BLOGCZEJNalpha

Zhakowałem 1 konto na Steemit! ~45 USD było pod moją kontrolą. Ale jestem dobrym chłopcem 😇 Więc...

Jak pewnie każdy z Was wie, na Steem zarabiamy tokeny, które mają wartość. Jak coś ma wartość to wiele osób może chcieć ją pozyskać, a naszym celem jest dbać o to jak o własną kieszeń. Jednak nie każdy wie jak o to dbać i jak ważne jest dbanie - o klucz prywatny.

Jak to kurator ma w zwyczaju przechadzać się po chat - zauważyłem, że @szrociak wrzucił coś dziwnego na Steem Chat, dziwny ciąg znaków, który jest dziwnie znajomy. Kilka sekund na zastanowienie - to chyba klucz od Steem.

Wpisuję dane - działa, jestem na jego koncie (zrób Claim Rewards przy okazji). W takim razie jako kurator muszę usunąć klucz prywatny, by nikt go nie okradł. Jako, że korzystam z Pidgina, to muszę zalogować się na steem chat i ręcznie usunąć, ale wpisu nie ma.

obraz.png

Pidgin

https://cdn.pixabay.com/photo/2017/09/04/20/52/bald-eagle-2715461_960_720.jpg

Pidgin to multikomunikator internetowy. Za jego pomocą możemy rozmawiać (np. przez Gadu Gadu) i prowadzić konwersacje na Steem chat czy naszym Discordzie - wszystko z poziomu jednej aplikacji (i nie zamula). Są jednak rzeczy, do których Pidgin nie był projektowany, jako bezpośredni zamiennik niektórych chatów. Można z jego poziomu pisać z innymi, ale np. edycje nie zmieniają wpisów, tylko dostajemy pod spodem nową wersję - co oznacza, że szrociak wpisując i edytując klucz prywatny nie usunął go po mojej stronie!

Za hajs @szrociak baluj

Pierwsze od czego zacząłem to plan działania. Ogólnie mogłem zmienić hasło i czekać aż szrociak pojawi się na chat czy coś. Dopytałem się naszego witnessa @jamzed, który doradził pozostawienie hasła, a tylko kontakt z Panem szrociakiem (niska wycena konta).

Wysłałem do niego maila, skontaktowałem się z nim przez chat i nawet jego kolegą (?) - @bolgan. Wreszcie chyba bolgan skontaktował się i hasło zostało zmienione.

Zrzut ekranu :)

obraz.png

Przez przypadek wysłałem klucz - co robić, jak żyć?

Moim zdaniem trzeba poczynić jak najszybciej 3 kroki:

  • Spróbować usunąć klucz,
  • Dać wolne środki w Savings - lepiej 3 dni czekać aż się wypłacą niż by ktoś przelał je na swoje konto,
  • Zmienić hasło.

A najlepiej używać posting key :)

Suwenir

Na pamiątkę napisałem sam do siebie :)

obraz.png

Co zostało w blockchainie już go nigdy nie opuści! :)

Czy ktoś inny zrobił taki błąd?

Jako, że rozmowy zapisują się w pidginie, a są one przechowywane plain tekstem - sprawdziłem historię rozmów i prawdopodobnie nikt nie zrobił takiego błędu. Także nie musicie czaić się na klucze innych ludzi.

Pokusa?

Zacząłem się zastanawiać co by było jakby przez przypadek noisy albo inny wieloryb wrzucił swój klucz prywatny. Ciekawa hipoteza. Z jednej strony mógł to być "podatek od głupoty", z drugiej ktoś ciężko pracuje na Steem. A mam nadzieję, że @szrociak będzie kiedyś kluczowym "graczem" w polskiej społeczności Steem!

Na zakończenie

Dziękuję za przeczytanie, mam nadzieję, że w odpowiedniej chwili zadziałacie podobnie (kto doda najlepszy komentarz z czyjegoś konta wygrywa!). Klucz prywatny to najważniejsza rzecz dla wielu osób, to coś gorszego od hasła. Najczęstszą metodą wśród Bitcoinowców jest (jakby ją zaadaptować do Steem):

  • Wydrukowanie sobie klucza prywatnego na kartce z bezpiecznej dystrybucji Linuksa (np. Tails)
  • Używanie tylko posting key i raz na jakiś czas do wypłaty z bezpiecznego systemu logować się kluczem głównym

PS. Noisy sporo zarobił na podobnym poście, dajcie z 5k dolarów czy coś :>

KOMENTARZE

  • ciekawski

    A najlepiej używać posting key :)

    Czym jest posting key?

  • anka

    Szlachetnyś panie :P Żywcem do nieba pójdziesz :P

  • wolontariusz

    Lubię piratów! Masz upvota choć wart za wiele nie jest. :)

  • deltor

    Jesteś dobrym człowiekiem :) masz więc mój upvote na całe 2 centy :/

  • mys

    Whitehacker!

  • bluu

    Brawo, dobry człowieku. Teraz musicie uzbierać pod tym postem co najmniej 45 $, żeby wiedział, że się opłacało to robić.

  • grecki-bazar-ewy

    Brawo dobry człowieku :)

  • andzi76

    Dobra robota, brawo Ty

  • amelcio

    Brawo daję plusa. A odnośnie @noisy on trochę więcej pracy w to włożył i jego przypadek był inny. Wykazał się wiedzą programistyczną. Stąd zapewne jego post zarobił 5000 usd no i chyba najważniejsze. Jego post był chyba także w języku angielskim. Tak swoją drogą - podaj link do tamtego sławetnego wpisu noisego.

  • mastek

    hehe dobre :)

  • michalx2008x

    Postawa godna pochwały :) BRAWO !

  • szrociak

    Dobra akcja - brawo Ty :)

    Hasło zostało dodane na czacie w następujący sposób. Mam je zapamiętane na czacie, ale w ten dzień strona zażądała hasła - skopiowałem je z miejsca gdzie mam je zapisane i zalogowałem się by wrzucić link. Skopiowałem link (ale nie do końca:) i Ctr+V na czat i enter. Zobaczyłem, że zamiast linka wrzuciło się hasło, więc szybko to edytowałem, ale jak widać - nic to już nie dało. Także fajna przestroga dla innych :)

  • markoslaw

    Uszanowanie! Tak należy robić.

  • shogunma

    Kochajmy Ferviego i Tłumaczenia jego! Dobre. Bravo TY.

  • saunter

    Czy w tym programie jest przechowywana cała historia np. tagu #post-promotion czy tylko to, co samemu przeglądałeś?