Немного расскажу, как это работает.

При компиляции контракта имена всех методов становятся утерянными, они не нужны EVM, вместо них в байткоде можно увидеть четырёхбайтовый MethodID, который выглядит примерно так 0x8433e7f3

Этот MethodID не что иное, как первые 4 байта от хеша Keccak-256 взятого от строки «имяМетода(типАргумента)»

Например Keccak-256("activateOrRefund(address)") даст нам хеш 0x8433e7f315e0fb49ae73d262618ba3d4540a76cf19bd515eceada64d21f6c6b9

Возьмём от него первые 4 байта и получим 0x8433e7f3, можете сами поиграться и проверить

Существует большая база данных четырёхбайтных кусочков, по которой можно восстанавливать сигнатуры методов:

• ethereum-lists/4bytes

• 4byte.directory

Есть один минус, так как четыре байта это не так много информации для точной идентификации, это приводит к коллизиям на большой выборке. Вот пример, когда для MethodID a9059cbb находятся 5 разных сигнатур

Существуют более удобные инструменты, которые вытаскивают из байткода все MethodID и ищут известные сигнатуры методов и формируют код ABI.

Одна из таких утилит https://abi.w1nt3r.xyz/ её минус в том, что она работает только для контрактов Ethereum

Попробуем проверить этот контракт: 0xf008eaad3760e2f0175f47a4d1d87e5c468bfd6d

Открываем abi.w1nt3r.xyz и видим только одну расшифрованную сигнатуру: 0x56973ee5 IMPL()

Скорее всего это прокси-контракт, открываем https://etherscan.io/proxycontractchecker?a=0xf008eaad3760e2f0175f47a4d1d87e5c468bfd6d

Находим реальную реализацию 0x8e357490dc8e94e9594ae910ba261163631a6a3a

Опять пробуем и получаем все сигнатуры: https://abi.w1nt3r.xyz/mainnet/0x8e357490dc8e94e9594ae910ba261163631a6a3a

Что делать если это не Ethereum, а какая-нибудь другая EVM-сеть?

Смотрим, что abi.w1nt3r.xyz под капотом использует библиотеку whatsabi - https://github.com/shazow/whatsabi

Можем написать простой код, в который нужно будет вставить только RPC и адрес контракта, а на выходе получим ABI:

После написания этой статьи я решил написать веб-утилиту, похожую на abi.w1nt3r.xyz, но работающую с любыми EVM сетями, нужно только указать rpc url и адрес контракта — https://whatsabi.surge.sh/

В этой статье я покажу как пропатчить Метамаск, чтобы при работе с ним вы использовали короткий пароль, а файл с хранилищем был зашифрован более длинным паролем, который сложно подобрать.

У вас на компьютере должен быть установлен git.

Заходим на страницу github Метамаска, копируем урл.

Открываем терминал и говорим:

git clone git@github.com:MetaMask/metamask-extension.git

через пару минут в папке metamask-extension будут лежать исходники

Далее нам нужно установить Node.js, для Метамаска это должна быть версия 16

Тут есть 2 варианта, либо поставить 16 версию с сайта https://nodejs.org/ru/download/releases либо, если у вас уже установлена более свежая версия, можно установить менеджер версий Node.js и переключиться на версию 16.

У меня установлен менеджер версий n - https://www.npmjs.com/package/n

В результате, после установки, если вы в терминале наберёте node --version должен быть ответ v16.20.0

Далее необходимо установить yarn, это менеджер npm-пакетов, который Метамаск использует для сборки

npm install --global yarn

Переходим в папку с Метамаском:

cd metamask-extension

следующая команда нужна, чтобы переключиться на самую свежую на данный момент стабильную версию Метамаска:

git checkout v10.34.3

Устанавливаем необходимые пакеты:

yarn install

Дублируем файл .metamaskrc.dist под именем .metamaskrc вот этой командой:

cp .metamaskrc.dist .metamaskrc

В файле .metamaskrc меняем строку INFURA_PROJECT_ID=00000000000 на INFURA_PROJECT_ID=b6bf7d3508c941499b10025c0776eaf8

Значение INFURA_PROJECT_ID я подсмотрел расшифровав трафик оригинального Метамаска

Я внёс все необходимые правки и сделал patch-файл, его можно скачать отсюда, он выглядит вот так:

Строки которые начинаются с символа «+» это добавленные строки, те что начинаются с символа «-» это удалённые строки.

Этот патч можно наложить командой:

git apply long-password.patch

Патч наложился, теперь командой git status мы можем увидеть, что изменился файл app/scripts/metamask-controller.js

А если ввести команду git diff app/scripts/metamask-controller.js мы увидим какие изменения были внесены (кнопка q выход из режима просмотра)

Меняем префикс у длинного пароля на какую-то свою уникальную строку

Теперь давайте запустим автоматические тесты, которые проверят, что мы ничего не сломали своими правками. Этот шаг не обязательный, его можно пропустить.

yarn test

Это может занять нескольких минут. Смотрим отчёт, что все тесты проеденый и ошибок нет.

Запускаем сборку:

yarn dist

В папке builds появились файлы:

• metamask-chrome-10.34.3.zip

• metamask-firefox-10.34.3.zip

Заходим в Хроме на страницу chrome://extensions/

Включаем режим разработчика, переключатель в правом верхнем углу.

Перетаскиваем и дропаем в браузер файл metamask-chrome-10.34.3.zip

Настраиваем сид-фразу и пароль из предыдущей статьи:

seed: emotion honey what lens hand harbor wide humor select oppose perfect way

password: 9kdaolfg

Теперь для обычной работы с Метамаском мы используем короткий пароль 9kdaolfg

Пробуем расшифровать файл с базой данных в которой хранится seed-фраза паролем 9kdaolfg

Пробуем расшифровать длинным паролем A@x(q8WZ#h]6$)`q=Ij]9kdaolfg

Теперь если стиллер украдёт только лог с данными Метамаска, то расшифровать его будет очень сложно. Для того, чтобы восстановить весь пароль придётся своровать также код расширения, на сколько я знаю, такое стиллеры сейчас не делают.

На этом всё.

Статья написана специально для приватки FACKBLOCK RESEARCH

Как скрипты воруют приватники? В большинстве случаев их отправляют по протоколу http/https на заранее настроенный сервер или телеграмм-боту.

Я написал примитивный тестовый скрипт, который делает что-то полезное - запрашивает баланс в Ethereum и попутно ворует приватники, отправляя их в телеграм своему боту.

Исходники: rekt-soft-example

Давайте запустим скрипт в терминале.

Как видите скрипт отработал
... и у меня в телеге оказались приватники

Теперь установим приложение Little Snitch
Оно платное, но есть пробный период.

Разрешаем запуск системного ПО

Разрешаем фильтровать сетевой трафик

Перед повторным запуском скрипта запускаем Alert Mode

Запускаем скрипт, он приостанавливается и появляется уведомление, где нужно одобрить или отклонить соединение.

В этом случае одобряем, так как видим, что соединение с eth.llamarpc.com, это RPC Ethereum, которое использует наш скрипт.

Далее появляется второе уведомление связанное с терминалом, на этот раз соединение с api.telegram.org это выглядит подозрительно, отклоняем его.

Скрипт выполняется, приватники не утекают.

Я думаю, вы поняли логику работы с Little Snitch.

Единственное неудобство, что в режиме Alert Mode вас будут спамить другие запросы на подключение, не только от терминала, но и от браузера и других программ. Так что лучше во время запуска скрипта не запускать программы, которые создают трафик.

Кроме Little Snitch есть другие программы со схожим функционалом, например Radio Silence и LuLu они тоже могут блокировать трафик от определённых приложений, но я не нашёл в них режим похожий на Alert Mode.

На этом всё, берегите свои приватники.

Статья написана специально для приватки FACKBLOCK RESEARCH

Вы наверное уже встречали сообщения в чатах, когда люди жаловались на то, что у них угнали приватник и все средства с кошелька вывели или оставили часть активов и установили дрейней. Чаще всего это происходит после того, как пользователь скачивает какой-нибудь пиратский софт или крек для какого-нибудь коммерческого софта или через социальную инженерию пользователя обманом вынуждают запустить какой-нибудь файл, который собирает чувствительную информацию с компьютера.

Метамаск (для Google Chrome) хранит базу данных с приватниками в файлах, которые находятся в папках:

Mac: /Users/USER_NAME/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn

Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn

Файл с хранилищем имеет минимальный номер и расширение .ldb, он зашифрован, ключ для расшифровки файла - ваш пароль от Метамаска.

Давайте попробуем установить свежий Метамаск и настроить новый аккаунт. Устанавливаем новый пароль, для примера это будет 9kdaolfg

Создаём новую сид-фразу:

emotion honey what lens hand harbor wide humor select oppose perfect way

Наш основной аккаунт: 0x67f4ADFc62211867d65d7FdB06Eaf28FBd9EEB73

Добавим второй аккаунт с именем Second который будет выведен из нашей сид-фразы: 0x301Df961c3522A99fE7E8A6723FB3D49678B3D01

И добавим приватник, сгенерированный https://cointool.app/createWallet/ethЭто так называемый импортированный аккаунт, он не выводится из базовой сид-фразы. Приватник: 0x9d0cd31ecaf0a1f876b96b8c0e8674ce32d2d07199b00f51512be1eee86d2685 Назовём его Third, его адрес: 0xf0e93c050e8448bec3cde46af402a7a453a385a6

Переходим в папку ~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn

Файл 000005.ldb это наше хранилище. Вот так выглядит его содержимое:

Попробуем расшифровать его при помощи веб-утилиты https://metamask.github.io/vault-decryptor/ для расшифровки потребуется наш пароль

Как мы видим, в этом файле есть наша сид-фраза, но нет информации о втором аккаунте и нет информации об импортированном по приватному ключу аккаунте.

Давайте откроем файл с расширением .log, в нашем случае это 000063.log и найдём в нём строку KeyringController, скопируем выделенную часть:

Почистим от ненужных обратных слешей, чтобы это был валидный json

Вставим этот json на страницу Vault Decryptor и введём пароль:

Как видите, мы опять получили сид-фразу, информацию о том, что у нас 2 аккаунта, первый будет выведен из сид-фразы по пути m/44'/60'/0'/0, второй по пути m/44'/60'/0'/1, так же мы видим наш приватник от импортированного аккауна.

Если у вас нет пароля или вы забыли пароль от Метамаска, его можно подобрать при помощи утилит:

• BTCRecover проще в использовании, написана на питоне

• Hashcat немного сложнее в использовании, написана на Си, очень быстрая, можно задействовать GPU

У меня нет тестового стенда с Hashcat и ригом из N видеокарт, но подозреваю, что у тех, кто ворует пароли он есть и такой пароль как 9kdaolfg подбирается если не за считанные минуты, то за часы.

Вот почему стойкий пароль является обязательным условием безопасного использования Метамаска. Меня самого сильно утомляет ввод сложного пароля в Метамаск и я хотел бы как-то упростить этот процесс.

Я вижу такое решение, так как Метамаск это опенсорсный кошелёк, можно скачать исходники и пропатчить их, добавив префикс к паролю. Пользователь продолжает вводить 9kdaolfg, но внутри кода этот пароль превращается в {P~Nyqa@bj[j0gP_][@NTb]$/Tb9&!46H(Lp/:'t9kdaolfg Такой пароль подобрать нереально, а текущие инструменты для кражи данных не выгружают с компьютеров пользователей исходные коды браузерных расширений.

Если развить эту мысль далее, то можно сделать специальные пропатченные версии Метамаска, которые можно относительно безопасно устанавливать на компьютеры воркеров. Можно отправлять уведомления, если воркер пытается посмотреть сид-фразу или экспортировать приватник, можно показывать неправильный приватник/сид. Опять таки, можно дополнять пароль и тогда воркер знает часть пароля, которая даёт пользоваться Метамаском, но не расшифрует логи, если он выгрузит их с компьютера.

На этом я заканчиваю первую статью, если тема окажется интересной и я получу достаточно позитивных откликов, напишу продолжение, про то как пропатчить и собрать Метамаск.

Дополнительные материалы

• How to recover your Secret Recovery Phrase

• MetaMask Vault Decryptor

Статья написана специально для приватки FACKBLOCK RESEARCH

subscriber-edition://0x002413B988860a0D14BeAAb004bf562CF837d2b4?tokenId=0&size=small