše banke 'raketna znanost', kje drugje že dolgo ni nič posebnega:


BitMiljonar ::

Vazelin je izjavil:

kako lahko dobiš 2fa?

Če je pravilno implementirano, od Binance-a ne moreš, saj private key-a (iz katerega je edino možno izpeljati začasno 2FA 6mestno številko) binance ni potrebno da ima! Binance ne potrebuje private keya da preveri tvoj 2FA.

Lahko pa so preko phishing-a (fake binance spletnih strani):
- hijackali seje uporabnikov ter jih držali stalno odprte dokler je bilo treba.
- ali pa zahtevali da nevedni uporabnik vpiše 2FA PRIVATE KEY, česar seveda NE SMEŠ NIKOLI naredit in te Binance ne bo nikoli vprašal!!

Ali so posameznim uporabnikom shekali v telefon in ga rootali in extractali iz GoogleApp ali
Ali pa so posameznim uporabnikom shekali v "Authy" app ali podobno 2FA Storitev/app ki ima Online Backup.

Verjtno pa so bile kombinacije vsega zgornjega.

Možno tudi da so se infiltrirali v Binance-ov web server (in prislukovali poslanim usernamom+geslom+2FA+2faSetupPrivKey ter vrivali zlo kodo).
Binance mora bolj podrobno obrazložiti v obširnejšem poročilu.

BitMiljonar ::

darkotri je izjavil:

Čudno je, da npr nimajo ročnih potrditev nad npr 100 BTC...
PO
Sklepam do so se hekerji dokopali enega high-value računa ki ima izjemoma krepko višje withdrawal limite, torej krepko nad 100BTC.
Tak high-value account potebujejo kakšni velikih arbitražniki. To so specializirani trejderji ki vse kar delajo je da kupujejo BTC-je na eni borzi(Binance) po nižji ceni, potem withdraw-ajo na drugo in tam prodajo za malce vičjo. Pri ogromnih zneskih (npr 7000BTC) se jim to splača delat četudi je le 0.01% razlike v ceni.

carota ::

vsebovala približno 2 % vsega kripto-premoženja menjalnice.

Kolikor vem je to 2% premoženja strank, ne premoženja menjalnice.

Kaj pa če gre za inside job?

Spegli ::

Eni bojo razumel: It's safu :)

clarity99 ::

BitMiljonar je izjavil:

Vazelin je izjavil:

kako lahko dobiš 2fa?

Če je pravilno implementirano, od Binance-a ne moreš, saj private key-a (iz katerega je edino možno izpeljati začasno 2FA 6mestno številko) binance ni potrebno da ima! Binance ne potrebuje private keya da preveri tvoj 2FA.



za TOPT/HOTP ni public/private keyev, ampak je samo en secret key, ki ga morata imeti oba, tako da tole zgoraj ne bo drzalo. Poglej RFC.

blink ::

Markoff je izjavil:

Senior Dev je izjavil:

Ko bo 1 BTC vreden 300 jurjev bo to kar 2,1 milijarde EUR. Toliko za info samo.

Ko bo 1 BTC vreden 1 milijardo, bo to kar 7 bilijard USD (1 USD =/= 1 EUR). Toliko za dodatno info samo spljoh de.



7000 BTC pri menjalnem razmerju BTC/USD 1 milijarde = 7 bilijonov USD. Američani bi rekli 7 trillion USD.

MrStein ::

MrStein je izjavil:

SeMiNeSanja je izjavil:


Predvsem se tukaj kaže pomanjkljivost klasičnih 2FA metod, ki bazirajo na TOTP, saj se token lahko klonira (lahko da so se tako dokopali do 2FA).

*khm*Sparkasse*khm*

Ali pa tudi ne. Sem se prenaglil s to izjavo.
Teštiram če delaž - umlaut dela: ä ?

Machete ::

Kako mislite, da se bo to izteklo. Kdaj bi lahko odprli withdrawalas? Gor imam še od oka 500 eur.
Imam slab občutek, da se v času 'suspended' withdeawals gradi escape plan. Že videno n-krat.
Asrock-Z87Pro4|i5-4670K@4,3|4x4GB|GTX-1080|850EVO-250GB|WD2TB|W10Pro
Galaxy S10


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zgodba o kriptomenjalnici QuadrigaCX se zapleta (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
626517 (1097) Matthai
»

Varnostno brezbrižni ICO postopki

Oddelek: Novice / Varnost
383485 (1496) zee
»

osnove trgovanja z cryptovalutami

Oddelek: Kriptovalute in blockchain
374524 (2196) krefi
»

nakup IOTA kriptovalute

Oddelek: Kriptovalute in blockchain
81391 (917) IOTA

Več podobnih tem