Topic: Аппаратные кошельки - page 3. (Read 154216 times)

Как раз chia проливает свет на это, скорее всего создается несколько ключей заранее в чипе, которые он поддерживает. Но вот ключа для chia заранее создано не было, чип поддерживает подписи BLS в трех вариациях, но это было на запас и ключи не создавались видимо, когда добавили поддержку chia в кошелек, то приходилось выводить все активы и сбрасывать карту, чтобы уже дать команду чипу создать так же ключи для подписи BLS.
Никаких доказательств у меня нету, все со слов Андрея Лазуткина, в чате тг или ют вполне подробно дает комментарии на вопросы в рамках возможного, т.к. чип (SE) не их, а от Samsung, то скорее всего имеются юридические обязательства (см. NDA), не спроста же именно по этой причине Trezor решили делать открытый SE под названием Tropic Square, где одна из причин как была названа закрытость из-за NDA, а многие SE его требуют подписывать.

Как я понял, производители SE делают это, чтобы создать еще один уровень сложности для атакующего, нужно провести дорогой реверс-инжиниринг или украсть реализацию, обе выйдут дорого, если цель не кошелек с сотнями миллионами $, то оно того не стоит, версия интересная, но для "криптанов" возмутительная
Те кто могут проверить код досконально и верифицировать, что ошибок, слабых сторон или бекдора нету, то не понимаю зачем им вообще кто-то, если они могут сами написать свой софт и выбрать железо под свои нужды, а кто не может, остается только одно - не держать все в одной корзине.

На сайте танжема указано какие алгоритмы подписи и кривые поддерживает карта с чип-ом, если сеть используют другую реализацию, то по идее добавить ее возможности никакой нет в отличии от леджера, которые способны реализовать поддержку даже самой экзотической монеты, потому что могут обновлять прошивку в ST31 (SE).

С релизом Bitkey вновь пытаются навязать тему с хранением ключей на сервере сервиса (восстановление в случае утери). Bitkey, скорее модный аксессуар, чем средство для хранения. Мне лично удобнее использовать тот же TrustWallet (не для хранения). Хотя, фича с отказом от сид фразы подрастающему поколению криптанов может зайти.

Вот небольшой обзор/распаковка Bitkey: https://www.youtube.com/watch?v=aAzE2MzRQ1M

Полгода назад была критическая статья по этому кошельку. Не вникая в тонкости, достаточно одного вывода, с которым я полностью согласен и уже где-то говорил - аппаратный кошелек должен быть с дисплеем и кнопкой, без этого кошелек будет потенциально уязвим. Это же касается и таких устройств, как Tangem.

Ну и, помимо всего, $150 за предзаказ - чересчур. За эти деньги можно купить два полноценных аппаратника.

Block запустила продажи аппаратного кошелька Bitkey.
Компания Block Джека Дорси открыла предзаказы на аппаратный биткоин-кошелек Bitkey в более чем 85 странах мира. Поставки начнутся в 2024 году. Устройство выглядит в форме черного шестиугольника. В комплект входит мобильное приложение и набор инструментов для упрощенного процесса восстановления ключей.



В Bitkey предусмотрены мультиподписи с двумя из трех одобрений — любые два из них необходимы для перемещения монет или других действий, все три используются для защиты активов. Bitkey предоставляет пользователям два ключа.

Один находится в мобильном приложении, которое позволяет клиентам легко совершать биткоин-транзакции, отслеживать баланс и управлять настройками безопасности.

Второй — хранится в автономном режиме в аппаратном устройстве. Он служит двум основным целям:

• обеспечивает дополнительный уровень безопасности для совместной подписи денежных переводов (на основе установленного лимита);

• позволяет восстанавливать данные, когда клиенты теряют свой телефон.

Третий ключ находится на сервере Bitkey и используется только для двух задач: позволить клиентам переводить биткоины для транзакций, которые они предпочитают совершать без аппаратного устройства, и помочь восстановить кошелек в случае потери телефона или оборудования — или даже и то, и другое.

Я узнал более серьезную проблему этого кошелька и его не рекомендуют в сообществе. Начали обсуждать то, как генерируется приватный ключ, а там хорошей информации нет. вся информация засекречена и проверена одной аудиторской компанией. 

Они прямым текстом пишут, что нет, но не объясняют чем это обеспечивается:
Кошельки могут обмениваться приватными ключами с помощью алгоритма Деффи-Хеллмана, количество приватных ключей будет соответствовать количеству кошельков, находящихся в вашем распоряжении. Но не совсем понятно, как единственный приватный ключ может обеспечивать доступ к множеству монет на разных блокчейнах. Сид-фраза используется не только для удобного бэкапа множества ключей, но и для генерации самих ключей и множества публичных ключей и адресов на их основе. С одним приватным ключом такой гибкости не достичь.

Как резервируется приватный ключ в Tangem Wallet
https://tangem.com/ru/blog/post/how-tangem-wallet-backs-up-private-keys/

А если потерять одну из карт, то мои монеты украдут? Этот кошелек чию стал поддерживать

Если копнуть глубже, то проблемы все же есть, правда пока не носят массовый характер. Тем более KYC может и в обратную сторону причиняться и блокировать юзеров из запрещенных юрисдикций и т.д.
Нам мало примеров, когда биржи обнуляли своих клиентов?

Да почему хранение сид фразы с кис является недостатком леджера, если пользователь на это добровольно согласился. Криптовалюта у него и в налоговой зарегистрирована.
Если уже кис на бирже пройден и биржа по рейтингу солидная, то новичку проще держать пару тысяч долларов на нескольких крупных криптобиржах. Потом, если капитал увеличится, он задумается. Я посоветую битгет биржу без кис и гарантий приятелю, если он захочет поторговать небольшой суммой.

Не знаю, мне кажется, что тут и кус не сильно поможет. Будет все то же самое, какой то хакер взломает биржу и украдет монеты, пострадавшие пользователи напишут заявление и так же будут ждать годами с надеждой, что хакеров поймают и найдут украденные средства.

Наверняка что и в пользовательском соглашении прописывают эти моменты со взломами, отдавать свои деньги никто не будет, нужно ждать когда поймают хакера, если поймают и если у него к тому времени еще что то останется.

Это же ключевое. Будь ты хоть 3 скамером, но если ни у кого из пользователей нет проблем, а все взломы ты "компенсируешь" их своих, то люди не уйдут никогда. И за тобой сразу закрепится репутация "надежной" биржи, а это главное.

Это всяко лучше, чем когда идут взломы в кошельках\дефи, когда просто пишут, украли столько то, но не переживайте, мы примем меры, заявления написаны и через 100500 лет мы может быть вернем вам процентов 5-10 от украденного депозита, а сейчас придется понять и простить.
В этом плане пусть будет KYC и CEX, но тут хотя бы понятно за что страдать и отдавать данные. 

А чего там искать? Они сами писали про взлом на 7 тысяч биткойнов. При этом про то, как они всё возместят, и как пользователи не пострадают, они написали много и активно, а вот про то, что «хакеры смогли получить большое количество пользовательских API-ключей, кодов 2FA и, возможно, другой информации» они написали одной строчкой, чтобы формально претензий постараться избежать, но и внимание переключить на что-то другое. И это тот случай, когда они всё признали, и это ещё без случаев с их BSC и прочим.

Аппаратник тоже далеко не панацея, и любое средство надо использовать разумно, чтобы оно работало, но по сравнению с биржами... особенно в момент, когда на Бинансе иски сыпятся, как горячие пирожки, т.е. ещё одно направление рисков в самом разгаре, я бы не рисковал хранить что-то существенное. Достаточно ведь одного взлома, но именно на ваши средства, чтобы потом было безумно обидно.

Каким образом KYC на банане защитит вас от возможных проблем в будущем? Инцидентов с кражами не было, вы уверены?) Поищите чуть получше 
Другое дело, что пока им удавалось красиво выпутываться из всех передряг.

Логично написал, можно прям гайд. Вначале холодный, потом горячий\кастомный, а потом уже биржи.
Хотя для крипты по хорошему можно(и нужно наверное) и отдельный комп взять, если более менее серьезно предполагается, все-таки именно "семейный" комп, когда и сериалы и игры и криптокошельки в одном месте это конечно жесть.
Биржи тоже надо понимать что не панацея, если сразу готов к KYC, то можно залетать на банан и другой крупняк.
С бананом вроде инцидентов не было, чтобы пропадало что-то по виде самой биржи, но там где нет KYC надо быть осторожнее и не терять телефон привязанный к аккаунту, чтобы не попасть на KYC из-за этого.
И вообще крипта место повышенной опасности и тут без потерь никак, как в одном фильме говорилось "плох тот турист которого не обманули, это не турист считай"

Сомнительный вывод на мой взгляд.

На свой семейный компьтер вы можете оказать хоть какое-то влияние.

Монеты отправленные на биржи это уже не ваши монеты.

Даже Леджер с его недостатками на много порядков более надёжное место для хранения монет, чем биржи.

https://www.youtube.com/watch?v=a-jstewdff0

Если появляются сомнения в ненадежности сид фразы, то можно создать новую фразу и отправить монетки на новый кошелек.
Я уверен что прямо сейчас большинство пользователей хранят свои монетки на централизованных биржах, потому что это более надежно чем семейный компьютер.
Копия сид фразы не должна быть похоже на ее копию. Если вам в руки моя попадет, то вы об этом и знать не будете.

Ну тогда в таком случае нечего удивляться, что мошенник смог добраться до монет, это же первое правило не хранить ничего важного на компьютере. Пароли конечно в браузере точно большинство сохраняет, потому что это удобно, но и для хакера это подарок. А вот скачивать файлы на компьютер, это уже не очень разумно. Для скачивания нужно завести себе какой то отдельный ноут, на котором нету вообще ничего важного.

Но вы тут правы в том, что каждый думает, что да такое случается, но это может с другими произойти, но не с тобой.

Пользователи эксплуатирующие десктопные кошельки создают СИДы на компьютере.

Существует класс зловредов способных делать скриншоты и отсылать их злоумышленникам.

Если компьютер заражён таким зловредом, то созданный СИД скорее всего окажется в руках хакеров несмотря на то, что пользователь  сохранил его не в компьютере, а где-то в другом месте.

Поэтому аппаратные кошельки, особенно бесконтактные, в этом смысле намного безопаснее.

Конечно. И не только сид фразу, но и все пароли от всего. Все ведь всегда думаю, что хакнут кого-то еще, но не его. Недавно как раз в англоязычной части форума был топик о том как пользователя высокого ранга хакнули. Вредоносное ПО было на его компе давно, и взломщик просто выжидал. Топик назывался что-то типа «не думал что это может произойти со мной».

Многие пользуются криптовалютой посредством использования компьютера, читаю новости о крипте на компьютере, скачивают файлы на компьютере, пользуются ежедневно компьютером, пароли придумывают такие, которые схожи с паролями на почту или комп. Слишком много компьютера в жизни, он слишком удобен и привычен. Все равно через него все проходит. Вот и сид фразы и пароли они оставляют на том устройстве, за которым чаще всего и проводят время.