Pages:
Author

Topic: Аппаратные кошельки - page 25. (Read 154352 times)

hero member
Activity: 1232
Merit: 858
February 03, 2020, 06:52:03 AM
~

Они все свои ресурсы сосредоточили на разработке основного продукта)
Если у них так все плохо с сайтом, то можно из базы выудить список записавшихся на тестирование кошелька, что не есть хорошо.
full member
Activity: 343
Merit: 167
February 02, 2020, 04:00:33 PM
Я уже нашел уязвимость на ихнем сайте gk8.io. Там есть форма: Want to see our product in action? Request a Demo!, которая не защищена капчей. Можно написать простенький php скрипт, который в цикле будет отправлять запросы на регистрацию и "засрать" им ихнюю SQL базу.  Grin
Так же незащищенная форма есть и на ихней странице контактов:www.gk8.io/contact/
Продолжаем копать на них дальше...

Вот список сайтов которые находятся с ними на одном ip:
Quote
1    91fm.co.il перейти на сайт
2   advising.co.il перейти на сайт
3   amidor.co.il перейти на сайт
4   blackseo.co.il перейти на сайт
5   dananir.co.il перейти на сайт
6   digilanding.co.il перейти на сайт
7   eshet-eng.com перейти на сайт
8   fitsteppro.co.il перейти на сайт
9   fitsteppro.com перейти на сайт
10   formula15k.co.il перейти на сайт
11   gaash-customs.co.il перейти на сайт
12   gaashcustoms.co.il перейти на сайт
13   galiwords.co.il перейти на сайт
14   gavpain.co.il перейти на сайт
15   gk8.io перейти на сайт
16   goomba.co.il перейти на сайт
17   grosman-finance.co.il перейти на сайт
18   gur.s258.upress.link перейти на сайт
19   hanassi-tours.co.il перейти на сайт
20   ibuy-shop.co.il перейти на сайт
21   jaffeipservices.com перейти на сайт
22   m-ganim.com перейти на сайт
23   mail.coolmedia.co.il перейти на сайт
24   meatzvim.biz перейти на сайт
25   meatzvim.co перейти на сайт
26   navelaw.co.il перейти на сайт
27   neato.co.il перейти на сайт
28   neve-gan.co.il перейти на сайт
29   nursingcare.co.il перейти на сайт
30   nursinghelp.co.il перейти на сайт
31   omerlaw.co.il перейти на сайт
32   oz-ceramica-estates.co.il перейти на сайт
33   p63392-258-10953.s258.upress.link перейти на сайт
34   pirsum4u.co.il перейти на сайт
35   portugalpassport.co.il перейти на сайт
36   rashlanut.org перейти на сайт
37   segalasi.co.il перейти на сайт
38   slk-israel.co.il перейти на сайт
39   smart.s258.upress.link перейти на сайт
40   the-lawyer.co.il перейти на сайт
41   tobepr.com перейти на сайт
42   visual3d.co.il перейти на сайт
43   winit-ltd.com перейти на сайт
44   winit.co.il перейти на сайт
То есть серьезная компания, которая заявила о создании уникального апаратного кошелька держит свой сайт на дешевом общественном shared хостинге?

Так же им не помешало бы научиться верстать свой сайт без ошибок.
hero member
Activity: 1232
Merit: 858
February 02, 2020, 03:16:09 PM
Значит взломщик половину награды получит сразу и даже если его объяснения воспримут как недостаточные или он сам не захочет объяснять метод взлома, то он в любом случае останется с деньгами.
Эта сумма может быть защищена парольной фразой, которая нигде в кошельке не сохранена и формально они свое условие выполнят (ведь кошелек эту сумму содержит). Так что врядли ктото что-нибудь получит.
Вообще это все напоминает какой-то дешевый цирк, ведь время, которое они потратили на разработку софта исчисляется месяцами, а вам предагают его изучить и еще при этом обнаружить уязвимости за сутки.

Что это за взлом такой кошелька если вы не можете воспользоваться средствами на нем? Значит вы ничего не взломали, а так, прошли мимо.
Я могу ошибаться, давно это было. Разработчики какой-то игры в свое время писали сколько у них было потрачено человекочасов (достаточно много) и прочих расходов на разработку супер защиты от взлома, звучало это очень громко и пафосно. Взломали игру за пару суток и взломщик написал: "Я потратил 5 кружек кофе, столько же бутербродов с колбасой..."

Уязвимость вы можете искать сколько угодно долго, обещают заплатить если вы её найдете в первые сутки. Уверен, что если вы найдете уязвимость и позже, то разработчики будут заинтересованы купить у вас информацию о ней.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
February 02, 2020, 03:13:04 PM
Эта сумма может быть защищена парольной фразой, которая нигде в кошельке не сохранена и формально они свое условие выполнят (ведь кошелек эту сумму содержит). Так что врядли ктото что-нибудь получит.
Вообще это все напоминает какой-то дешевый цирк, ведь время, которое они потратили на разработку софта исчисляется месяцами, а вам предагают его изучить и еще при этом обнаружить уязвимости за сутки.
Да конечно это все фарс, дешевый способ маркетинга и ничего больше. Это не опенсорс проект, так? Они предоставят доступ к коду на одни сутки, а никто даже не сможет проверить, будет ли это настоящее ПО кошелька или нет. Скорее, всего это какая-то пустышка, которую взламывать не имеет смысла. Представьте, что это действительно правда и хакер взломает их защиту. Он просто переведет биткойны себе  на кошелек, не станет ничего рассказывать, зато узнает что там в коде. Пускай разработчики потом ломают голову и выясняют, какая из уязвимостей привела к потере средств. В итоге они останутся в дураках и навсегда потеряют доверие. Это все ложь, они не стали бы так рисковать, или делайте опенсорс проект, либо нанимайте грамотных хакеров и тестите до последнего.
full member
Activity: 343
Merit: 167
February 02, 2020, 02:25:11 PM
Значит взломщик половину награды получит сразу и даже если его объяснения воспримут как недостаточные или он сам не захочет объяснять метод взлома, то он в любом случае останется с деньгами.
Эта сумма может быть защищена парольной фразой, которая нигде в кошельке не сохранена и формально они свое условие выполнят (ведь кошелек эту сумму содержит). Так что врядли ктото что-нибудь получит.
Вообще это все напоминает какой-то дешевый цирк, ведь время, которое они потратили на разработку софта исчисляется месяцами, а вам предагают его изучить и еще при этом обнаружить уязвимости за сутки.
hero member
Activity: 1232
Merit: 858
February 02, 2020, 12:40:21 PM
У них в правилах баунти кампании написано, цитирую:

Quote
Кампания позволяет вам попытаться проникнуть в технологию защиты цифровых активов GK8 в период с 3 февраля 2020 года в 9:00 утра EST до 4 февраля 2020 года в 9:00 утра EST, при условии, что вы предоставите GK8 любые обнаруженные уязвимости и методы взлома, используемые в контексте кампании (“методы”).
А вы поняли, что значит "позволяет вам попытаться проникнуть"? То есть они на сутки откроют к чему-то доступ, а через сутки закроют? Что-то все загадочнее и загадочнее... Grin
Просто через сутки если вам удастся чтото взломать они ничего не выплатят, нужно уложиться в это время. Кроме того они пишут, что нужно предоставить подробный отчет, как вы это сделали и отвечать на все ихние вопросы. Выплачивать они будут только тогда, когда у них закончатся все вопросы к вам относительно взлома (то есть теоретически это можно растянуть на неопределенный срок и ждать пока ты сам от них не отстанешь).

Они пишут, что взламываемый кошелек будет содержать эквивалент 125 тысяч баксов в Биткоинах.


Значит взломщик половину награды получит сразу и даже если его объяснения воспримут как недостаточные или он сам не захочет объяснять метод взлома, то он в любом случае останется с деньгами.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 02, 2020, 03:04:32 AM
...
Блин, пардон, я неправильно понял Embarrassed. Почему-то я прочитал не "Кампания позволяет...", а "Компания позволяет..", поэтому весь смысл изменился...
full member
Activity: 343
Merit: 167
February 02, 2020, 02:47:17 AM
У них в правилах баунти кампании написано, цитирую:

Quote
Кампания позволяет вам попытаться проникнуть в технологию защиты цифровых активов GK8 в период с 3 февраля 2020 года в 9:00 утра EST до 4 февраля 2020 года в 9:00 утра EST, при условии, что вы предоставите GK8 любые обнаруженные уязвимости и методы взлома, используемые в контексте кампании (“методы”).
А вы поняли, что значит "позволяет вам попытаться проникнуть"? То есть они на сутки откроют к чему-то доступ, а через сутки закроют? Что-то все загадочнее и загадочнее... Grin
Просто через сутки если вам удастся чтото взломать они ничего не выплатят, нужно уложиться в это время. Кроме того они пишут, что нужно предоставить подробный отчет, как вы это сделали и отвечать на все ихние вопросы. Выплачивать они будут только тогда, когда у них закончатся все вопросы к вам относительно взлома (то есть теоретически это можно растянуть на неопределенный срок и ждать пока ты сам от них не отстанешь).
hero member
Activity: 1232
Merit: 858
February 02, 2020, 02:00:30 AM
соответственно и таймер они такой же прикрутили.
Также один из нюансов - они дадут взламывать только программную часть кошелька, думаю это итак понятно.
Интересно было бы спросить этих умников, они хоть 1 килобайт програмного кода за сутки сами смогли бы дизассемблировать?

У них на сайте есть раздел с контактами, где указан даже телефон, можете связаться с ними и задать интересующие вопросы.

Я же думаю что баунти программа это больше способ попиариться и возможно, чтобы в последствии сделать такую надпись:

Также обыкновенный маркетинговый ход, позволяющий потом говорить, что "кошелек GK8 не смогли взломать (в течение суток)"
full member
Activity: 343
Merit: 167
February 01, 2020, 05:12:18 PM
соответственно и таймер они такой же прикрутили.
Также один из нюансов - они дадут взламывать только программную часть кошелька, думаю это итак понятно.
Интересно было бы спросить этих умников, они хоть 1 килобайт програмного кода за сутки сами смогли бы дизассемблировать?
hero member
Activity: 1232
Merit: 858
February 01, 2020, 04:05:43 PM
Я так понимаю, они заплатят четверть ляма только тем, кто взломает за сутки.
За сутки - это потому, что там цифра 24 на секундомере обратного отсчета? Или где-то это написано?


У них в правилах баунти кампании написано, цитирую:

Quote
Кампания позволяет вам попытаться проникнуть в технологию защиты цифровых активов GK8 в период с 3 февраля 2020 года в 9:00 утра EST до 4 февраля 2020 года в 9:00 утра EST, при условии, что вы предоставите GK8 любые обнаруженные уязвимости и методы взлома, используемые в контексте кампании (“методы”).

соответственно и таймер они такой же прикрутили.
Также один из нюансов - они дадут взламывать только программную часть кошелька, думаю это итак понятно.
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
February 01, 2020, 04:35:03 AM
Монеровцы уже должны свой аппаратник заканчивать, долгострой у них ..
Никто, никому, ничего не должен в open source hardware/software проектах, чем и является Kastelo.
Любой желающий может внести свой вклад:


Упс...

https://blog.kraken.com/post/3662/kraken-identifies-critical-flaw-in-trezor-hardware-wallets/

https://bits.media/kraken-security-labs-obnaruzhila-uyazvimost-v-apparatnom-koshelke-trezor/
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 01, 2020, 02:48:02 AM
а цены тех которые с намертво вшитым битком 0,01 и 0,05 где глянуть ?
Я думаю, это просто картинки. Намертво вшивать никто не будет, как тогда убедиться, что там есть вшитый приватник?

Quote
+сайты "от производителя" (а не перекупа) обычно указывают скидку при покупке от 10-20-50-.. штук типа опт. а тут чтото нет
Тут такого размаха еще не достигли, видимо. Да и сколько там могла бы быть скидка, доллар-два-три? Все равно дорого.
member
Activity: 826
Merit: 56
February 01, 2020, 02:12:33 AM
13 долларов стоит самая простая, без рисунков.

а цены тех которые с намертво вшитым битком 0,01 и 0,05 где глянуть ?

+сайты "от производителя" (а не перекупа) обычно указывают скидку при покупке от 10-20-50-.. штук типа опт. а тут чтото нет
и на трубе тихо почему то https://youtube.com/tangemcards.com
хотя видимо там вообще тихо
https://youtube.com/ Tangem Card
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
February 01, 2020, 02:09:36 AM
А где цену смотреть ? может уже подешевели ?
Да вот же по вашей ссылке и смотрел https://tangemcards.com/collections/, там 13 долларов стоит самая простая, без рисунков. Не думаю, что они где-то еще продаются, либро стоят дешевле.
member
Activity: 826
Merit: 56
February 01, 2020, 02:08:21 AM
, но по сравнению с Tangem тут надо быть астрофизиком-кибернетиком
https://www.youtube.com/watch?v=NieHx8Gp6D4 Интеграция Trezor T с MoneroGUI: получение и трата Monero XMR
, https://cryptonist.ru/blog/kriptovalyuta/integraciya-trezor-t-s-monero-gui-kak-poluchit-xranit-i-tratit-kriptovalyutu-monero-xmr/
Монеровцы уже должны свой аппаратник заканчивать, долгострой у них ..
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
member
Activity: 826
Merit: 56
February 01, 2020, 01:09:32 AM
новости криптобанкнот со вшитым аппаратником https://tangemcards.com/collections/
(продолжение тут)
кто пользовал ?
Мы в теме уже обсуждали этот продукт https://bitcointalksearch.org/topic/--2897956
Как банкнота - интересная идея, как кошелек - нет, по-моему. Но как банкнота дороговато стоит, подешевеет до доллара-двух - будет интересной многим.
Quote
если чип глюкнет - таньга тю тю ?
Именно. Поэтому много держать там было бы стремно.
А где цену смотреть ? может уже подешевели ?
Что вы будете делать со своими миллионами, если устройство вдруг перестанет работать (мало ли, статический разряд или еще что-нибудь)? Как известно, владелец монет тот, кто владеет приватными ключами. В данном случае вы не владеете ключами, вы владеете чипом с ключами (и еще нужно верить, что ключами не владеет производитель или спецслужбы). Зачем эта головная боль? Вы доверяете всяким красивым названиям: "Kudelski", "EAL6+", а я предпочитаю, по возможности, не доверять никому.
Фишка криптобанкнот как раз в том, что владелец не может знать свои приватные ключи, что позволяет передавать криптобанкноты из рук в руки, как наличную валюту. Не предназначены они для хранения капиталов, у них другая функция. Opendime в этом смысле даже лучше, так как продырявив его, не будет соблазна использовать его вторично.
Не предназначены они для хранения капиталов,
Опять ошибаетесь. Отлично предназначены даже для хранения ОГРОМНОГО капитала с целью  передачи его по наследству, что я и собираюсь сделать, все мы смертны,
А их тестировали на ЭМИ-импульс от килотонного ядерного взрыва этак в десятке-другом километров ?
+ На максимальную дозу от радиоактивной пыли при авариях и выбросах ? А то они могут и все разом погореть..
+ Шаровые молнии ещё тоже иногда чудят
+ Частицы высоких энергий https://habr.com/ru/post/401681/
+ От статики видимо защита есть но от бытовой а не экстремальной
Видимо стальной футляр со свинцовыми стенками в несколько сантиметров толщиной б не помешал. С заземлением толстым проводом
https://www.youtube.com/watch?v=Ri2wQIgxiTM
ну и вообще
https://www.youtube.com/user/abraxat

С таджема ключ принципиально увести не возможно, в отличие от любого смарта, правда сейчас вроде начали выпускать смарты со встроенными специализированными чипами которые хранят и обрабатывают ключи, но это другая история.
но они все неопенсорс получаются типа леджера видимо .. не нашёл
https://yandex.ru/ смарты со встроенными специализированными чипами которые хранят и обрабатывают ключи


А тут пытаются  сопоставить с каким-то Opendime.  Дальше уже сами, гугл обширен. На днях закажу себе, так как сейчас там хорошие условия и их продают пустыми.  К оплате принимают криптовалюту. Надо выбрать Coinbase и перебрасывает на Coinbase commerce, где выдается адрес для оплаты.
А поподробнее можно процесс заказа ? со ссылками
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
January 31, 2020, 12:16:19 PM
новости криптобанкнот со вшитым аппаратником https://tangemcards.com/collections/
(продолжение тут)

кто пользовал ?
Мы в теме уже обсуждали этот продукт https://bitcointalksearch.org/topic/--2897956
Как банкнота - интересная идея, как кошелек - нет, по-моему. Но как банкнота дороговато стоит, подешевеет до доллара-двух - будет интересной многим.
Я так понимаю, они заплатят четверть ляма только тем, кто взломает за сутки.
За сутки - это потому, что там цифра 24 на секундомере обратного отсчета? Или где-то это написано?

Quote
Не совсем понятно, как именно реализовано данное решение
Вот и мне ничего не понятно... Ладно, посмотрим, что там будет через неделю.
Насколько я понял там обмен с сетью будет происходить через собственное облако на которое будут отправляться транзы и передаваться в сеть и так же будет приходить ответ.
Я вообще подозреваю, что ключи они предлагают хранить в своем супербезопасном "сейфе" ). Но посмотрим - мало информации пока.
hero member
Activity: 1232
Merit: 858
January 31, 2020, 11:55:57 AM
Интересный пиар ход. Главное, чтобы не получилось, как с кошельком Маккафи - Bitfi, когда он также предложил взломать кошель и после того как его хакнули, Маккафи ничего никому не заплатил и закрыл эту bounty замануху. Просто убрали слово невзламываемый из описания и шито-крыто.

https://xakep.ru/2018/08/31/hackable-bitfi/
Очень забавная ситуация, что на взлом дается так мало времени. Кто-то не очень уверен в безопасности своего кошелька и не очень хочет отдавать деньги умелому искателю багов. Какая разница, за какое время взломают ваш кошелек с биткойнами, если в итоге вы их все равно потеряете? Пользователю совсем не важно, сколько времени требуется хакеру для взлома - сутки или неделя, он в любом случае не станет мониторить балансы на предмет движения средств каждую секунду и обязательно прошляпит момент взлома и перевода... Очень и очень двоякая ситуация, которая отбивает желание использовать этот кошелек. Не уверены в безопасности, тогда пусть проводят больше тестов, а если уверены - дайте столько времени, чтобы удостовериться в полной невзалымаваемости кошелька.

Я так понимаю, они заплатят четверть ляма только тем, кто взломает за сутки. Все остальные взломщики получат тоже, что и ломатели кошелька Макаффи. Также обыкновенный маркетинговый ход, позволяющий потом говорить, что "кошелек GK8 не смогли взломать (в течение суток)"



Quote
Не совсем понятно, как именно реализовано данное решение
Вот и мне ничего не понятно... Ладно, посмотрим, что там будет через неделю.

Насколько я понял там обмен с сетью будет происходить через собственное облако на которое будут отправляться транзы и передаваться в сеть и так же будет приходить ответ.
Pages:
Jump to: