Reprise du message précédent :

wtf

 
Pas compris cette phrase.
Ce sont les coins qui sont perdus, pas de la monnaie réelle.

 
Un "bug" ? Comment on peut qualifier ça de bug ? Bordel, c'est 100% de l'incompétence et de l'irresponsabilité    

 
Voilà, la meuf aurait pu être un peu plus locace et expliquer davantage, notamment le principe du public key/private key en cryptographie.

 
Je suis trop naif, au lieu de chercher à faire des transfers et des achats propres sur les exchanges j'aurai dû plutôt jouer avec les APIs pour me faire du fric

 
Non la c’est le contraire on a pas été assez naïf ! Bordayl

Bonne question, mais c'est pareil pour le Ripple au fond. quel intéret d'en posseder? alors que certaines banques experimentent la technologie Ripple ... mais les XRP
qu'on a,  ils servent à quedal.

En fait même les experts en cryptos ici seraient incapable de t'expliquer l'intérêt de posséder un Kodak Coin ou même de posséder des XRP...
Quand j'en discute avec un expert americain en blockchain ( developpeur) il me dit "ouiii mais la blockchain et les cryptos nous permettront de "reshape" l'économie blablabla..par exemple on pourra créer une crypto pour encourager certains comportements sociaux blabla "  
 

Il y a pleins d'autres petits exchanges qui doivent être rempli de trous de sécurité
 
Je risque quoi si j'arrive à voler des coins, les transfers 2 ou 3 fois sur 2 ou 3 wallets différents séparemment, puis retour sur un exchange illico puis fiat ?

 
Ce n'est même pas un bug, c'est une fonctionnalité standard mais il n'a fait aucun controle en backend ...
Il a probablement été pris de court par le succès de sa plateforme

Un controle fiscal et un ulcère peut-être.

 
La prison ? J'ai alerté btw

c'est même pas l'api, c'est le site en lui même sûrement, l'id devait etre dans le formulaire de demande de paiement ou l'url, du genre ?id_client=xxxx dans l'url, suffit de changer le numéro et tu pouvait voir le solde et demander le paiement .  
 
Le forum hfr avait une faille de ce genre, le pseudo est stocké dans cookie ainsi que le mot de passe. Tu modifiait le pseudo dans le cookie, dans certaines partie du forum, ce n'etait pas vérifié, donc tu pouvais voir les drapeaux de la personne, les couleurs perso de la personne, mais pas (heureusement) dans les mp, poster une réponse, modifier le profil, le mot de passe était vérifié.
 
Une autre faille qu'a trouvé un membre, il pouvait upload un fichier flash dans les smiley ou avatars, en changeant l'extension (.swf en .jpg). Ensuite il a ajouté le flash dans un message et le script récupérait les cookies donc login+mdp. Depuis la faille est corrigé bien sur, et les images uploadé sont vérifié manuellement maintenant .
 
Il avait récupéré ceux de marc et avait pu se mettre supadmin.
 
Ca date de 2003, c'était les début des dev php, beaucoup d'erreurs de débutant qu'on ne devrait plus faire, yvele qui a découvert la faille, joce le dev
 
https://forum.hardware.fr/hfr/Progr [...] 8431_1.htm
 
yvele sup admin:
http://reho.st/http://simogeo.free.fr/1/mr_yvele.png
http://reho.st/http://simogeo.free.fr/1/mr_yvele2.png
 
edit: putain 15 ans déjà    
 

J'ai mal formulé ma phrase, je parle techniquement, comment les coins sont tracés une fois entré sur un exchange. Comment la personne peut-être retrouvé
Il faudrait qu'une enquête soit faite cross exchange pour la retrouver

Propre

Ça doit encore marcher à pas mal d'endroits ce genre de truc

 
Si tu trouves, envoie moi le bug, je te sortirai ca à te donnerai un pourcentage comme ca tu risqueras rien  
Après cette épisode, je pense que les exchanges de merde, ils ont du travailler tout le week-ends pour corriger d'eventuels bugs  

les "pro" connaissent cette faille, on ne vérifie plus l'extension, mais l'entete du fichier. donc même fichier_flash.jpg est detecté comme flash, non une image.

Ça je sais tkt je dev aussi mais je trouve ça astucieux

Bitgrail faisait parti du programme de bounty raiblock ?      
https://www.reddit.com/r/RaiBlocks/ [...] y_program/

Pas qui doivent être mais qui sont... Y'a des groupes discord / 4chan qui font que ça. Chercher les failles de sécurité sur les exchanges et se gaver. Faut juste pas que ce soit trop voyant. En restant discrets, ils peuvent retirer un peu chaque jour et continuer pendant des mois.

Voilà une adresse de l'un de ceux qui s'est gavé sur bitgrail : https://raiblocks.net/account/index [...] 95hkdabbjn

10 millions de nano siphonnés, rien que ça.

On remarque qu'au départ il utilise la plateforme normalement et à un moment donné il a du trouver un bug (souvent ça arrive par hasard) et les sommes commencent à augmenter jusqu'à aller par coup de 1 million.

Pour l'histoire, il y avait aussi un bug sur bitgrail sur le système de confirmation des emails pour les retraits. Avec une balance de 1k nano, il suffisait de demander 3 retraits de 1k, ignorer les deux premiers emails de confirmation, accepter le 3ème email et les 3 retraits étaient exécutés.

Du grand art cet exchange

Edit: un utilisateur aurait également réussi à envoyer du code à travers les upload des fichiers de vérification. En fait c'est vraiment à se demander comment ça a pu rester up aussi longtemps et comment est-ce possible qu'il ait encore 4 à 7 millions de nano + ses BTC/ETH/LTC.

Nan mais c’est pas possible quoi    
 
Et c’est que maintenant qu’on dit genre « ah nan mais tout le monde était au courant »

Ba ça a déjà été évoqué à maintes reprises: les coins c'est juste une levée de fond dénuée de toute contrepartie.
Ils jouent sur la fibre anarchiste-libertaire très à la mode chez les plus jeunes, l'attirance pour le trading, et le rêve américain.
On soupoudre de "internet of things" et autres concept évasifs, et y'a pas besoin de justifier plus.

Certains ont été jusqu'à se vanter sur reddit d'avoir pu profiter des doubles/triples deposit. C'est moche mais pour l'instant les cryptos c'est le far west... Bon après tu te retrouves avec des groupes 4 chan à ta poursuite et des menaces de mort de la part de personnes ayant suffisamment de BTC pour engager quelqu'un pour faire le job.

Bon j'ai mangé cher avec le Nano (je n'ai rien perdu sur BG, mais j'étais all-in dessus, acheté à quasi 30$...).
Je crois au projet, mais je n'ai pas non plus envie d'attendre 6 mois que la situation se rétablisse.
Donc dans quelle crypto se placer pour rebondir ?

 
Laisse passer, garde le nano
 
Dans 6 mois personne se souviendra de Bitgrail

Il ne veut pas attendre 6 mois qu'il te dit.

 
Tandis que le Nano continue à descendre petit à petit, jusque je ne sais où (5$ ?), d'autres cryptos se remettent pas trop mal du dernier plongeon.
C'est tout de même tentant de switcher, mais vers quoi ?
Le but étant au final de se remettre sur le Nano quand il aura touché le fond.

S’il avait dû descendre sous les 6€ après ce qui s’est passé, il le serait déjà.
 
Le prix se maintient bas car les gens qui ont piqués les nanos les vendent massivement et rapidement. Une fois cet épisode passé il va progressivement remonter

Bon alors le bétécé à 25k c'est pour quand ?  

juin  

Ça marche  

Sinon c'était un "bug" sur XRB seulement ou sur tous les coins, dont ETH ?
Un tel trou de sécurité doit s'appliquer à tous les coins de la plateforme j'imagine

La publique ou la privé?

Ça me paraît louche, j’avais tenté cet exploit lors des problème de matching offer etc quand j’avais vu que le site était pété, et ça n’avait pas fonctionné.

La faille était déjà corrigé à ce moment là on dirait, le vol des coins date de bien avant.

Les coins ont été revendu sur Mercatox et un autre on dirait. Il faut que BitGrail coopère avec ces 2 plateformes pour retrouver les coupables et un nom, ou tout du moins un email devrait pouvoir se retrouver rapidement

Ouais mais Joce c'est un bug ambulant, le Wark0 le chassait en journée et nous on plantait le forum la nuit, juste pour le faire chier.    
En effet ça remonte à loin.  
 
Le Nano ne reprend pas des couleurs et avec la semaine qui va être sport, va falloir être prudent sur les trads.  

oh mais tu rigolais pas en plus    
 

Il faut rester calme, on est sur hfr, il ne faut pas tout prendre au pied de la lettre.

 
 
Il est sensible avec l'histoire de Xrb    
 
 

 
 
Fait gaffe lamite va alerter ton post  

Du coup avec tous ces hacks je me suis décidé à acheter un Nano S, plus qu'à attendre quasi 3 mois qu'il arrive, ça n'aide pas vraiment en période de FUD