Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
ksantoprotein
6 лет назад

Хьюстон... у нас снова проблемы с Golos.io или как всего лишиться с бустерами

В свое время я же первый "придумал" и описал как заводить на счет бустера токены для прокачки и сам же потом отказался этот механизм у себя внедрять... и собственно вот почему.

Несколько часов назад в чате uplift, он же панк был засвечен приватный активный ключ

Фактически сразу был узнан владелец этого ключа и была совершена стандартная атака на аккаунт.

Первым делом был создан аккаунт psk02 и на него перечислены текущие токены GBG и GOLOS. Отличный ход для хакера, так как таким образом трудно найти того, кто смог перехватить управление в нашем прудике.

Далее скрипт хакера установил понижение СГ прямиком на кошелек новорожденного

(у нас единицы знают то, что оказывается так можно и могут так накодить)

Далее отменились все ордера на внутренней бирже и снова трансфер на кошель

А далее последовало крайне изящное с моей точки зрения решение, да... оно витало в воздухе, но не было мысли, что его можно так использовать

Хакер с помощью активного ключа сделал аккаунт-мультисиг. Правда с первого раза злоумышленник чутка лопухнулся, так что через 10 минут он переделал транзакцию и сделал так, чтобы владелец аккаунта не смог воспользоваться своим активным ключом... а точнее уже никто им и не воспользуется из вас сейчас, то есть просто заблокировал нам всем любые изменения, но за то полностью перехватил управление на себя... китаеза видимо

Объясняю...

"weight_threshold": 10,

это условный вес в мультисиге, чтобы действие было признано.

"key_auths": [[ "GLS5SPzqQXDHZZ875RREhGQNsodVQXPR3xZixq9HWbzDbe4oGJirW", 1]

Владелец аккаунта теперь имеет вес 1 и уже не может вносить какие либо изменения, в том числе и делать апдейт инфы об аккаунте.

"account_auths": [[ "psk02", 99 ]

Хакер перенаправил права на свой аккаунт и его вес 99 при минимальном 10. А вот в первой попытке он сделал 9 и 9, сами усмотрите, а это все равно позволило бы нам сделать что-либо в конечном итоге.

А теперь вишенька на торте... то есть при чем тут golos.io. Дело в том, что если сменить пароль через наш горячо любимый сервис, который мы ему доверяем, то ничего не изменится... изменятся приватные ключи, но вес НЕ изменится и владелец даже с новым приватным активным ключом ничего не сможет сделать.

То есть просто смертный, который случайно засветит в порыве бустинга свой активный ключ рискует в один момент потерять не только ликвидные токены, но и силу голоса. То есть голос ио НЕ защищает простого пользователя голоса от подобного насилия над аккаунтом и смена ключей в данном случае ничего не даст.

Поэтому не забываем мои советы в том числе по пользованию моими таллидами, НЕ используйте свой основной аккаунт, заводите специальный аккаунт-кошель, докидываете туда 10 токенов, чтобы фурычил и со своего личного аккаунта загружаете то кол-во токенов, которое вам необходимо для прокачки за раз.

А тем временем владелец рассказывает, что при попытке зайти на свой аккаунт через ГВ скрипт хакера списывает накопившиеся токены... а этот момент уже лежит вне моей компетенции и понимания...

1
247.514 GOLOS
На Golos с July 2017
Комментарии (171)
Сортировать по:
Сначала старые