Topic: Аппаратные кошельки - page 12. (Read 153052 times)

Интересное видео опубликовал cryptonist некоторые модели кошельков Trezor T игнорируют все символы парольной фразы кроме первого симола. В этом случае польза от использования парольной фразы стремиться к нулю. Интересно как это прокоментируют в самой компании.

Разница между централизованными и децентрализованными системами в том, что уничтожить первую может один единственный человек/группа людей, тогда как для уничтожения второй требуется согласие большинства участников. К примеру Бинанс может быть уничтожен одним CZ или группой связанных с ним людей, тогда как для уничтожения к примеру Bisq нужно добиться, чтобы все отказались разрабатывать и запускать ПО с открытым исходным кодом. Если у системы естл системный администратор, то она не децентрализована, или как говорит Гари Генслер "decentralized in name only." Если у декса закрытое ПО, доступной только разрабам, то это не может считаться дексом. Также если ваш декс не может функционировать без сторонних серверов или провайдеров, то это тоже не может считаться дексом.

Если переносить эти понятия на аппаратные кошельки, то в идеале нужно собирать кошельки самому их доступных компонентов, поставляемых разными независимыми компаниями. И подключать этот кошелек только через собственную ноду, запущенной на собственном оборудовании. Подключение к софту от того же поставщика что поставляет вам аппаратник не может предоставить достаточный уровень децентрализации.

          Для вас является тайной то, что было изобретено человеком также может быть уничтожено, разрушено, ликвидировано, утилизировано, испорчено и т.д.? Любые биржи имеют какое-то определенное количество сотрудников, админов. Я не исключаю никогда того факта, что за солидную сумму средств можно подкупить практически любого человека. Если такое будет реализовано (теоретический вариант), то велика вероятность "утечки" персональных данных третьей стороне или в общий доступ.

Да маил чимп уже вроде покаялись, но в любом случае там было 106 тысяч адресов в базе и тем, чьи данные утекли не сильно легче. Уже пишут что пользователям письма приходили, но пока я так понимаю сколько "выманили" фишингом не понятно. Может скоро и узнаем, если получится крупный куш сорвать кому-то.
Понятно что люди не самые простые выбирают аппаратники, а значит и суммы там по идее должны быть более-менее приличные.

Помнится в свое время Леджер долго тыкали, когда там утечка была, но там кажется база пользователей сильно меньше была.

Судя по последним данным, они кивают на поставщика услуг рассылок Mailchimp (как пишут, именно по базе рассылок новостных писем прошли фишеры) и говорят, что те подтверждают, что именно с их стороны были скомпрометированы данные пользователей. В любом случае, не слишком приятная ситуация.

уже google/Trezor has experienced a security incident involving data belonging to 106,856 of our customers
когда у людей будут кошельки с криптой защищённой от печатных станков золотоунитазовладельцев с дворцами+ядрёными кнопками в несменяемой власти - они не пойдут во славу золотого ёршика воевать за 500 usaрублей в мес как сейчас
но трезорцам сие невдомёк? даже базу свою защитить не могут? они резко поглупели или и были тупыми ?
насчёт того что им удастся норм кошельки разработать уже не верится

Это, конечно, здорово, но интересно как проблема с Ledger Live у вас решится. Последняя версия установлена?

Спасибо огромное за помощь, через Phantom все увидел  ......

Через Phantom тоже не отображается? Как настроить Phantom для работы со счетами Solana (SOL) в Ledger

Помогите плиз разобраться
USDT высланы на SOL адрес. в Ledger так и недошли ((

Выводил с Binance USDT на SOL счет Ledger

TxID - https://explorer.solana.com/tx/3gxVGfiGYscZKKT4psFRSdfDQhidWhVYuQ8i3mYTyfQrPTjU4P6cYSYsDDQoYuhDjUKXAw1pAUHeBQd6c8kiSvP7

Не так давно занимаюсь криптой, еще не разобрался куда копать в таких случаях.
Кто то сталкивался с такой проблемой ?
Подскажите если возможно, спасибо

+1
Скорее просто никто не предполагал, что Россия может каким-то образом попасть в компанию к Кубе, Венесуэле, Ирану и прочим Полный список тут: https://tyulyagin.ru/ekonomika/strany-pod-sankciyami-ssha.html

А так то практически у каждого централизованного сервиса и раньше был список стран, в которых полностью запрещено использование сервиса, либо запрещена часть функционала. У многих в этом списке кстати есть США, Канада, Австралия, страны Европы или Азии. Примеры:
У ledger страница terms of use от декабря 2019-го и там вкратце указано, что вы не из санкционного списка и мы сами решаем с кем работать, а с кем нет.
На Binance запрещено трейдить из Тайланда, Великобритании, Онтарио, Китая, Японии и т.д., а версия для США вообще в некоторых штатах недоступна. https://investingintheweb.com/blog/binance-countries/#binance-supported-countries
Историй бана граждан США на сайтах азартных игр вообще немерено.

Для меня правда сюрпризом стали новости про то, что Metamask такое может и свопы.

При чем тут либертарианство и терроризм? Это вообще противоположные вещи и не надо их уравнивать.

google/"bisq.network/downloads/" site:bitcointalk.org -
https://bitcointalksearch.org/topic/bisqnetwork-decentralized-exchange-httpsbisqnetwork-4509053 - Bisq.network Decentralized Exchange https://bisq.network/  (Read 11148 times)
https://bitcointalksearch.org/topic/ann-bisq-exchange-decentralized-5230289 - [ANN] Bisq - Exchange, Decentralized.  (Read 572 times)
https://bitcointalksearch.org/topic/--5310307 - Do you have to leave Bisq running on your computer until transaction completes?  (Read 34 times)
чтото маловато участников
https://ru.wikipedia.org/wiki/Либертарианство .. следим за руками
п.3
один как чирей на видном месте

Для меня это неожиданный поворот, я до этого был уверен что дексы это безопасная гавань, но сейчас я понял что в жизни все одинаково и как я постоянно говорю, верить нельзя никому и никогда. Скептицизм уже есть, тут достаточно одного проступка, что репутация была запятнана на всегда. Обманул однажды, - обманет снова.

Для меня это не было открытием, если за криптовалютой стоит группа людей, то она обречена быть централизованной и политизированной. Сегодня эти люди отстаивают одни принципы, а завтра подстраиваются под общий тренд, поступаясь абсолютно всеми принципами. А все почему? Легко заявлять о своих принципах когда все хорошо, но трудно отстаивать и бороться за свои приципы когда все плохо. Как говорит Уоррен Баффет: "отлив покажет, кто купался без трусов." Но одно хорошо, люди припомнят их метания из одного лагеря в другой и будут воспринимать все их громкие высказывания со скептицизмом.

Уже есть такие дексы, например Bisq. У них есть свое опен-сорс приложение, работающее через Tor.

Пока дексы требуют интерфейса на каком-нибудь сайте, они очень условно децентрализованы: по сравнению с цексами, конечно, более децентрализованы, а по факту централизованная составляющая остаётся, негативную сторону чего мы и видим. Я жду, когда фактически всё будет делаться внутри блокчейна через какие-нибудь кошельки с открытым кодом и невозможностью блокировки по решению левой пятки.

А уж производители аппаратников, как и производители асиков и карт, это и вовсе чисто бизнес на модной теме, так что от ниж и ожиданий ИМХО было меньше.

Интересно, я думал что производители аппаратных кошельков остаются вне политики и всегда стараются способствовать развитию критовалют. Поэтому блокировка поставок от Трезора могла быть вызвана обычными проблемами с логистикой и прочем. Но судя по вот этой статье https://www.worldstockmarket.net/trezor-has-suspended-deliveries-of-hardware-wallets-to-russia/ компания Трезор очень даже "политична" и они заблокировали поставки, потому что "некоторые из их работников напрямую являются жертвами конфликта." Иными словами, если бы стороны конфликта были какие-нибудь другие страны подальше от Чехии, то Трезор не стал бы останавливать никакие поставки. Также поражает их готовность следовать санкциям от Соединенных Штатов: если какую-то страну хотят заканселлить, то Трезор с радостью готова способствовать этому. Если США вдруг решит наложить санкции на все страны, пользующие криптой и аппаратными кошельками, то по логике Трезор перестанет поставлять туда продукцию. Последнее время эта компания не радует, то какой-то AOPP введут, то не хотят продавать аппаратники из-за своих политических взглядов. В конце концов, крипта для всех или нет? Нейтральность и децентрализация, н-н-нада?

Видео: Как я взломал аппаратный криптокошелек и вернул 2 миллиона долларов
https://www.youtube.com/watch?v=dT9y-KQbqi4

Это проблема со всеми аппаратными кошельками, использующими микроконтроллер STM32. Используя глитч с напряжением можно сделать дамп памяти, в которой будет зашифрованная версия сид-фразы, защищенная PIN-кодом. Это старый и известный глитч, который фиксится только заменой самого микроконтроллера на другой. То есть не фиксится никак. Проблема остается, так как информация зашифрована, хоть и не надежно с использованием PIN-кода. Тут два варианта, либо брутфорсить, либо попытаться достать PIN-код прямо с устройства. Как я понял, хакеру удалось перехватить копию пина прямо из оперативной памяти устройства, используя глитч с понижением защиты. На кошельке стояла старая версия прошивки, где еще была уязвимость: при включении устройства пин-код копировался в оперативную память, но оставался во флеш-памяти. То есть если долго пытаться, то рано или поздно хакер перехватит пин с помощью глитча, при этом не вайпанув все устройство. Позже эту уязвимость пофиксили, но возможность взлома все равно осталась.

Инженер взломал кошелек Trezor и вернул 2 миллиона долларов в «потерянной» криптовалюте
https://cointelegraph.com/news/engineer-hacks-trezor-wallet-recovers-2m-in-lost-crypto
Перевод
"Ключом к этому взлому было то, что во время обновления прошивки кошельки Trezor One временно перемещают PIN-код и ключ в ОЗУ только для того, чтобы позже вернуть их во флэш-память после установки прошивки. Гранд обнаружил, что в версии прошивки, установленной на кошельке Райха, эта информация не перемещалась, а копировалась в оперативную память, а это означает, что в случае неудачного взлома и стирания оперативной памяти информация о PIN-коде и ключе все равно будет храниться во флэш-памяти.

После использования атаки с внедрением ошибок - метода, который изменяет напряжение, подаваемое на чип, — Гранд смог обойти защиту микроконтроллеров, чтобы предотвратить считывание ОЗУ хакерами, и получил PIN-код, необходимый для доступа к кошельку и средствам. Гранд объяснил:

“Мы в основном вызываем неправильное поведение кремниевого чипа внутри устройства, чтобы нарушить безопасность. И в итоге произошло то, что я сидел здесь, наблюдая за экраном компьютера, и увидел, что мне удалось взломать систему безопасности, личную информацию, сид фразу и PIN-код, который я искал, появился на экране ".

Согласно недавнему сообщению Trezor , эта уязвимость, позволяющая считывать данные из оперативной памяти кошелька, является более старой и уже исправлена ​​для более новых устройств. Но до тех пор, пока не будут внесены изменения в механизм внедрения ошибок микроконтроллера, атаки по-прежнему могут представлять опасность."