ildar_abiyhttps://teletype.in/atom/ildar_abiy2026-04-09T10:28:19.931Zildar_abiy:starknet_sliv2023-12-02T09:30:33.867Z2023-12-02T22:39:08.681Z

<img src="https://img3.teletype.in/files/ec/45/ec458642-c917-4b6a-a2dd-68be604f06f1.png">Вчера ( 1 декабря 2023) подтвердили снапшот Starknet. И многие включая меня начали считать воображаемые Иксы, но тут подкрался пи***ц как всегда незаметно.

<figure id="ZS90" class="m_custom"> <img src="https://img3.teletype.in/files/ec/45/ec458642-c917-4b6a-a2dd-68be604f06f1.png" width="424" /> </figure> <p id="Au06">Вчера ( 1 декабря 2023) подтвердили снапшот Starknet. И многие включая меня начали считать воображаемые Иксы, но тут подкрался пи***ц как всегда незаметно.</p> <p id="LKgs">Обнаружил что на группе моих самых старых кошельков Braavos 4 дня назад появились 3 транзакции </p> <figure id="xUuW" class="m_original"> <img src="https://img2.teletype.in/files/5f/52/5f52158b-78d1-420b-9a32-18a1b8df533d.png" width="349" /> <figcaption>И что это бы значило. </figcaption> </figure> <p id="tpWL">После изучения транзакций и консультации пришел к заключению, что утекли приватники от кошельков расположенных в профилях на Антике Дельфин давным давно. И так, что значат эти транзакции. Даунгрейд контракта кошелька до 10 версии с дописанной функцией setPublicKey (в официальной версии контракта от Braavos 11 версии эта функция не написана просто заглушка). Таким образом, злоумышленник через setPublicKey прописал новый приватник и вуаля, доступ к кошельку потерян. При этом кошелек открывается как обычно, только появилась надпись Upgrade Now и при попытке подписать любую транзу выходит ошибка. </p> <figure id="ZGIc" class="m_original"> <img src="https://img2.teletype.in/files/92/d9/92d91828-6fce-4b68-b1f9-946ac6e9f4ea.png" width="385" /> </figure> <p id="j8Hk">Вот так, я распрощался с 19 аккаунтами Braavos.</p> <p id="P8Ii">Теперь к Argent X. Тут все намного проще. Если приватник утек, то злоумышленник меняет ключ функцией change_owner. Подробнее об этом писал Разнорабочий в этой <a href="https://telegra.ph/Novyj-privatnik-dlya-starogo-akkaunta-10-10" target="_blank">статье.</a> Минус еще 1 аккаунт.</p> <figure id="ov4B" class="m_original"> <img src="https://img3.teletype.in/files/e5/7c/e57c9903-ebd8-4484-8e2b-8dd476e8a5e1.png" width="282" /> </figure> <p id="0RfT"><strong>Что сделал для защиты оставшихся акков</strong></p> <p id="8Clm">Что сделал для защиты оставшихся акков на случай если не все акки из антика угнали. В случае Argent X все просто. Поможет фича Argent Shield. 2Fa по майлу. Привязывает акк к железу и при попытке отправить транзу через другое устройство попросит повторное подтверждение по майл. Подробнее <a href="https://support.argent.xyz/hc/en-us/articles/9950649206685" target="_blank">тут.</a> За это в Argent X контракте отвечает функция сhange_guardian.</p> <figure id="TVne" class="m_original"> <img src="https://img1.teletype.in/files/07/a8/07a81846-f8ef-4702-a3fc-37c60567a1f0.png" width="350" /> </figure> <p id="WNKQ">У Braavos такой фичи нет. И там пришлось написать скрипт который нонстоп дрейнит весь баланс нативного токена . Без ETH нечего не подпишешь ). Дожил блин. Дрейню сам свои же кошели. ))) </p> <blockquote id="7EUa"><em>Все это до клейма STRK потом все кошели уходят в мусорку.</em></blockquote> <blockquote id="rZxO">Может кому то поможет моя история. Starknet - Технологии которые мы заслужили )</blockquote> <p id="px0d">UPD. Вместо автодрейнера привязал все оставшиеся Braavos кошели к мобильному телефону. Теперь при каждой транзакции даже с ПК требует подтверждение на телефоне. Подробней описано в сегоднешней <a href="https://t.me/raznorabochiy_notes/36" target="_blank">статье</a> Разнорабочего</p> <p id="xiZL"><strong>Подписывайтесь на <a href="https://t.me/ildar_scripts" target="_blank">Telegram</a></strong></p> <p id="9TJv"></p> <p id="nog9" data-align="right"><strong>Огромная благодарность за помощь</strong></p> <p id="9HpP" data-align="right"><strong>в разборе ситуации <a href="https://t.me/raznorabochiy_notes" target="_blank">Разнорабочему</a>.</strong></p>