Server sync... Block time in database: 1665109860, server time: 1665109969, offset: 109

Хьюстон, у нас проблемы... (часть 2, продолжение банкета)


image.png

Думаю, основная масса активных голосят помнит, как примерно год назад был красиво поломан аккаунт @romapush? Если нет - я напомню. Вернее, он был не совсем поломан, а вор тупо воспользовался технической ошибкой Ромы, который отправляя куда-то монеты, вместо примечания, по ошибке вставил в поле memo свой приватный активный ключ (этот тот, с помощью которого можно осуществлять финансовые операции). История была освещена и описана у Протея.

Пару недель назад у нас было снова продолжение банкета - был точно так же засвечен и попал в лапы вора аккаунт @leva64, правда вор не додумался создать мультисиг и полностью заблокировать доступ к аккаунту его хозяина, он просто вывел ликвидные токены, создал с помощью украденного же ключа новый акк @leva65.

image.png
и включил на него понижение:
image.png
Вполне успешно:
image.png
В обоих случаях проблема была разрулена, с случае Ромы с помощью @ksantoprotein, в случае @leva64 - с моей, аккаунты были восстановлены и возвращены хозяевам, но сама проблема никуда не делась и уязвимость остается, так что будьте осторожны.

Но как вор так быстро спалил ошибки хозяев этих аккаунтов, спросите вы? А все просто, идея давным давно не новая. То что на стимите уже давно переварилось и вышло с другой стороны - мы все еще едим. Как вам такая идея - прицепить к блокчейну бота, который бы отслеживал в мемо транзакций все, что хоть каким-то образом напоминает пароли или ключи? Ведь рано или поздно кто-то совершит такую ошибку, особенно если этот кто-то часто совершает транзакции - вероятность ошибки накапливается чисто статистически. К примеру сделать поиск по маске 5К..., Р5... или еще что-то похожее, с чего начинаются все пароли/ключи. Как только в мемо какой-то транзакции появляется хоть что-то похожее на пароль/ключ - бот уведомляет своего хозяина и тот идет грабить аккаунт.

До того момента мы все думали, что если мы не будем пользоваться основным паролем, а используем только ключи - наши аккаунты будут в безопасности.
Авотхрен!
В БЧ Голоса оказалась уязвимость, которая до сих пор не устранена. Уязвимость эта заключается в том, что понижение СГ можно включить на чужой аккаунт, чем легко может воспользоваться вор: создать свой аккаунт с уже нормальным паролем/ключами, после чего запустить на него вывод с ограбленного аккаунта.

А вот дальше начинается самое интересное: в случае утери основного пароля восстановить аккаунт можно только с помощью рикавери (аккаунта-регистратора). Если вы регистрировались через golos.io - аккаунт-регистратор у вас скорее всего будет @golosio или @reg-service, для восстановления аккаунта вам придется написать в техподдержку и еще вы должны помнить свой имейл и у вас должен быть доступ к номеру телефона, на который регистрировали акк. И с момента угона не должно пройти больше месяца.
Но даже это вам не особо поможет. Дело в том, что даже если вы восстановите доступ к своему аккаунту, смените пароль итд - все равно ваша СГ будет продолжать понижаться на аккаунт вора.
Почему так?
Все дело в параметре "withdraw_routes", который при включении понижения на сторонний аккаунт меняется с нуля на единицу, и вернуть его обратно надо ручками.

image.png

И до тех пор, пока не вернуть обратно "withdraw_routes": 0 - понижение будет идти на аккаунт вора. Стандартными средствами golos.io тут ничего сделать нельзя, хоть отменяй, хоть перезапускай понижение - кина не будет. Нужно только через golos-js отправлять операцию (причем, что меня удивило, техподдержка Голоса это сделать не в состоянии, наверное тупо не умеют), то есть обычному рядовому пользователю без навыков программирования и при неимении в друзьях лиц, такими навыками обладающих, остается просто 13 недель грустно созерцать, как его денежка уходит на аккаунт вора. Или просто смотреть на свой бесполезный аккаунт с которого невозможно вывести деньги, потому что при любой попытке они будут выводиться на аккаунт вора.

Что делать и как защититься от этого?

  1. Не светите свои ключи НИГДЕ.
  2. Если часто совершаете транзакции - делайте это не с основного аккаунта а с промежуточного, на который без мемо заводите необходимые суммы по мере надобности.
  3. Не переходите по незнакомым ссылкам, а если даже перешли - не вводите там никаких своих ключей/паролей - это вполне может быть фишинг, угоняющий ваши акаунты.

Что делать если вы все же засветили ключ и стали жертвой вора?

  1. В первую очередь восстановить ваш аккаунт либо через рикавери либо через техподдержку.
  2. Сменить пароль (ключи поменяются вместе с ним)
  3. Зайти на сервис Вика, с помощью которого убрать со своего аккаунта все возможные мультисиг-доступы, если есть подозрение, что они были прицеплены вором к вашему акку.

image.png

Далее - вернуть понижение с аккаунта вора на свой собственный аккаунт.
Для этого в блокчейн следует отправить следующую конструкцию:

golos.bb.boadcast.setWithdrawVestigRute( ``'5****', ``'вашаш аккш акккаунт, писасобаки', ``'аккаунтнтккаунтунт вора, писбаки' , ``0, false, ``functiononfunctesult) { `` console. consolresult); ``});
гд

});`

где ;
}); где5**` - ваш приватный активный ключ
В результате получаем вот такую операцию:
image.png
После которой вор отсосетполучит ноль, а вы будете получать нормальное понижение СГ на свой аккаунт.

Ну и предваряя вопросы, чтобы отправить операцию в блокчейн, следует воспользоваться сервисом Гороха, либо установить node-js и потом golos-js. Как это делается, я писала вот здесь. Пост несколько устарел, но переделывать лень, просто подставьте актуальные версии, хотя должно сработать и так как есть.

Всем удачи, хорошего профита на Голосе, и будьте осторожны. В этой жизни плохих людей намного больше, чем хороших.


Comments 24


@lindsay надо для Виза такую же шпаргалку написать. А то сейчас новые люди начнут региться, косяков наделают.
Только я не знаю, актуальна ли для Виза эта проблема, или уже всё поправили до наc, @ksantoprotein?
Я сегодня весь день мыслями в Визе, наконец, лёд тронулся, люди как-то начали приходить, интересоваться разными пом-ботами.

29.06.2019 23:06
2

@eldar-adov а где ты на визе в мемо приватник указываешь?

30.06.2019 03:41
1

@ksantoprotein хм. Вроде пока нигде. Но это я пока ни разу не выводил токены VIZ на биржу. Правда, придётся объяснять каждому, кому я создал аккаунт делегированием, чтобы меняли ключи или... надеялись на мою честность)))) Потому что ключи генерируются в файлик и падают сначала мне.

30.06.2019 12:19
0

@eldar-adov вот и засветить прям в блокчейне их нет возможности

30.06.2019 12:38
0

@eldar-adov Теоретически на Визе можно проделать то же самое, но опять же: для этого кто-то должен где-то засветить свой ключ/пароль.

30.06.2019 06:38
1

@lindsay вчера почитал древний пост об угоне ключа Ромы. Особенно понравились комментарии. Хотелось спать, но читал и ржал, читал и ржал. Голос - отличная Санта-Барбара...

30.06.2019 12:21
0

@eldar-adov Как ты там говорил: один день разборок на Голосе =)
Обычное дело...

30.06.2019 13:05
0

@lindsay

Ну и предваряя вопросы, чтобы отправить операцию в блокчейн, следует воспользоваться сервисом Гороха, либо установить node-js и потом golos-js.

или воспользоваться консолью браузера, golos-js также будет нужна

30.06.2019 03:44
36

@kedgaks Антон штопанный никак не уймется все флагует

03.07.2019 19:21
0

@lindsay горбатого могила исправит))

05.07.2019 04:20
0

👍 by @rentmyvote service

30.06.2019 14:28
0

Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
gryph0n, galina1, ovchinnikov, propoker, varja, amalinavia, markvial, ksantoprotein, fxmonster, sterh, optimist, kudesnikaltay, nefer, izbushka, oagalakova, ohlamoon, d0z4t0r, jpigeon84, anykeycheg, zaria, onur1s, html, benken, tasha, vsebudethorosho, bammbuss, alexfisher, wallyt, azarovskiy, liseykina, gromozeka, yurgent71, vp-cosmos, student61, drim, sergiy, zlata777, volv, semitsvetik, mister-omortson, olgaxx, lilia, valen-tina, voronchihin, dayver, manavendra, shal891, gildar, ianboil, verdon, victorskaz, denispavlov, polyideic, andreyprosto, apnigrich, zelivsky, forbon21, sinilga, vako, ladynazgool, bombo, pkrugloff, dikaniovs, arhiopteriks, worthless-man, littleboo, bumex2008, sansey, virt, naiger, massatela, carpe-diem, cryptenthusiast, boltyn, mjataura, mixtrum, archual, marko44, sevaev, kilobucks, vitalson, lologom, ladykosha, wmforum, blange, oceanotechnic, goodnews, zlody, siddxa, m0ssa99, marigold, jahspear, astrofilosof, alexxela, evgeniy73, yurij12, egoryana, boliwar, lvivrugby, esperos, top-flag, chimborazo, alex2016, felicita, seagull15, atvalevsky, tapejara, kinoshka, wenderccc, alte, erased
Поэтому я тоже проголосовал за него!

Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!


Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"


dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас:

30.06.2019 14:50
0

Здравствуйте, @lindsay. Вы получили 100% апвот от UPRomo за сожженные GBG. Продвигали сей пост в очереди: @leva64.
Сервис прибавил к вашему посту примерно 108.860 GBG.

После сжигания GBG путём клика по кнопке "Продвинуть" под постом на golos.id или аналогичной на golos.io (она появляется после нажатия на 3 точки) пост попадает в очередь. Если он >= 20 GBG, имеет шанс получить апвот. Вот только его вероятность зависит от того, какие суммы сейчас среди первых позиций.
Находящийся на первом месте до начала следующего раунда получит ап. Остальные же - позже. Ваш пост будет находиться в очереди на ап до момента выплаты, после неё происходит удаление оттуда, сожженные GBG возвратить не возможно.
Все участники UPRomo имеют шанс попасть в промо, если количество сожженных токенов >= суммы одного из находящихся в топ 20 постов.
Кроме того, в UPRomo есть рейтинги сжигающих за месяц.


Делегируйте СГ сервису UPRomo и способствуйте уменьшению количества GBG, что поможет выйти из кризиса, возобновить GBG и восстановить его цену, равную 1 МГ золота.

01.07.2019 06:04
0

Хорошо, что об этом написала. Но думаю многим людям проще было бы подправить ссылку для Писаря, чем использовать другие методы. Вроде такая она должна быть (Стоит проверить):
https://gropox.github.io/sign/?user=login&tr=[["set_withdraw_vesting_route",{"wif":"5**","fromAccount":"login",", toAccount":"vor","percent":0,"autoVest":false}]]

01.07.2019 06:33
0

как вариант

01.07.2019 19:39
0

++ полезная информация.

01.07.2019 07:43
0

Вы наградили автора токенами VIZ тоже хочу!

01.07.2019 07:43
0

@now хороший троллинг)))

01.07.2019 15:05
3

01.07.2019 19:07
0

03.07.2019 20:00
0