Хакерская атака на кошелек Guarda произошла 30 декабря 2020 года, около 13:00 по Московскому времени. Хакеры все отлично спланировали и хорошо подготовились. Атаке подверглась WEB версия кошелька а так же Desktop приложение, которое по сути не является полноценным десктоп-приложением, поскольку использует подгружаемый веб-интерфейс, т.е. если сайт взломали, то в приложение можно подгрузить что угодно и это безусловный минус создателям данного кошелька.
Что же на самом деле произошло с кошельком Guarda?
Произошла банальнейшая вещь. Хакеры взломали аккаунт регистратора доменов GoDaddy и получили доступ к замене NS серверов домена guarda.com, после чего заменили NS-ы на свои, а далее уже дело техники. Запустив свой кошелек, либо зайдя на WEB-версию, пользователи увидели запрос восстановления кошельков из бэкапа, где надо было прикрепить файл бэкапа, а так же ввести мастер-пароль. Все выглядело четко в стиле Guarda и никак не могло вызвать подозрений. Естественно, большинство пользователей, пытающихся попасть в это время в свои кошельки, без задней мысли отправили свои бекапы хакерам, после чего в интерфейсе получили сообщение:Guarda is currently undergoing scheduled maintenance. Please try again later.
Реакция разработчиков кошелька Guarda в Твиттере
В официальном Твиттере кошелька появилось первое сообщение и оно гласило, что имеются некоторые проблемы с web-app, они работают над данной проблемой и что все средства в безопасности. Т.е. они пока сами не могли понять, что происходит, даже не смотря на ответ пользователя на твит, который говорил о том, что приложение запрашивает данные бекапа для восстановления.
Только через 50 минут после первого сообщения они поняли, что происходит, но опять же назвали это проблемой с веб-приложением и призвали НЕ ИМПОРТИРОВАТЬ СВОИ БЭКАПЫ. При этом они опять повторились, что средства пользователей в безопасности, однако это было уже далеко не так.
Проблема доступа к секретным ключам кошельков Guarda
Одной из серьезных проблем для пользователей оказалось то, что все бэкапы ключей Guarda wallet были зашифрованы с помощью мастер-пароля, не понятно по какому алгоритму и получить доступ к своим ключам не представлялось возможным. Из соображений безопасности, шифрование и дешифровка ключей должна происходить на уровне самого десктоп-приложения, в этом случае для пользователей не было бы проблемой получить доступ к своим ключам не зависимо от доступности веб-интерфейса. Запросы в поддержку о том, по какому алгоритму зашифрован бекап и как его можно расшифровать, не получили конкретного ответа. Там лишь дали понять, что расшифровка невозможна до тех пор, пока не восстановят сайт. Это весело! Когда ты знаешь или догадываешься, что ключи твоих кошельков у злоумышленников, при этом у тебя есть файл бэкапа и пароль, но сам ты не можешь получить к нему доступ, что бы восстановить кошельки в другом приложении и перевести свои средства. У всех пользователей была бы возможность спасти свои монеты, имей они доступ к своим ключам.Веб-интерфейс для расшифровки бекапа
Через 4 часа после первого сообщения в Твиттере, поддержка кошелька Guarda наконец-то выкатили сайт, где можно было расшифровать свои бекапы. Но не многие это сделали в попытке спасти свои деньги, поскольку большинство даже не знало, что их нужно спасать. Guarda упорно не хотела признавать, что их хакнули, и называли это проблемой с регистратором, а не проблемой одного или нескольких идиотов из поддержки, которые просрали свои логины и пароли доступа в кабинет регистратора домена. Большинство денег еще можно было спасти, признай они открыто, что их хакнули, а интерфейс восстановления бекапа был подложным. И в попытке сохранить репутацию, Guarda wallet обосралась по полной, потеряв миллионы денег своих пользователей.
Тем не менее, спасибо и на том, что тулзу дешифровки бекапа все таки выкатили. Благодаря чему, вашему покорному слуге удалось спасти бОльшую часть крипты, но к сожалению не всю.
Что в итоге? Сколько крипты украдено?
В итоге, после возобновления работы кошелька, многие пользователи не обнаружили своих монет, а лишь историю транзакций, где четко прослеживалось как утекли их деньги на кошельки злоумышленников.
На скрине один из кошельков хакеров (bc1qr8zh082aduw29ea7wj0y96wzzt74368wy7zjfy), на которые были выведены украденные Биткоины пользователей Guarda wallet. В данный момент, сумма на нем составляет 11 BTC и это только один из кошельков. Сколько их на самом деле, предположить сложно.
В телеграмм группе Guarda постоянно всплывают новые сообщения о том, что пользователи потеряли свои средства.
Люди делятся друг с другом инфой, кто сколько потерял и цифры, по меркам наших реалий, совсем не маленькие.
Сколько человек получило такой печальный новогодний подарок, остается только догадываться.
На что надеяться потерявшим свои кровные?
Надеяться на то, что Guarda wallet вернет деньги своим пользователям, это почти тоже самое, что верить в инопланетян, которые прилетят после Нового Года и всех спасут. Но я понимаю тех, кто задает резонные вопросы о том, планирует ли Guarda возвращать украденные средства, поскольку вина лежит целиком и полностью на них.
Ответы поддержки Guarda о том, что они плотно работают с полицией и крупными биржами, что бы заблокировать кошельки злоумышленников и не допустить трансфера украденной криптовалюты, вызывают лишь грустную улыбку. Я понимаю, что надежда, это все, что в данный момент есть у пострадавших пользователей, но эта надежда очень призрачна и имеет крайне мало шансов на исполнение.
Выводы. Есть ли они и насколько актуальны?
Все криптоэнтузиасты, постоянно работающие с криптой – всегда в зоне риска. Абсолютно безопасных кошельков не существует, особенно имеющих WEB-интерфейс. Работая с криптокошельками нужно всегда сохранять приватные ключи в надежном месте и держаться подальше от кошельков, где нет доступа к ключам. Guarda был моим любимым кошельком, он очень удобен и функционален, поддерживает огромное количество монет и токенов. Но после произошедшего, нужно быть абсолютно упоротым, что бы продолжать им пользоваться. Я свои выводы сделал, а вы свои делайте сами…PS: Если вы пострадали в результате взлома кошелька Guarda и потеряли свои средства, напишите пожалуйста в комментариях. Давайте вместе оценим масштаб потерь, хотя бы среди русскоязычных пользователей.
Не зная, что Guarda была хакнута, я 3 января вложил туда бумажный кошелек, перевел себе деньги и остатки разбросал по другим бумажным кошелькам. Все прошло нормально, тьфу-тьфу-тьфу. Сегодня на свой страх и риск опять проделал похожую операцию, тоже прошло нормально, быстро и четко, слава Богу! Пользуюсь веб-кошельками только чтобы перевести деньги с бумажных, а остаток сразу кидаю на другой сгенерированный бумажный.
С точки зрения безопасности, вы все делаете правильно. 3 января уже все было в норме. Попали те, кто пытался восстановить бекапы 30-го декабря.