💸 Как исчезли $450M в Bitcoin

В 2014 году крупнейшая криптобиржа мира Mt. Gox (70% всех BTC-транзакций) внезапно заморозила выводы. Через неделю — банкротство. 850,000 BTC пропали.

Transaction Malleability — уязвимость в Bitcoin-протоколе. Атакующий менял ID транзакции после отправки. Mt. Gox думал, что платёж не прошёл → отправлял BTC повторно.

🔓 Hot wallet катастрофа:

Большая часть монет хранилась в «горячих» кошельках онлайн. Компрометация приватных ключей (возможно через insider) = годы скрытых краж с 2011.

📉 Плохой accounting маскировал дыры до самого конца.

🕵️ Что с CEO:

Mark Karpelès был арестован в 2015, в 2019 оправдан по растрате, но получил 2.5 года условно за fraud.

⚡ Последствия:

BTC упал с $600 до $200. Биржи начали хранить средства оффлайн и подтверждать резервы.

📅 Кредиторы получили первые выплаты только в 2024 году, спустя 10 лет.

🐸 Библиотека хакера

#zero_day_legends

🧩 Разбор задачи

Раннее мы выкладывали хакер-челлендж 📎

➡️ Правильный ответ: 🔥 Alias flooding

Почему именно эта атака:

Alias flooding — это атака, при которой отправляется множество алиасов в одном запросе. Каждый алиас вызывает отдельный резолвер на сервере, что приводит к множественным запросам к базе данных. В результате 1 HTTP-запрос превращается в огромное количество операций, создавая amplification attack (например, 1 запрос = 5000 DB-запросов).

➡️ Почему другие атаки не такие эффективные:

1. 👾 Exponential field expansion

Эта атака работает за счёт увеличения сложности запросов при глубоком вложении, но она ограничена максимальной глубиной запроса (max depth: 10). Даже при увеличении количества вложений запросы не растут так экспоненциально, как при Alias flooding.

2. ❤️ Batched array flooding

Хотя запросы массивов с алиасами могут создать нагрузку, они требуют больших объёмов данных (например, 1000 пользователей с массивами), что делает эту атаку менее эффективной в контексте минимизации размера запроса.

3. 👍 Nested mutation chaining

Эта атака вызывает нагрузку на базу данных, создавая каскад мутаций, но она требует выполнения нескольких операций, и нагрузка на сервер растёт не так сильно, как при Alias flooding.

🐸 Библиотека хакера

#ctf_challenge

🛡️ Защита от атак и ответы на инциденты

🔢 Red Team — атакующие как средство обучения:

— Реальные сценарии атак, имитируют действия настоящих злоумышленников

— Выявление слабых мест в безопасности организации с фокусом на поведение

🔢 Blue Team — защита и реагирование на инциденты:

— Создание эффективных механизмов обнаружения и защиты от атак

— Улучшение процедур реагирования на инциденты в организации

❓ Что важнее для обеспечения безопасности:

❤️ — Red Team
👍 — Blue Team

🐸 Библиотека хакера

#tool_vs_tool

🐸 Библиотека хакера

#hack_humor

💳 Подборка материалов на выходные

Разборы утечек, протоколов и исследований, которые помогут лучше понимать, как действуют атакующие и как строить защиту.

🔵 The Salesloft–Drift Breach

Анализ крупнейшей SaaS-утечки 2025 года: злоумышленники получили доступ к данным через скомпрометированные OAuth-токены SalesLoft и Drift.

🔵 SPQR: Signal’s Post-Quantum Protocol

Signal внедряет гибридную post-quantum криптографию, обеспечивая защиту сообщений даже в эпоху квантовых вычислений.

🔵 HTTP Really Isn’t That Simple

Кратко: показан практический обход базовой фильтрации HTTP(S) через прокси (Squid/SNI-трюки) и рекомендации по усилению проксей и политики фильтрации.

🔵 Is Mouse Input Random Enough for Generating Secret Keys?

Исследование показывает, что движение мыши может служить источником энтропии для криптографических ключей.

Сейчас на курсы Proglib действует −40%🥰

🐸 Библиотека хакера

#resource_drop

📱 Pegasus — шпион, который жил в твоём телефоне

Израильский spyware от NSO Group заражал iPhone и Android через iMessage, WhatsApp и даже пропущенные звонки.

Zero-click эксплойты пробивали ядро и песочницы, давая полный доступ ко всему — сообщениям, камере, микрофону и GPS.

⏯ Данные уходили на C2-серверы, замаскированные под трафик Apple или Google.

🌍 Расследования Amnesty и Citizen Lab показали: Pegasus использовали против журналистов, правозащитников и чиновников по всему миру.

🐸 Библиотека хакера

#zero_day_legends

🔍 Target: как кондиционер открыл проход в кассы

Клиент: крупная сеть розничных магазинов с тысячами POS-терминалов.

Исследователь/атакующие: взломали сетевые учётки подрядчика по HVAC (системам отопления/вентиляции), у которого был доступ в корпоративную сеть Target для удаленного управления термостатами.

🔤 Ход атаки:

1. Учетные данные подрядчика — слабые/перепользуемые — дали вход в сеть.

2. Злоумышленники переместились латентно по внутренней сети, нашли сегменты с POS.

3. Загружен и запущен POS-малварь, перехватывавший данные карт из памяти (RAM scraping).

4. Экфильтрация — данные собирались и отправлялись на внешние C2-серверы.

🔴 Последствия:

Компрометация ≈110 млн записей (платежи, контактные данные), подорвано доверие клиентов, многомиллионные убытки и юридические издержки; перестановки в руководстве и пересмотр практик безопасности в ритейле.

🔴 Меры, которые спасли бы (и потом ввели)

Жёсткая сегментация сети, MFA и уникальные учетные данные для подрядчиков, мониторинг east-west трафика, контроль доступа по принципу least-privilege, защита памяти POS-процессов (tokenization), быстрый инцидент-ответ и уведомление клиентов.

🐸 Библиотека хакера

#breach_breakdown

🕵️‍♂️ SOCMINT: разведка по следам соцсетей

Инструменты для анализа, мониторинга и атрибуции аккаунтов. От Instagram и Reddit до Telegram, TikTok и X — всё, что помогает искать, отслеживать и проверять цифровые следы.

🔗 Ссылка на репозиторий

Кстати, сейчас на курсы Proglib действует −40%🥰

🐸 Библиотека хакера

#cheat_sheet

🚨 Критическая уязвимость в WSUS

Обнаружено / патч доступен: 23 октября 2025. Затрагивает Windows Server с ролью WSUS (2012, 2016, 2019, 2022, 2025).

⏯ Уязвимость позволяет удалённое выполнение кода через специально сформированный запрос — подтверждены случаи эксплуатации в реальной сети.

Действия прямо сейчас:

1. Установите официальный патч Microsoft немедленно, если он ещё не применён.

2. Если патч откладывают — изолируйте сервер WSUS: закройте доступ извне, отключите порты 8530/8531 или временно выключите роль WSUS.

3. Проверьте логи WSUS и системные журналы на аномальную активность и необычные запросы.

4. Убедитесь, что на всех серверах нет отложенных критических обновлений.

5. Проинформируйте DevOps/SecOps, добавьте проверку наличия и статуса WSUS в инвентарь критичных сервисов и в план реагирования.

🔤 Даже неиспользуемая роль WSUS может стать точкой входа для атак.

🐸 Библиотека хакера

#cve_bulletin

🕯 Инцидент в выходные: чему он нас научил

Один из подписчиков поделился историей:

В субботу ночью пошёл шквал 5xx — API легло из-за утечки соединений в пуле. PagerDuty сработал, но дежурный был без ноутбука, только с телефоном. В итоге баг нашли только через 40 минут, а бизнес узнал об этом из Twitter.

После этого команда полностью пересмотрела on-call:
— каждому выдали «дежурные ноутбуки» с VPN и доступами;
— прописали runbook для типовых сценариев;
— сделали эскалацию на второго инженера через 10 минут тишины;
— завели шаблон post-mortem и ротацию on-call раз в неделю.

💬 Вопрос к вам:

Как у вас устроено дежурство? Оплата, эскалации, время реакции — что реально работает, а что оказалось лишним?

🐸 Библиотека хакера

#ask_the_community

🐈‍⬛️ Свежий способ ловить опасные драйверы

Microsoft больше не публикует список уязвимых драйверов в удобном виде — теперь он спрятан в ZIP-архиве с XML-файлом SiPolicy_Enforced.xml. Проект Cyb3r-Monk/Microsoft-Vulnerable-Driver-Block-Lists автоматизирует всё, что Microsoft усложнила.

🟣 Инструмент:

— автоматически скачивает и парсит официальный список;
— извлекает FileName, Authentihash, FileHash, Signer и другие поля;
— конвертирует данные в CSV и JSON;
— обновляется еженедельно;
— готов к интеграции с SIEM, EDR, MDE и другими системами детекции.

🟣 Зачем нужно:

— Уязвимые драйверы часто используются для эскалации прав и обхода защиты.

— Интеграция с SIEM позволяет быстро обнаруживать их загрузку и реагировать до компрометации ядра.

🔗 Ссылка на репозиторий

🐸 Библиотека хакера

#tool_of_the_week