ildar_abiyteletype.inhttps://img2.teletype.in/files/91/50/9150630b-868d-49e8-80b6-fb25e4329f2e.pngildar_abiyhttps://teletype.in/@ildar_abiyhttps://teletype.in/@ildar_abiy?utm_source=teletype&utm_medium=feed_rss&utm_campaign=ildar_abiyThu, 09 Apr 2026 10:24:47 GMTThu, 09 Apr 2026 10:24:47 GMThttps://teletype.in/@ildar_abiy/starknet_slivhttps://teletype.in/@ildar_abiy/starknet_sliv?utm_source=teletype&utm_medium=feed_rss&utm_campaign=ildar_abiyhttps://teletype.in/@ildar_abiy/starknet_sliv?utm_source=teletype&utm_medium=feed_rss&utm_campaign=ildar_abiy#commentsildar_abiyПотеря 20 аккаунтов Starknet или как снизить риск угонаSat, 02 Dec 2023 09:30:33 GMTВчера ( 1 декабря 2023) подтвердили снапшот Starknet. И многие включая меня начали считать воображаемые Иксы, но тут подкрался пи***ц как всегда незаметно.]]>

Вчера ( 1 декабря 2023) подтвердили снапшот Starknet. И многие включая меня начали считать воображаемые Иксы, но тут подкрался пи***ц как всегда незаметно.

Обнаружил что на группе моих самых старых кошельков Braavos 4 дня назад появились 3 транзакции

И что это бы значило.

После изучения транзакций и консультации пришел к заключению, что утекли приватники от кошельков расположенных в профилях на Антике Дельфин давным давно. И так, что значат эти транзакции. Даунгрейд контракта кошелька до 10 версии с дописанной функцией setPublicKey (в официальной версии контракта от Braavos 11 версии эта функция не написана просто заглушка). Таким образом, злоумышленник через setPublicKey прописал новый приватник и вуаля, доступ к кошельку потерян. При этом кошелек открывается как обычно, только появилась надпись Upgrade Now и при попытке подписать любую транзу выходит ошибка.

Вот так, я распрощался с 19 аккаунтами Braavos.

Теперь к Argent X. Тут все намного проще. Если приватник утек, то злоумышленник меняет ключ функцией change_owner. Подробнее об этом писал Разнорабочий в этой статье. Минус еще 1 аккаунт.

Что сделал для защиты оставшихся акков

Что сделал для защиты оставшихся акков на случай если не все акки из антика угнали. В случае Argent X все просто. Поможет фича Argent Shield. 2Fa по майлу. Привязывает акк к железу и при попытке отправить транзу через другое устройство попросит повторное подтверждение по майл. Подробнее тут. За это в Argent X контракте отвечает функция сhange_guardian.

У Braavos такой фичи нет. И там пришлось написать скрипт который нонстоп дрейнит весь баланс нативного токена . Без ETH нечего не подпишешь ). Дожил блин. Дрейню сам свои же кошели. )))

Все это до клейма STRK потом все кошели уходят в мусорку.
Может кому то поможет моя история. Starknet - Технологии которые мы заслужили )

UPD. Вместо автодрейнера привязал все оставшиеся Braavos кошели к мобильному телефону. Теперь при каждой транзакции даже с ПК требует подтверждение на телефоне. Подробней описано в сегоднешней статье Разнорабочего

Подписывайтесь на Telegram

Огромная благодарность за помощь

в разборе ситуации Разнорабочему.

]]>