Replying to Mysterious Hamster

We're still investigating what happened here. It seems a handful of accounts may have been compromised and had their autowithdrawal settings tampered with, including our own "coinos@coinos.io" account.

We ran a script to search for accounts that had the attacker's "speed.app" withdrawal address in place and found about 9 that seem to have been affected. There could be more though, we will update as we have more information.

I worry that this may be the same attacker who exploited a password reset vulnerability back in January which allowed them to gain access to a number of accounts. It's possible that since that time they have been sitting on the account data and working to brute force the encrypted nostr private keys that we had on file for some accounts that had imported their nostr key into Coinos. Those keys were encrypted at rest in our database but it's possible they may have been cracked.

We no longer store nostr private keys for accounts and have since added support for external signing apps and browser extension login, but there was a time when we were storing encrypted nsec private keys.

Having a users nsec would allow an attacker to authenticate into Coinos by signing a nostr event and change the user settings. It also means your entire nostr profile and identity may be compromised.

This is only a hypothesis at this point and we need to investigate further but we may end up recommending that affected users rotate their nostr keys.

nostr:nevent1qvzqqqqqqypzpggzvz325tcf9kz79s9c9627430ccc82r8rgujycwxd43n92y037qy88wumn8ghj7mn0wvhxcmmv9uq32amnwvaz7tmjv4kxz7fwv3sk6atn9e5k7tcqyrdx8njpnvvulfcsqqd7ud47uw6dnzl4a3fmsrafsp0rte9f29h5uxpgg73

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Galera, um aviso importante.

Saquem seus sats da Coinos, estão surgindo muitos relatos de carteiras drenadas.

A nostr:nprofile1qqst4qyeqenw7zm0fwjsty68h6cnys5jre2xd8ngqpjv5a2j26s78fspz4mhxue69uhhyetvv9ujumrfvecxz7fwd4jsz9thwden5te0wfjkccte9e3k76twdaeju6t0qy28wumn8ghj7un9d3shjtnyv9kh2uewd9hsmryfpz se pronunciou recentemente alegando de que está investigando o caso. Houve um vazamento de dados causado por um exploit em janeiro que pode ter armazenado alguns dados de usuários e os atacantes podem estar usando tais dados para adentrar a Coinos e saquear o saldo.

Leiam mais aqui:

nostr:nevent1qqsfsg878u9luv2sxm6yahyjr4zpt745rdfpuu47wnn9t2dskgem52gppemhxue69uhkummn9ekx7mp0qgst4qyeqenw7zm0fwjsty68h6cnys5jre2xd8ngqpjv5a2j26s78fsrqsqqqqqpysntnk

Reply to this note

Please Login to reply.

Discussion

4c
ENSA obsoleta 6mo ago

Ou será má implementação da Nostr Wallet Connect?

Lembro que a Minibits fez vários zaps sem eu permitir também.

Esse dreno é aos poucos ou de uma vez? Sabe dizer?

[Assinatura PGP](https://wim.nl.tab.digital/s/iicFFaWs5MK2MpM)

Avatar
Dante 6mo ago

nostr:nprofile1qqs9lvleww6z44hwgekywltkyhgkzmp0wurppefy88h874eact2kptgpr4mhxue69uhkummnw3ezucnfw33k76twv4ezuum0vd5kzmp0q2ekyk

Avatar
novo 6mo ago

Felizmente numca tive esse problema com a minibits, não aue tenha reparado. 🤔

4c
ENSA obsoleta 6mo ago

nostr:nevent1qqszh87rwazn8kf4k0j64e6tj3kpc9pv6fnfhhs33ne5vmplgs0tftgpz4mhxue69uhhyetvv9ujuerpd46hxtnfduhsygpxeh7cm23rdp28340xvs5zxuafh68lrux9lufw6ku34ycjgh647ypsgqqqqqqs4nwtvw

[Assinatura PGP](https://wim.nl.tab.digital/s/b4aXw5Wp3Y3AqiS)

Avatar
novo 6mo ago

Eu toda vez ativava e desativava o nwc 🤔 pq eu tentava fazer as vezes e dava problema. Aí deixei desativado definitivamente. Mas eu queria é que vitor colocasse a opção de todos eventos que eu visualizasse fosse zapeado automaticamente 🤔

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Nossa, isso ia dar muito problema. O mais perto disso que chegaram foi zaps automáticos por reações.

Avatar
novo 6mo ago

Que nada, bro. Só se sua atenção e tempo for menos valioso que seu money.

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Por exemplo, só nesse post que fiz, você teria enviado zaps para 4 post.

A não ser que suas limitações estivessem especificadas.

4c
ENSA obsoleta 6mo ago

Felizmente também os valores eram irrisórios. Mas eles tinham o valor dos zaps que eu definia, saiam da minha minibits e não ia para o usuário NOSTR que eu escolhia. Parece que evaporavam sem deixar rastros.

[Assinatura PGP](https://wim.nl.tab.digital/s/r7fBNcs2kMRcRxH)

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Chequem se em suas carteira estão ativadas o saque automático, desativem o quanto antes.

Avatar
novo 6mo ago

Já falei. BTC é só on chain 👍

No máximo do máximo lightning no próprio canal.

Avatar
Dante 6mo ago

O minibits resolve isso?

Avatar
novo 6mo ago

Não kkkk

Se for ecash é token lastreado.

E se for lightning geralmente não está no seu node.

Avatar
Dante 6mo ago

Então todas as carteiras pra zap estão nesse mesmo problema?

Avatar
novo 6mo ago

Sim. Nenhuma será um problema se você mesmo abrir seu canal; e no caso de zaps (ecash) se você for seu próprio mint.

Qual a diferença deles pros bancos? Não continuam sendo intermediários?

Avatar
idsera 6mo ago

No caso da spark.money vc de certa forma tem a auto custódia dos fundos. Uma carteira spark que vc pode testar: https://sparksat.app

4c
ENSA obsoleta 6mo ago

Eu pensava que essas carteiras com seed como minibits e até a hard wallet OndKey dava LN em auto custódia. Mas eles operam no nó de terceiros.

Só há uma exceção, as carteiras que operam em submarine, como a Muun, que tudo que chega, seja on chain ou lightning pode ser resgatado on chain mesmo que o nó pare de funcionar e a forma multisig de operar também impede que a própria Muun mova os fundos.

Mas as vantagens tem um preço: as taxas lightning são caras, dependendo do valor a transferir, compensa mais mandar on chain.

[Assinatura PGP](https://wim.nl.tab.digital/s/EWRpzoX6pTpj7GX)

Avatar
Dante 6mo ago

Acabei de mudar da zbd pra a coinos e acontece isso 😔

Felizmente dessa vez consegui sacar o que eu tinha 👍

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

A coisa é esperar e ver os próximos episódios, espero que se resolva logo, a coinos é muito boa.

Avatar
André ⚡ 6mo ago

Altere sua senha, gere uma num gerenciador de senhas off-line e não esqueça de habilitar o 2FA na sua conta. É isso que precisa ser feito agora, e aguardar a solução desse problema.

Avatar
Dante 6mo ago

Vou trocar para outra carteira de novo, não vou aguardar soluções, já aguardei demais na carteira anterior e me ferrei.

Avatar
André ⚡ 6mo ago

Tenha sempre em mente que carteiras custodiais, a gente sempre deixa quantias pequenas; carteiras não custodiais, quantias um pouco maiores. Bitcoin mesmo, só em rede on-chain.

Avatar
Dante 6mo ago

Sim, sempre usei assim. E eu tinha tirado a maior parte do que eu tinha antes de dar problema, mas creio que ainda tinha ficado uma parcela considerável, que apesar de não ser muito, eu preferiria ter doado em sats por aqui 👍

Avatar
Dante 6mo ago

nostr:nprofile1qqsdrks96vr7vc7frjflm8lmhwleslwzgjlkpyj4ahjhzgm4n8dh0qqpzemhxue69uhky6t5vdhkjmn9wgh8xmmrd9skcqgcwaehxw309aex2mrp0yh8xmn0wf6zuum0vd5kzmqpzemhxue69uhhyetvv9ujuurjd9kkzmpwdejhgjy7m9t nostr:nprofile1qqsr5maylee9j77ce0es6tgmxj3pax2dlsuuptkn2stuj95jzqysulgpzemhxue69uhhyetvv9ujuurjd9kkzmpwdejhgqgjwaehxw309ac82unsd3jhqct89ejhxqgdwaehxw309ahx7uewd3hkca6zsjl nostr:nprofile1qqs0n4lskfcmtwcea4qqmzawacwz9tp6t0ju7gx625secjffu53es7spz3mhxue69uhhyetvv9ujuerpd46hxtnfduqs6amnwvaz7tmwdaejumr0dsq3vamnwvaz7tmjv4kxz7fwdehhxarj9e3xzmnyx2hzkz nostr:nprofile1qqsy40y0zl3suj0gh9sw4qs3elxxgjxvjz9hg8nlnqvlqehjwfrssjqpz4mhxue69uhkummnw3ezummcw3ezuer9wchszrnhwden5te0dehhxtnvdakz7qg4waehxw309aex2mrp0yhxgctdw4eju6t09u979cgl

Avatar
Bellatrix✨ 6mo ago

Obrigada pelo compartilhamento Dante. Não estava ciente.

Avatar
Dante 6mo ago

De nada 🫂

Já perdi uns sats com a ZBD e passei a usar coinos, mas não quero que isso fique se repetindo...

Embora agora eu não saiba qual usar no lugar 😅

Avatar
Bellatrix✨ 6mo ago

Pois é… a wos talvez seja uma alternativa, mas não tem a NWC. 😅

Avatar
Dante 6mo ago

E também não tem endereço web de recebimento para eu deixar como uma segunda carteira no perfil... 😔

Avatar
Bellatrix✨ 6mo ago

Tbm não 🥲 facilita demais! Principalmente para quem usa de maneira comercial e não apenas no Nostr.

A alby era tão boa… Depois que eles passaram a usar o hub ficou complicadinho pra mim.

Avatar
tanel 6mo ago

using WoS and Strike myself as my go-to

really disappointed with how alby went by their business, used to always recommend it to everyone back in the day

Avatar
Bellatrix✨ 6mo ago

Yes, definitely!

Hmm… I’ve never tried Strike. I’ll check it out.

Avatar
tanel 6mo ago

just so you know, it does require KYC

Avatar
Bellatrix✨ 6mo ago

the struggle is real 🥲

but thank you for letting me know Haha

Avatar
tanel 6mo ago

it really is eh... reminiscent of the good days and simpler times

Avatar
idsera 6mo ago

Eu acredito que em breve surgirão boas carteiras alternativas. Vamos aguardando.

Avatar
Bellatrix✨ 6mo ago

Também acredito🤞

Avatar
Dusk 6mo ago

Nunca entendi porque muita gente daqui usa a coinos, o que ela tem de mais?

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Endereço lightning personalizado, várias formas de depósito e saque com taxas baixas, entre outras personalizações fáceis para negócios e empresas.

Avatar
idsera 6mo ago

E hacks toda ssmana, rs.

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Os mais populares também são os que sofrem mais ataques kkkk

Avatar
idsera 6mo ago

Sofrem tentativas de ataques, rs. No caso da Coinos são ataques bem sucedidos.

Avatar
André ⚡ 6mo ago

Parece que esse problema afeta contas habilitadas com saque automático. É uma excelente carteira, já uso há bastante tempo, mas nunca ativei saque automático. Quem possui conta, altere sua senha, gerando uma em algum gerenciador de senhas off-line e não esqueça de habilitar o 2FA. Agora é aguardar e observar o desenrolar desse problema.

4c
ENSA obsoleta 6mo ago

Eu ainda deixei uns sats lá, pouca coisa, para fazer zaps aqui.

[Assinatura PGP](https://wim.nl.tab.digital/s/XMZHjpXdxFtdWJz)

Avatar
𝙲𝚘𝚖𝚙𝚘𝚗𝚎𝚗𝚝𝚎 08 6mo ago

Eu uso WoS pra fazer zaps e a Coinos pra receber.

4c
ENSA obsoleta 6mo ago

Já usei ela. Mas prefiro wallets open source.

[Assinatura PGP](https://wim.nl.tab.digital/s/XA3FoXAkKjLcf74)

Avatar
Castiel, o cavaleiro 6mo ago

Ainda bem que tenho a WoS também. Já fiz meu saque.

Avatar
LaF70 6mo ago

Também zerei, por precaução