ใน Thread ช่วงนี้คนน่าจะโดนหลอกให้รีวิวรายได้ให้ AI ของ meta มากวาดเอาข้อมูลไป

สรุปวิธีที่ joe grand ทำเรยคือ - ปัญหาคือเจ้าของ btc ลืม passphrase ที่ใข้ unlock btc เมื่อ 11ปีก่อน แต่รู้ว่า passphrase generate มาจาก โปรแกรมสุ่มรหัสผ่านชื่อ Roboform ที่เป็น window app - joe grand ใข้ ghidra (tool สำหรับ reverse engineer โปรแกรม ให้เป็นภาษา Assembly) - joe grand ไล่อ่าน Assembly จนเจอช่องโหว่ ที่ฟังก์ชั่น random generator ที่ใช้ ค่า input เป็นค่าเวลา (ซึ่งปกติควรใช้ ฟังก์ชั่น random ที่เป็น secure random) ทำให้เรียกใช้ ฟังก์ชั่น random ที่เรา control ค่า input เวลา ให้อยู่ในช่วงแถวๆ 11 ปีก่อน แล้ว generate รหัสผ่านออกมา เป็น wordlist - จากนั้นก็เอา wordlist มา brute force กับ mnemonic phase จนเจอ private key ที่ใช้ unlock btc คิดอีกแง่คือ ระวังอย่าใช้ passphrase ที่สร้างจาก โปรแกรมที่ใช้ unsecure random เพราะมันสามารถ generate wordlist มา brute force ได้ #siamstr

ราคาทองคำ 2380 usd/oz @ 12/04/2024 เราเพิ่งจะเห็นผลชัดๆจากเหตุการณ์ QE เพิ่มเงินในระบบตอนปี 2020 Delay มา 4 ปี

สรุปประเด็น ช่องโหว่บน linux ที่ทำให้โดน ssh เข้าเครื่องได้ โดนกับคนที่ sudo apt upgrade ช่วงวันที่ 26-29 เดือนนี้ (วันอังคาร-ศุกร ที่ผ่านมา) ต้นเหตุมาจากโปรแกรม xz ที่ใช้ compress zip file บน linux โดนใส่ backdoor มาใน source code version 5.6.0 - 5.6.1 ละคือ source โปรแกรมนี้มันดันอยู่ใน source.list บน linux ทำให้เวลา ใช้คำสั่ง apt upgrade จะดาวน์โหลด install ออโต้ Ref.

Infosec Exchange

Kali Linux (@kalilinux@infosec.exchange)

As of the information we have currently, the following is true. Should more information come to light, we will continue to keep this situation upda...

#siamstr

อ่านเรื่อง Virtual Secure Element ของ Blockstream Jade แล้วยังสงสัยว่า 1. หลังจากใส่ PIN ฝั่ง blind oracle จะส่ง public key มาให้ Jade เพื่อสร้าง session token ด้วยหระบวนการ ECDH คำถามคือถ้า blind oracle หาย เท่ากับไม่สามารถ decrypt recovery phase ได้อีกเรย? 2. AES256 key สร้างขึ้นมาจากกระบวนการ ECDH ไหม หรือ generate ขึ้นมาอีกทีหลังจากสร้าง secure channel แล้วที่ฝั่ง client , blind oracle ? 3. AES256 key แยกส่วนเก็บที่ client, blind oracle คนละครึ่ง? คำถามคือตอนสร้าง AES256 key มั่นใจได้ยังไงว่า ฝั่ง blind oracle ไม่ได้แอบเก็บ AES256 key ทั้งชุดไว้? อ่านแล้วยังไม่ค่อยเคลียร ถ้าใครรู้คำตอบแล้วรบกวนด้วยครับ 🙏🏻 #siamstr

Blockstream Help Center

How does Jade protect my recovery phrase with a blind oracle?

Jade uses oracle-enforced PIN protection to encrypt your Jade

คลิปนี้เป็นคลิปที่ทำให้รู้สึกว่า skill reverse engineer มันมีค่าขนาดไหนจริงๆ

Elliptic Curve แบบละเอียดๆ https://medium.com/@madee.noranitiwan/elliptic-curve-cryptography-%E0%B8%AB%E0%B8%99%E0%B8%B6%E0%B9%88%E0%B8%87%E0%B9%83%E0%B8%99%E0%B9%80%E0%B8%9A%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%AB%E0%B8%A5%E0%B8%B1%E0%B8%87%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%94%E0%B8%A0%E0%B8%B1%E0%B8%A2%E0%B8%82%E0%B8%AD%E0%B8%87-bitcoin-982f71c0b59b #siamstr

เป็นหนังสือที่อธิบาย Bitcoin ได้ deep down ที่สุดที่เล่มนึงที่เคยอ่านเรย ส่วนใหญ่ที่เคยเจอมาเนื้อหาจะซ้ำๆไปที่ด้าน เศรษฐศาสตร์ การปกครอง เงินคืออะไร น้อยมากที่จะ deep ลงไปที่ tech stack เท่าที่รู้จักก็จะมี - Mastering Bitcoin (เล่มนี้) - Mastering Lightning Network - Programing Bitcoin #siamstr https://image.nostr.build/e76964485399e576494773ab9dbd27ec4107a32e7fa2d0cb5f914347ebb5485b.jpg#m=image%2Fjpeg&dim=750x1000&blurhash=_NJRBsNHXMIUNFRjWTDQX7R%25R*WAa%7DRi9qofRPayaLfiV%40.ljvV%40j%5BRPWUjIDOoyt8s%3Aofj%5BozMea%7DbaoLt7WBozDiWUtRoffkWBkCkCbIt7j%40ofj%5BofH%40bGozj%5Bt7aeWU&x=71e3e24eb4b691fee66b4927c99499efcd8b53e8e6d6c90a21cf3e4a4dfa0bfc

สรุปประเด็นเรื่อง Ledger hardware wallet โดน exploit ประเด็นคร่าวๆคือ วันที่ 14/12/2023 ตัว JavaScript library ที่ใช้ในจังหวะกด confirm โอน crypto กับ defi smart contract ปกติ ตัว JS library ตัวนี้จะ update patch ทุกครั้งเวลา user กด update firmware ลง ledger ซึ่ง source ที่ download patch มาก็คือ Node package module (NPM ที่ถ้าใครเคยเขียนโปรแกรมภาษา javascript จะรุ้ว่ามันคือแหล่งรวม JS library) ที่บริษัท ledger เอา source code ไปแปะไว้ และตัว library ตัวนี้ มันมี malicious code แฝงอยู่ ที่ทำให้ตอนกดโอน crypto แทนที่จะโอนไปที่ contract address ของ dApp มันจะโอนไปที่ address ของ hacker แทน (address ของ hacker : 0x658729879fca881d9526480b82ae00efc54b5c2d) แล้วตัว version ที่โดนคือ Ledger connect kit ver.11.5, 11.6, 11.7) คนที่เสี่ยงโดน exploit ตัวนี้คือ คนที่กดทำธุรกรรมกับ Dapp บน Ethereum,BSC,chain EVM base ทั้งหลาย ในช่วงนั้น ถ้าไม่ได้กดทำธุรกรรมบน DApp ไม่ได้กระทบอะไร Ceo Ledger ออกมาบอกว่าเกิดจากพนักงานโดน phishing จนทำให้ hacker เข้าไป upload JS source code ของ hacker ไปแปะใน NPM บัญชีของ บริษัท Ledger ได้ ทำให้คนที่ใช้ firmware ที่เป็น code ของ hacker ก็โดนกันหมด Ledger บอกว่า malicious code ตัวนี้อยู่บน npm 5 ชั่วโมง , 40 นาทีหลังเกิดเรื่อง ได้ deploy ตัว version patch ไปแล้ว (ตอนนี้ ver 11.8 ไม่โดนแล้ว) จบ Source code บน npm (ตอนนี้ ver ที่โดนโดนลบออกแล้ว) https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 Npm package ที่โดน https://www.npmjs.com/package/@ledgerhq/connect-kit?activeTab=versions Github firmware ที่ใช้ library ตัวนี้ https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts#L83C49-L83C68 Ceo Ledger ออกมาแถลง

Ledger

A letter from Ledger Chairman & CEO Pascal Gauthier Regarding Ledger Connect Kit Exploit | Ledger

Ledger experienced an exploit on Ledger Connect Kit. The industry collaborated with Ledger to neutralize the exploit and try to freeze stolen funds...

Ribeye steak 250g @189baht ~5.26usd

อาหารญี่ปุ่น ปลาดิบ ดีต่อสุขภาพจริงไหม? หมอเอก fastingfatdentist เคยมีพูดไว้ไหมใครรู้บ้าง ถ้ามีขอวารป หน่อยคับบ #siamstr #foodstr

CVE 2023-40231 CVE 2023-40232 CVE 2023-40233 CVE 2023-40234

[bitcoin-dev] Full Disclosure: CVE-2023-40231 / CVE-2023-40232 / CVE-2023-40233 / CVE-2023-40234 "All your mempool are belong to us" - Antoine Riard

22/10/2023 คลังน้ำมันดิบ SPR ของ US ลดลงมาต่ำสุดในรอบหลายสิบปี หลังจากขายออกรวมทั้งปี ~200Mbbl ซาอุดิอาระเบีย ,รัสเชีย ลดกำลังผลิตน้ำมันดิบลง จีนมีการสะสมก๊าซ เข้าคลังสำรองเพิ่มขึ้น shale oil us เพิ่มกำลังผลิตน้ำมันดิบขึ้น เริ่มมีการคาดการณ์ว่าแผนการณ์ energy transition มาใช้พลังงานสะอาด ของหลายๆประเทศอาจมีสะดุดต้องขยายเวลาต่อไปอีกหลายปี Checkpoint เหตุการณ์สำคัญก่อนหน้า - สงครามรัสเซีย ยูเครน - ยุโรป cap ราคาน้ำมันรัสเชียที่ 60 usd/bbl - US เอาน้ำมันดิบจากคลังสำรอง spr ออกมาเทขาย - Biden ประกาศซื้อน้ำมันดิบคืนเข้าคลังสำรอง spr ที่ระดับราคา WTI ต่ำกว่า 70 usd/bbl (แต่สุดท้ายไม่ได้ทำ) - US crude oil inventory -17ล้าน barrels ลดมากสุดตั้งแต่เคยบันทึกมาในประวัติศาส (1980) - US api crude oil stock -15ล้าน barrels ก็ลดมากสุดตั้งแต่เคยบันทึกเหมือนกัน - สงครามอิสราเอล ฮามาส - US ประกาศแผนซื้อคืนน้ำมันดิบ ปริมาณ 6Mbbl

Grilled pork marinated in curry powder 50 sticks set. For 350 Baht (9.6 USD) @1USD:36.47Baht Location : 13.5899506, 100.5975138

Testing 21/10/2033 Hello Nostr