КриптоЧасовой :: DeFi, крипта, блокчейн, альткойны, биткойн, майнинг, трейдинг, финтех
3.51K subscribers
6.5K photos
284 videos
72 files
13.8K links
Прислать новость, инфу про скам: @airdropchatter

Наш тви: twitter.com/bitcoin_rossiya

Фаундер: @ICOmuzhik

CryptoSentinel in English: @CryptoSentinel
Download Telegram
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций

Меня недавно спросили, нормальный ли кошелек Exodus и кинули в такой вот текст:

"Exodus это один из очень немногих кошельков который еще ниразу никто не смог взломать (привет jaxx))). Упор разработчики делают не на красоту, а не его безопасность от взлома. Он не хранит приватные ключи у себя, только локально на устройстве пользователя (с шифрацией) где он установлен (привет coinbase, который все хранит у себя). Дизайн это лишь маленький бонус. 100+ валют (привет архаичный electrum ))) Внутренний обменник валют Кроссплатформенный Win\Linux\Apple\Android Не требует ни какой идентификации и без территориальных запретов (привет coinbase с его kyc). Поддерживает все известные стаблкоины в том числе Dai и Pax. Поддерживает eth, eos, waves, bancor (куда в принципе можно закидывать токены основанные на этих платформах). Есть функционал по экспорту приватных ключей (2 клика мышкой на ПК) (привет coinomi и др. октуда их не вытащить ). Поддержка аппаратных кошельков trezor"

Ну что можно по поводу этого сказать? Для начала самый забавный факт: код этого кошелька закрыт. Нет гитхаба. Тоесть, все эти уровни защиты вполне могут быть взломаны одним кликом с админского сервера. Ведь невозможно проверить что они там программировали. А учитывая что это коммерческая компания, скорее всего у них на продукт патент, и если я допустим декомпилирую их программу (разберу готовый файл на исходники) проверю его и скажу публично что скам, то меня еще можно засудить за неправомерное использование. Тот же blockchain.info имеет открытый исходный код.

При этом, я не считаю что кошелек скам. Если он удобен, то его можно использовать для хранения и конвертации мелких сумм (тоесть тех, которые вам не жалко потерять).

Притом, лично мне не понравилось что ключи можно экспортировать только тогда, когда ты что-то закинул на этот кошелек. В том же "старомодном" Electrum ты их можешь получить в любую минуту, а не тогда когда положишь туда бабло.

Но самый главный момент для проверки разного рода кошельков это конечно же возможность получить свои приватные ключи / сид фразу. Если все слишком сложно, или такой возможности нет - значит стоит воздержаться от использования, плевать насколько удобный кошелек и сколько валют в нем поддерживается. Ведь в таком случае это считай не ваш кошелек, а кошелек в кармане доброго дяди куда вам предлагают ложить свои деньги. И в отличии от тех же банков, никто никаких гарантий и обязанностей конечно же не несет.

Так что запомните: "Not your keys, not your money"
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #coinjoin #wassabiwallet

Думаю уже многие слышали о Wassabi Wallet, который помогает скрыть следы биткоинов откуда они пришли и куда ушли. Эдакий биткоин миксер, только под рукой. И вся эта радость благодаря технологии CoinJoin.

Что собственно такое, этот CoinJoin? Если очень простыми словами, то это большие транзакции с огромным количеством входов от разных людей, и выходами одного и того же номинала, чтобы не было понятно кому после этого микширования какой новый адрес принадлежит.

Выглядит это так: Человек А отправляет 1 бтц, человек В - 3 бтц, а человек С - 4 бтц. Это входы такой транзакции. На выходе мы получим 8 адресов с балансом по 1 бтц каждый. И пойди угадай кому какой адрес принадлежит. Поэтому если с одного из этих 8 ми адресов купят тонну героина, то проверять придется всех троих, иначе не понять кто именно купил. Очень похоже на упрощенный алгоритм который используется в Монеро.

И вариаций у этого CoinJoin-a просто миллионы. Есть например PayJoin, когда кроме самой разбивки, происходит скрытый (для третьей стороны) обмен средств между допустим человеком А и Б по взаимной договоренности (например человек А оффчейн продал что-то человеку Б). И на выходе, человек А обладает уже не одним адресом на 1 бтц, а двумя. Что тоже усложняет анализ таких транзакций. И это только один пример.

Но у этого способа есть слабая сторона: его эффективность упирается в количество пользователей. Больше пользователей, больше микширования - лучше приватность и анонимность. Согласитесь, глупо будет выглядеть когда два криптана-задрота будут гонять друг дружке 1.5 биткоина.

Поэтому я советую установить такой кошелек, и хотя бы иногда миксировать. В таких вещах надо понимать одну вещь - количество переходит в качество. В какой то момент всякие chainanalysis просто не смогут читать транзакции, так как в Монеро например. А поможет в этой благой цели - информативный гайд (на английском языке правда, но с картинками).

И да, конечно же не забываем проверять подписи файлов, пускай даже с официального сайта. Вот список ключей PGP разработчиков Wasabiwallet-a.
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций

Уже разработчики Электрума пишут о том, о чем я много раз писал на канале: проверяйте адрес перед отправкой средств

Clipping malware это вам не шутка. И как любой способ отъема средств у не особо внимательных граждан, он постоянно улучшается.

Если ранее это было просто программа которая заменяла нужный адрес на адрес хакера перед отправкой, в надежде что вы смотрите при отправке в окно и не заметите разницы (учитывая что это работало, многие реально так и отправляли скорее всего), то сейчас у подобных программ есть набор заранее сгенерированных адресов (тем же Vanity generator). Когда вы вводите адрес того, кому собираетесь отправить, малварь сравнивает его с набором заготовленных адресов, и находит максимально похожий. Например первые несколько знаков совпадают, или несколько последних. А бывает и так, что и первые совпадают и два-три последних. Основано на слабостях человеческого поведения, в попытке сделать "быстрее" мы смотрим только на первые/последние 2-4 знака, и с чистой совестью кликаем "отправить".

Чтобы так не попасться, по возможности стоит проверять или половину адреса (16 знаков) в начале или хотя бы с конца и начала глазами сверить по 5-6 знаков. Да, может лишить вас пары драгоценных секунд вашей жизни. С другой стороны, посчитайте сколько секунд вы потратите чтобы прийти в себя, если попадете в ситуацию как вот этот товарищ 😉
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #важно

Возможно вы были ознакомлены с этой новостью ранее, но я бы хотел немного подробнее ее разобрать. Коротко суть статьи: все внутреннее программное обеспечение Xiaomi отслеживает любую вашу активность (вплоть до того, какие папки вы открывали) в особенности встроенные браузеры Mi Browser и Mint Browser и отправляют на удаленные серверы в Китай, Сингапур и Россию.

Чем это грозит вам, как пользователю Сяоми в случае если вы на телефон устанавливаете какие то программы для крипты (та даже обычный Google authenticator):

К примеру, вы устанавливаете на свой телефон Electrum portable версию, чтобы делать "безопасные" переводы. Сяоми очевидно не может подсмотреть (на уровне прошивки. так то китайцы могут что то впихнуть и на уровень hardware, а оно уже все сможет :D ) что происходит в Electrum (но она знает о его наличии на телефоне). Но вы, ничего не подозревающий товарищ, вводите пароль со стандартной клавиатуры телефона. И вот эту информацию прошивка вполне может отправить куда нужно (честно говоря, этот вектор атаки свойственный для всех смартфонов).
Как от этого защититься: Не использовать стандартную клавиатуру, в Google Play хватает виртуальных клавиатур.

Также стоит упомянуть об отправке практически всей информации с телефона на удаленные сервера:

Здесь все немного сложнее. В ответ на статью, Сяоми заявили что данные передаются, но для их передачи и защиты используется "самое современное шифрование". Никогда не устаю угорать с вранья китаез. Объясню: если вы когда то столкнетесь с людьми или сервисами которые будут загонять похожую телегу, смело шлите их КЕМ. Хорошие конторы указывают конкретные алгоритмы шифрования, например, известные AES или Salsa20.
Как вы можете догадаться, в случае с Сяоми ничего хорошего не оказалось. Для передачи используется такой супер алгоритм как base64. Вы стыкаетесь с его братом, base58 каждый раз когда смотрите на любой биткоин адрес или приватный ключ в формате WIF. Так вот, base64 (как и base58) это не алгоритм шифрования, а алгоритм представления информации в удобной для чтения и передаче форме. Он двусторонний, "дешифровка" происходит за пару секунд. Вот вам пример - онлайн конвертер для base64
Тоесть, любая информация отправленная вашим телефоном Сяоми, попадает не только на сервера Китая, но и вообще любому желающему, которому будет не лень посмотреть траффик вашего телефона (например, ваш провайдер).
Как от этого защититься: Ну самый простой способ, это не пользоваться Сяоми :D А если без шуток, то вы должны трезво осознавать, что все ваши данные (ваша активность, поисковые запросы, настройки телефона, какие программы установлены) могут быть перехвачены хакерами, здесь даже не злобных китайских коммунистов стоит бояться. Поможет использование программ а-ля VPN и работа только из под них (они шифруют исходящий траффик).

Я конечно понимаю что "топ за свои деньги" и "Гугл тоже следит за нами", но советую все же обратить на это внимание :) Притом, что я уже писал пост почему лучше не хранить крипту на смартфоне. Тоже советую ознакомиться.
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций

Нельзя обойти стороной вот эту прекрасную новость.

Компания Kingold Jewelry Inc в течении 5 лет брала кредиты у Банка Китая (!!!, это вам не ломбард какой нибудь) под заставу золота своего производства, которое в итоге оказалось фальшивкой!

Да да, получили несколько миллиардов кредитов под фейковое золото. Притом это не была какая то хитрая схема, как например из моего прошлого поста о золотых инвестициях, а просто блин позолоченная медь. У меди и золота даже ,блядь, плотность разная, золотой слиток схожих геометрических размеров будет всегда в два раза тяжелее!!

Сейчас огромное количество возможностей подделки золотых слитков (тот же вольфрам имеет такую же плоность как и золото, а сам дешевле в десятки раз) которые определить, кроме как специальными химико физическими тестами никак нельзя! (ну или распилить слиток пополам, но крайне не советую, так как после такой операции вы сможете максимум что сдать в ломбард, ведь банк где вы покупали такое не примет)

Более подкованные скажут: покупай ОМС или же еще проще, обычный ETF на золото. С одной стороны оно то так, но вот что будет, если к примеру государство (я понятное дело подразумеваю в основном гегемона США) в какой то момент решит запретить торги на золоте, или просто начнет его конфисковать? ETF и ОМС спрятать не получится. Не верите что такое может быть? Такое уже было, ознакомьтесь.

К чему я вам это рассказываю? Во первых к тому, чтобы вы реально умели оценивать риски. Если даже Банк Китая попался, то очень вероятно что попадетесь и вы. Ну и когда кто то вместо этих ваших "криптовалютных пирамид" предлагает вам инвестировать в проверенный тысячелетиями инструмент, то вы относитесь к этому скептически. А то может оказаться что купите в итоге позолоченную крышку люка., знаете ли 😉
Forwarded from Crypto Lemon (Lemon [@lemon_crypto])
#защита_инвестиций #приватность

Нашел подборку неплохих статей на Хабре насчет собственно защиты информации. После их прочтения (чего и вам советую) в очередной раз убедился что защита целостности и конфиденциальности любой информации это всегда комплексная мера, а не только условный Tor как многие полагают.

1. Виды угроз
Статья о собственно видах угроз и возможных векторах атаки на информацию

2. Средства защиты
Собственно об основных способах защиты информации

3. Цена ошибки
Что случится, если вы забьете болт на это дело, прикрываясь старым-добрым "Ну меня это точно не коснется!"

К этому разделу хочу добавить недавний пример, показательный так сказать:
Кулхацкеры закодировали данные компании Garmin, так, как там наверное тоже думали что "ну нас не коснется", и потребовали выкуп в 10 миллионов долларов. Пришлось платить. Пожадничали на защиту миллион баксов раньше, заплатили в 10 раз больше. Собственно вы от этой компании (в плане уязвимости и мотивации вас взламывать) ничем не отличаетесь. Я бы даже сказал, что более простая жертва ☺️

Статьи написаны немного академично, но полезной информации, хоть на первый взгляд все кажется очевидным (люблю это слово, чаще всего те, кто его произносят, попадаются на этом очевидно) , хватает. Советую к прочтению
Forwarded from Crypto Lemon (Lemon)
#защита_инвестиций #Windows

"Есть у меня кошелек на dogechain.info. Мой кошель - DELmZYiSXBHJrfid4LoUhS4P22oSGuTsNG. Держал там dogecoin. Все было всегда норм, но до 04 мая. В тот день зашел все норм было, собаки были на счету, но вот зашел вчера 30 мая и все, кто то вывел все мои монети одной транзой". 

"Подозреваю што была включена в опере функцыя автозаполнения форм пароль и айди, дурак зачем я ее включил для такого места как кошелек. И вот этим и воспользовались. Просто поражает што сам кошлек мог бы и прислать на мыло мол подозрительная активность, смените пароли или што то как биржы присылают. Увели просто для меня сумму с моими то доходами астрономическую 15000 собак, держал их 5 лет, ждал может дог доллар выстрелит вот и обменяю. Дождался. Одно радует што не вложил и копья токо просиженных ночей на кранах"

"Я не знаю как я влез в этот кошелек,  кто мне посоветовал
dogechain.info. Но как то никогда с ним такого ничего не было за 5 лет. А тут на тебе стоило доги подняться до 0,7 $ и тут мои собакены ушли в неизвестном направлении."

Ребята, есть вот старое доброе вечное: Не пользуйтесь онлайн кошельками из под винды (речь идет для значительных для вас сумм)

Использование Виндовс накладывает кучу и маленькую тележку разнообразных уязвимостей, а здесь плюс еще все уязвимости онлайн кошельков. Здесь не сложение уязвимостей идет если что, а их произведение

Все учесть и от всего предостеречься практически нереально.

И как вы понимаете, это далеко не единичная история. Вот еще можете по хэштегу догекоин на Реддите почитать

Если сумма для вас важная, то только холодное хранение. Не онлайн кошельки, не биржи, не Метамаск. Иначе, потом, с большой вероятностью будете сами писать похожий пост а я вас буду закидывать в паблик))