Viabtc ошибка доступа к сети

Несколько крупных майнинг-пулов, включая Binance Pool, F2pool, Poolin и ViaBTC, за последние 24 часа объявили о проблемах с подключением клиентов. Одновременно с этим хешрейт биткоина и Ethereum сократился примерно на 10%.

Как сообщили Binance Pool и Poolin в своих китайских Telegram-каналах, причиной неисправности послужило «загрязнение» DNS. F2pool также заявил о проблемах с собственным доменом. Пользователи ViaBTC подтверждают возникновение затруднений при получении доступа к пулу.

«Проблемы с подключением, похоже, в первую очередь затрагивают китайских майнеров», — заявил основатель консалтинговой фирмы ProofofWork.Energy и бывший вице-президент Poolin Алехандро Де Ла Торре.

Де Ла Торре предположил, что происходящее является результатом вмешательства китайских властей. С мая этого года администрация Китая перешла к активной борьбе с добычей криптовалют, из-за чего большинство крупных майнинг-пулов было вынуждено покинуть страну.

The Bock со ссылкой на документ китайской государственной телекоммуникационной компании China Telecom подтверждает, что интернет-провайдеры страны ввели новые меры для обнаружения и блокировки доступа местных майнеров к пулам. Усовершенствованное решение позволяет им полностью ограничивать доступ майнеров к интернету и вносить адреса майнинг-пулов, используемые для подключения оборудования, в черный список.

Направленный на добычу биткоина хешрейт Binance Pool за последние сутки сократился на 14%, F2pool – на 8%, а ViaBTC – на 7%. Пулы рекомендуют пользователям изменить настройки DNS для устранения неисправности. Binance Pool предложил в качестве долгосрочного решения использовать VPN.

Кроме того, сегодня стало известно о закрытии крупного китайского криптоновостного портала Chainnews. Ранее его домен стал недоступен одновременно с блокировкой сайтов ODaily и BlockBeats. Впоследствии все три стали использовать Telegram для распространения публикаций, однако Chainnews в эту пятницу официально объявил о полном прекращении деятельности. ODaily и BlockBeats продолжают работать на альтернативных доменах.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме

Некоторые из крупнейших майнинговых пулов столкнулись с серьезными сбоями в работе, возможно, из-за вмешательства китайского правительства.

За последние 24 часа несколько крупных пулов для майнинга криптовалют, включая Binance Pool, F2pool, Poolin и ViaBTC, сообщили о проблемах с подключением в своих каналах Telegram.

Проблема вызвана «загрязнением» системы доменных имен (DNS), заявили Binance Pool и Poolin на своих китайских каналах Telegram. F2pool также сообщил, что доменное имя пула не разрешается должным образом.

DNS — это интернет-сервис, который преобразует доменные имена, такие как block-chain24.com, в адреса интернет-протокола (IP), которые представляют собой строки чисел. Отравление DNS может произойти, когда хакер перенаправляет трафик с доменного имени на сайт-самозванец.

Пользователи ViaBTC также сообщают в Telegram о проблемах с доступом к пулу. В своем англоязычном Telegram-канале пул признал проблему, но не упомянул конкретно проблемы с подключением к DNS.

«Проблемы с подключением, по-видимому, в первую очередь затрагивают китайских майнеров», — сказал Алехандро Де Ла Торре, основатель консалтинговой фирмы ProofofWork.Energy и бывший вице-президент Poolin.

Де Ла Торре считает, что китайское правительство, вероятно, вмешивается в работу майнинговых пулов.

Хешрейт биткойнов Binance Pool снизился на 14% за последние 24 часа. По данным информационной платформы BIT Mining, F2pool упал почти на 8%, а ViaBTC — на 7%.

Большая часть пулов находится в Китае, который пообещал отказаться от майнинга криптовалют. Хотя их хешрейт исходит не только из Китая, и они заявили, что планируют покинуть страну к концу года, но публикация материалов на китайском языке может быть истолкована как обслуживание его населения.

Binance Pool, F2pool и Poolin посоветовали пользователям изменить свой DNS, чтобы решить эту проблему. В Binance Pool заявили, что долгосрочным решением будет использование VPN для обхода телекоммуникационного оператора страны.

В 2022 году из-за высокой сложности блокчейнов популярные монеты чаще добывают сообща. В пулах участники с небольшим хешрейтом получают стабильные выплаты. Крупным майнерам выгоднее заплатить небольшую комиссию и получить технически грамотное решение, чем поднимать ноду самостоятельно. Пулы предоставляют клиентам депозитные счета для хранения заработанных монет, потому уделяют приоритетное внимание безопасности. Например, официальный сайт ViaBTC на русском языке предлагает клиентам регистрировать аккаунты и активировать 2FA. Авторизованные пользователи могут майнить 13 популярных монет. В режиме совместной добычи доступны BTC, BCH, LTC, DOGE и другие активы. Сервис также поддерживает опцию смарт-майнинга на алгоритме SHA-256.

В ноябре 2022 года сервис работает на 5 языках — русском, китайском, корейском, английском, испанском. По данным MiningPoolStats, пул лидирует в добыче Dogecoin (34,7%) и Zcash (42,1%). Всего майнерам доступны 13 топовых монет.

Иллюстрация:

ViaBTC характеризуют такие особенности:

• Пул входит в экосистему ViaBTC, которая также включает биржу CoinEx, кошелек ViaWallet, блокчейн CoinEx Smart Chaine (CSC) и фонд ViaBTC Capital.
• Если заказать выплаты на CoinEx, комиссию за перевод не возьмут.
• Клиентов, использующих прокси-сервер, от несанкционированного доступа защищает Stratum-протокол.
• Можно активировать двухфакторную аутентификацию через Google Authenticator или по номеру телефона.
• Сервис поддерживает смарт-майнинг BTC, BCH. Алгоритм автоматически переключается на более доходную монету.
• Можно просматривать статистику добычи в мобильном приложении или через API.
• Клиентам предлагают выбрать метод расчета прибыли (PPS+, PPLNS и SOLO).

История проекта

ViaBTC создан в 2016 году майнером и разработчиком Хайпо Яном. Это убежденный последователь биткоина, который добывал монету на домашнем компьютере с 2013-го, а затем самостоятельно написал программное обеспечение для пула. Хайпо Ян уделил много внимания технической стороне, стараясь превзойти в этом конкурентов.

Сегодня это крупный игрок, который может влиять на рынок криптовалют. В 2022 году пул добывает более 99% Syscoin, Emercoin.

Для поддержки платформы разработчики создали криптобиржу, кошелек, блокчейн с открытым исходным кодом CoinEx Chain и фонд ViaBTC Capital. В 2022 году ViaBTC Group обслуживает более 4 млн клиентов по всему миру.

Как скачать и установить на ПК

Майнинг — автоматизированный процесс, который управляется специальным софтом. На ASIC он предустановлен, а при запуске фермы из видеокарт программу нужно скачать.

При выборе утилиты стоит учитывать, что некоторые производители берут комиссию за ее использование. Например, в приложении PhoenixMiner из каждые 1,5 часа майнинга минуту программа добывает активы разработчикам.

Оценить преимущества платных утилит могут только опытные пользователи. Новичкам лучше начать с простого приложения с интуитивно понятным интерфейсом. Например, клиенты выбирают:

• Easy Miner
• Ccminer
• GMiner CUDA

Для подключения к пулу нужно изменить конфигурацию системы — файл .bat для видеокарт или открыть панель администрирования ASIC. Актуальные параметры можно найти на официальном сайте разработчика. Необходимо ввести:

• IP-адрес компьютера
• URL пула
• Никнейм пользователя

Чтобы создать Личный кабинет в майнинговом пуле ВиаБТС, нужно:

1. Открыть официальный сайт ресурса и нажать на «Регистрация».
2. Ввести актуальный e-mail и кликнуть по «Проверочный код». Для его отправки потребуется решить капчу.
3. Ввести 6 символов из полученного письма.
4. Указать реферальный код (при наличии).
5. Принять условия пользовательского соглашения (поставить галочку напротив опции).
6. Нажать на «Регистрация».
7. Придумать имя пользователя и пароль (6-30 символов, обязательно минимум 1 цифра и 1 прописная буква латинского алфавита).

Если все сделано верно, появится сообщение об авторизации. Для защиты аккаунта можно активировать 2FA по номеру телефона или через генератор кодов Google Authenticator.

Обзор Личного кабинета

Войти в аккаунт можно по логину и паролю. По умолчанию пул настроен на добычу BTC. На главной странице отображается статистика по активу. Чтобы изменить криптовалюту, нужно нажать на иконку в левом верхнем углу.

Для работы доступны разделы:

• Панель управления. На странице можно добавить воркер и прочитать инструкцию по работе.
• Управление майнерами. Страница фиксирует активные и отключенные воркеры. Для удобства их можно сгруппировать по признакам.
• История прибыли. Вкладка хранит информацию о доходах в табличном и графическом видах.
• Настройка майнинга. Здесь можно выбрать тип распределения прибыли, ввести параметры конфигурации и включить уведомления.
• Управление аккаунтом. При необходимости можно добавить неограниченное количество дополнительных счетов, связанных с основной учетной записью. В этом блоке доступна статистика по каждому субаккаунту.
• Избранные наблюдатели. Можно создавать и удалять ссылки для гостевого входа в Личный кабинет.
• Центр настроек. Участники могут изменить личные данные и настраивать параметры безопасности.
• Центр уведомлений. В разделе можно настроить доставку оповещений.
• Купоны. Здесь можно активировать бонусные коды, полученные в промоакциях. Обычно купон дает скидку на комиссию пула в ВиаБТС в течение определенного срока.
• Реферальная программа. В разделе можно скопировать ссылку для приглашения новых участников и отслеживать активность партнеров.

Настройка безопасности

ВиаБТС шифрует личные данные клиентов с использованием протоколов SSL и TLS. Информацию не передают третьим лицам. Для большей безопасности можно настроить такие параметры:

• Платежный пароль. Его потребуется указывать при выводе средств.
• Google Authenticator. Можно настроить 2FA-подтверждение при каждом входе в Личный кабинет ViaBTC для майнинга или для отдельных действий.
• Пароль. Рекомендуется установить сложный код (допустимая длина — до 30 символов).
• История входов в аккаунт. При обнаружении несанкционированного посещения нужно сменить пароль и написать в службу поддержки.

Создание воркера

Пул оплачивает валидные шары, которые получает в процессе поиска решения. Чтобы начать передачу данных, необходимо:

1. Собрать и настроить оборудование. ViaBTC работает с видеокартами и асиками.
2. Найти IP майнера. Это можно сделать с помощью специальных утилит (например IPReporter). Программу нужно скачивать на сайте производителя.
3. Открыть параметры асика.
4. Изменить конфигурацию в зависимости от режима майнинга (актуальные значения можно найти на сайте пула).
5. Запустить добычу.

Сервер начнет получать валидные шары и автоматически определит воркер. Отслеживать состояние можно во вкладке «Управления майнерами».

При необходимости нужно отредактировать имя Worker вида UserID.workerID (по умолчанию указана модель устройства). Также можно установить пароль.

Параметры настройки для видеокарт GPU

Начинающие майнеры могут протестировать добычу криптовалют в пуле ВиаБТС на значениях по умолчанию. Чтобы повысить энергоэффективность в дальнейшем, потребуется настроить видеокарты. Разгон включает несколько этапов:

1. Запустить программу MSI Afterburner для оптимизации параметров GPU. Это универсальное приложение поддерживает видеокарты разных производителей. Одновременно нужно запустить программу-майнер, чтобы контролировать добычу при изменении настроек.
2. Записать значения по умолчанию. Если система будет вести себя нестабильно, к ним можно вернуться.
3. Снижать частоту памяти с шагом 25-50 Гц.
4. Следить за работой системы и хешрейтом.
5. Остановить процесс при появлении признаков нестабильности (звездочки, синий экран).
6. Перезагрузить компьютер и откатиться на шаг назад. Оптимальное значение частоты памяти найдено.

Первоочередная задача майнера — выйти на окупаемость затрат. Понижая напряжение питания, можно снизить расход электричества. Однако хешрейт при этом также будет падать.

Необходимо найти оптимальное значение напряжения, при котором вычислительная мощность уменьшается незначительно.

Как настроить ASIC

В 2022 году прибыль майнеров снизилась на фоне падения крипторынка. Одновременно подешевели асики. Инвесторы используют эту возможность для закупки майнеров с расчетом на будущий рост рынка. Производительность ASIC гораздо выше, чем GPU. Даже в условиях криптозимы майнеры продолжают работу и накапливают цифровую валюту, поэтому сложность блокчейнов растет. В ноябре этот показатель для BTC увеличился на 0,5% (36,95 Т).

Для настройки майнинга на ViaBTC нужно:

1. Проверить контакты на предмет повреждений. Такие недостатки могут привести к возгоранию. Поврежденную технику лучше заменить.
2. Соединить ASIC кабелями с блоком питания.
3. Подключить сетевой шнур и провод для интернета.
4. Определить IP майнера. Для этого необходимо ввести в поиске браузера 192.168.1.1, затем логин и пароль. Появится список асиков в локальной сети, нужно найти свой.
5. Посмотреть на сайте пула настройки конфигурации. Зафиксировать данные.
6. Изменить конфигурацию в панели управления ASIC Miner Configurations.
7. Запустить майнер.

Пулы криптовалют для майнинга на ВиаБТС

В 2022 году пользователи добывают 13 популярных монет. В отличие от некоторых других платформ, ViaBTC не поддерживает майнинг ETH в старой сети Proof-of-Work.

Чтобы получать повышенную прибыль, можно подключить функцию Smart Mining (объединенный майнинг). В 2022 году ВиаБТС поддерживает одновременную добычу в парах BTC/BCH, LTC/DOGE. Алгоритм постоянно рассчитывает потенциальную прибыль. Если доход по одной монете ниже, программа переключает мощности на вторую.

В таблице указаны показатели по наиболее востребованным криптовалютам в ноябре 2022 года.

Как настроить майнинг на ViaBTC

ВиаБТС ориентирован на классическую добычу криптовалют. Арендовать мощности и получать пассивный доход не получится. Для начала работы придется:

1. Выбрать криптовалюту.
2. Купить оборудование.
3. Настроить параметры майнинга.

В 2022 году сервис предлагает участникам дополнительные функции:

• Продажу оборудования. Начинающие майнеры могут получить профессиональную консультацию перед сделкой. Действующие предложения можно найти в разделе Resources.
• Хостинг. Новое оборудование можно разместить в дата-центрах экосистемы ViaBTC.
• Кредитование. Если пользователи не хотят продавать монеты для оплаты текущих расходов, можно взять заем под залог активов.

Майнинг Litecoin

Форк биткоина, запущенный в 2011 году, работает быстрее и дешевле прототипа. Благодаря более низким требованиям к оборудованию по сравнению с биткоином блокчейн Litecoin более децентрализован. Монета пользуется поддержкой комьюнити, имеет хорошую ликвидность, поэтому прибыльна для майнинга. Чтобы запустить добычу LTC, нужно:

1. Выбрать в настройках майнера ViaBTC способ распределения прибыли.
2. Указать периодичность выплат и кошелек.
3. Ввести URL: stratum+tcp://ltc.viabtc.io:3333, stratum+tcp://ltc.viabtc.io:25, stratum+tcp://ltc.viabtc.io:443.

Для повышения стабильности лучше использовать все 3 шаблона. При активации функции объединенного майнинга пользователи будут бесплатно получать бонусы DOGE (в режимах PPS+ и PPLNS). Они появятся в разделе «Активы».

Майнинг Bitcoin Cash

Еще один популярный форк биткоина запущен в 2017 году. Bitcoin Cash отличается увеличенным размером блока (до 8 Мб). Это позволяет быстрее подтверждать транзакции.

В 2022 году ViaBTC поддерживает объединенный майнинг BCH и SYS. При активной опции вторую криптовалюту можно получать бесплатно.

Вот как начать майнить на ViaBTC:

1. Отметить в настройках профиля способ распределения награды и адрес хранилища.
2. Зайти в параметры майнера и изменить URL: stratum+tcp://bch.viabtc.io:3333, stratum+tcp://bch.viabtc.io:25, stratum+tcp://bch.viabtc.io:443.
3. Запустить добычу.

Майнинг Dash

Это анонимная цифровая валюта с мгновенными транзакциями. Код Dash основан на программном обеспечении Bitcoin с некоторыми изменениями. Например, разработчики внедрили механизм InstantSend, который увеличивает скорость подтверждения транзакций до нескольких секунд. Операции в сети Dash невозможно отследить благодаря функции PrivatSend.

Чтобы запустить майнинг на ВиаБТС, нужно:

1. Указать способ распределения награды и кошелек в настройках Личного кабинета.
2. Открыть файл .bat и изменить порты: stratum+tcp://mining.viabtc.io:3004, stratum+tcp://mining.viabtc.io:304.
3. Нажать на Start.

Как вывести криптовалюту с ViaBTC

Добытые монеты копятся на внутреннем балансе клиентов. Можно активировать опцию автовывода на внешний кошелек: прибыль будет автоматически поступать на указанный адрес после превышения пороговой суммы. Комиссии за транзакции не взимают.

Для настройки автовывода нужно:

1. Перейти во вкладку «Активы».
2. Выбрать раздел «Настройки автоматического вывода средств».
3. Ввести адрес стороннего кошелька или ID учетной записи CoinEx.
4. Подтвердить операцию.

Средства выше минимальной выплаты будут автоматически переводить с баланса с 10:00 по 18:00 (GMT+8). Могут быть задержки выплат из-за ошибок платежной системы. В этом случае нужно написать обращение в службу поддержки с указанием ошибки, тогда проблему решат.

Также майнеры могут в любое время вывести средства вручную по 2 направлениям:

• На внешний кошелек, указанный в Личном кабинете. За операцию нужно оплатить сетевой сбор.
• Через биржевой аккаунт CoinEx. Операция выполняется мгновенно без комиссий.

Категории выплат

Пул ViaBTC предлагает участникам выбрать способ получения наград. В ноябре 2022 года сервис поддерживает:

• PPS+ (Pay Per Share Plus) — установлен по умолчанию. Это усовершенствованная версия традиционного метода расчетов PPS. Майнинг-пул платит за каждую часть выполненной работы (шару). Награду перечисляют независимо от того, нашел ли пул блок. Поскольку сервис несет риск удачи (срок нахождения решения неизвестен), то берет относительно высокие комиссии.
• PPLNS (Pay Per Last N Shares). После нахождения блока сервис распределяет прибыль, учитывая отношение вычислительной мощности пользователя к хешрейту майнинг-пула за последние N циклов сложности. Доход участников нестабилен, поскольку зависит от нахождения блока. Поэтому комиссии относительно небольшие. Этот метод выбирают майнеры, настроенные на долгосрочную работу.
• SOLO. Прибыль получает участник, который нашел блок. Пул берет очень небольшой процент за обслуживание. Метод используют клиенты с высоким хешрейтом, которые не хотят нести расходы по запуску собственного сервера.

Комиссия

ВиаБТС взимает процент с прибыли пользователей. Величина сбора зависит от способа распределения дохода. Подробности — в таблице.

Клиенты с высоким хешрейтом могут получить индивидуальные условия работы — статус VIP. Для этого нужно:

1. На официальном сайте ВиаБТС нажать на «Заявка для VIP хэшрейта».
2. Указать вычислительную мощность, имя и контактные данные.

Заявку рассмотрят в течение 3 дней. Служба поддержки свяжется с клиентом, чтобы обсудить сотрудничество.

Минимальная выплата

Пороговая сумма для вывода денег на кошельки — 0,001 единицы криптовалюты. Перечислять награды на внешний адрес можно вручную или выбрать автоматическую отправку.

Если активировать функцию конвертации, начисленные средства будут обмениваться по биржевому курсу на BTC или USDT и накапливаться на балансе.

Служба поддержки

Детальные инструкции по работе с платформой нужно искать в разделе «Помощь». Ответы на вопросы также можно найти в русскоязычном Телеграм-чате среди более опытных участников. Для связи с техподдержкой нужно:

1. Открыть официальный сайт и прокрутить страницу вниз.
2. Нажать на Ticket.
3. Заполнить форму обратной связи, указать тему и координаты (e-mail).

К сообщению можно приложить пояснительное фото или видео. Служба поддержки отвечает в течение 1-3 дней.

Как начать майнить в ViaBTC

Чтобы зарабатывать в пуле ВиаБТС, нужно:

1. Выбрать наиболее прибыльную монету.
2. Купить и настроить оборудование.
3. Скачать и установить программу для добычи монет.
4. С помощью специального софта определить IP ПК или ASIC.
5. Изменить параметры конфигурации (отредактировать текстовый файл или настройки асика).
6. Запустить добычу.

Преимущества и недостатки майнера

Заключение

Майнинг-пул ViaBTC более 6 лет входит в число лидеров криптодобычи. Сервис зарекомендовал себя как надежный ресурс с лояльными условиями для участников. Пользователям предлагают выбрать метод расчета прибыли или работать в режиме Solo. Клиенты могут выводить доход без комиссии на биржу CoinEx.

ViaBTC активно развивается. В 2022 году это целая экосистема с пулом, биржей, кошельком, инвестиционным фондом. Начинающие майнеры могут купить у компании асики и разместить их в дата-центре ВиаБТС. Также сервис предоставляет кредиты под залог топовых монет для оплаты ежедневных издержек.

Часто задаваемые вопросы

Сегодня веб-сайты работающие с криптовалютами являются очень «вкусной» мишенью для хакеров. И вроде бы их безопасность должна быть на высоком уровне, но

нет.

это далеко не всегда так. Посмотрите хотя бы на BlockChain Graveiard, где видно как крупнейшие сервисы банкротятся и закрываются в результате хакерских атак. Меня это воодушевило и я решил провести собственное исследование безопасности одного из таких веб-приложений. В этой статье я расскажу что из этого получилось и сколько мне заплатили. Интересно? Добро пожаловать под кат.

Итак, я посетил ViaBTC Pool — один из крупнейших пулов для совместного майнинга. Выбор был случайным и базировался на диаграмме ниже.

Диаграмма построена на основе рыночной доли самых популярных биткоин-пулов для майнинга по состоянию на 23.09.2017

Я зарегистрировал аккаунт, привязал телефон и подключил двухфакторную аутентификацию через Google Authenticator. Также была включена опция “Authenticate When Sign In ViaBTC” (2fa при входе).

Вот так безопасно выглядел аккаунт потенциальной жертвы:

Поехали!

1. Сайт не защищен от CSRF атак.

CSRF (англ. Сross Site Request Forgery — «Межсайтовая подделка запроса», также известен как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.

В данном случае, если пользователь веб-приложения посетит вредоносный сайт, то его email изменится на адрес атакующего.

Работает это так:

1. Пользователь веб-приложения переходит на сайт злоумышленника.
2. Жертва ничего не подозревает, однако в этот момент на сайт pool.viabtc.com был отправлен запрос на смену email адреса.

   

3. Злой хакер тут же получает письмо на свою почту для подтверждения операции.

   

4. После перехода по ссылке в письме злоумышленник видит:

   

Великолепно! Почта успешно привязалась и атакующий автоматически залоггинился в аккаунте жертвы. Но влажные фантазии нашего воображаемого хакера о несметных криптобогатствах прервёт тот самый редирект «ту хоум». Да, это окно втрого шага аутентификации (2fa при входе, помните?):

2. Обход двухфакторной аутентификации при входе

Далее была обнаружена критическая уязвимость в реализации двухфакторной аутентификации. Некоторые функции веб-приложения требовали подтверждение вторым фактором аутентификации только во фронтенде. Если отправить запрос непосредственно на бэкенд, то он будет успешно выполнен без надлежащей аутентификации.

Таким образом, атакующий способен отключить двухфакторную аутентификацию при входе, несмотря на то, что он не прошёл ту самую двухфакторную аутентификацию, что, несомненно, является очень удобной фичей.

Смотрите сами:

1. Атакующий использует запрос ниже для отключения 2fa при авторизации.

   

2. Злоумышленник переходит на главную страничку, но теперь аутентификация не запрашивается.

   

Что ещё можно было сделать отправляя запрос непосредственно на сервер? Давайте вспомним первую уязвимость, где браузер жертвы сам отправил запрос на смену email’a. Если пользователю необходимо изменить email, то фронтед запросит подтверждение через второй фактор аутентификации. Но если отправлять запрос напрямую, то подтверждение не требуется! Из за такого недостатка безопасности атакующий и смог изменить email используя CSRF.

На данном этапе, атакующий получил доступ в аккаунт и к его конфиденциальной информации. Но такие важные операции, как, например, смена пароля всё ещё защищены двухфакторной аутентификацией.

3. Полный обход двухфакторной аутентификации

Веб-приложение разрешает использовать два метода подтверждения операций: SMS код или код из Google Authenticator. Но я обнаружил ещё один метод – email код.

Как? Я обратил внимание на процесс подтверждения операции через SMS. Он состоит из запроса на отправку кода и запроса на подтверждение используя полученный код. Выглядит это так:

«В этом запросе было бы неплохо изменить “sms” на “email”», – подумал я.

А здесь логично “sms_code” на “email_code”.

Ну что сказать, ловкость рук и никакого мошенничества!

Да, у атакующего нет доступа к SMSкам жертвы. И да, у него нет доступа к аккаунту Google Authenticator жертвы. Но у него есть доступ к email’у (он был привязан к аккаунту благодаря CSRF).

Итак, финальные шаги:

1. Злоумышленник отправляет запрос на получение кода подтверждения для операции перепривязки аккаунта Google Authenticator.

   

2. Получает код на email.

   

3. Подтверждает операцию используя email код.

   

4. Изменяет второй фактор аутентификации на свой.

   

Вот таким нехитрым образом злоумышленник завладел аккаунтом обычного пользователя веб-приложения.

Заключение

Цепочка уязвимостей позволяет полностью украсть аккаунт, что, конечно же, критично. Тем не менее уязвимости исправить не сложно:

• Внедрить CSRF-токены.
• Выполнять проверки на стороне сервера.
• Отключить подтверждение через email.

Но если смотреть глубже, эти уязвимости просто симптомы по которым можно диагностировать:

• Разработчики не имеют базовых знаний в области безопасности веб-приложений. Как минимум знание заезженного OWASP TOP TEN исключили бы появление столь банальной уязвимости как CSRF.
• Разработчики считают, что фронтенд является единственным источником данных для бэкенда веб-приложения и слишком доверяют данным от него. Но это не так: мы можем отправлять прямые запросы на сторону сервера.
• Отсутствует строгая политика относительно функционала веб-приложения. Разработчики допустили существование предположительно дебаг функции в продакшн версии веб-приложения.

Главное это не просто исправить те несколько уязвимостей, что я обнаружил. Важно смотреть в корень проблемы. Техническая команда должна сделать выводы и постоянно улучшать их знания в области безопасности. Да, возможно эта мысль банальна и очевидна. Но мы каждый месяц наблюдаем громкие заголовки о взломе очередной криптобиржи. Забавно то, что это вроде бы как новые технологии с огромными рисками, миллионы денег, которые могут безвозвратно покинуть ваш кошелёк, но всё те же разработчики, которые не знают что такое CSRF. Я всё.

Timeline

• 13.12.2017 — Reported.
• 14.12.2017— Accepted.
• 15.12.2017 — Fixed. Заплатили вознаграждение.

UPD: Заплатили 1 BTC. По курсу на тот момент около 18 000$.

Viabtc.com не работает сегодня июнь 2023?

Узнайте, работает ли Viabtc.com в нормальном режиме или есть проблемы сегодня

 Статус Viabtc.com : нет сбоя  

4 комментариев

Сообщить о сбое в соцсетях:

Viabtc.com сбои за последние 24 часа

Не работает Viabtc.com?

Не открывается, не грузится, не доступен, лежит или глючит?

Форум пользователей Viabtc.com

Подсказки? Разочарования? Обсуждаем проблемы сервиса с другими посетителями сайта:

Чат с регистрацией

идентификация не требуется

комментарии с нецензурной лексикой и оскорблениями удаляются

Некоторые из крупнейших майнинговых пулов столкнулись с серьезными сбоями в работе, возможно, из-за вмешательства китайского правительства.

За последние 24 часа несколько крупных пулов для майнинга криптовалют, включая Binance Pool, F2pool, Poolin и ViaBTC, сообщили о проблемах с подключением в своих каналах Telegram.

Проблема вызвана «загрязнением» системы доменных имен (DNS), заявили Binance Pool и Poolin на своих китайских каналах Telegram. F2pool также сообщил, что доменное имя пула не разрешается должным образом.

DNS — это интернет-сервис, который преобразует доменные имена, такие как block-chain24.com, в адреса интернет-протокола (IP), которые представляют собой строки чисел. Отравление DNS может произойти, когда хакер перенаправляет трафик с доменного имени на сайт-самозванец.

Пользователи ViaBTC также сообщают в Telegram о проблемах с доступом к пулу. В своем англоязычном Telegram-канале пул признал проблему, но не упомянул конкретно проблемы с подключением к DNS.

«Проблемы с подключением, по-видимому, в первую очередь затрагивают китайских майнеров», — сказал Алехандро Де Ла Торре, основатель консалтинговой фирмы ProofofWork.Energy и бывший вице-президент Poolin.

Де Ла Торре считает, что китайское правительство, вероятно, вмешивается в работу майнинговых пулов.

Хешрейт биткойнов Binance Pool снизился на 14% за последние 24 часа. По данным информационной платформы BIT Mining, F2pool упал почти на 8%, а ViaBTC — на 7%.

Большая часть пулов находится в Китае, который пообещал отказаться от майнинга криптовалют. Хотя их хешрейт исходит не только из Китая, и они заявили, что планируют покинуть страну к концу года, но публикация материалов на китайском языке может быть истолкована как обслуживание его населения.

Binance Pool, F2pool и Poolin посоветовали пользователям изменить свой DNS, чтобы решить эту проблему. В Binance Pool заявили, что долгосрочным решением будет использование VPN для обхода телекоммуникационного оператора страны.