Topic: Леджер - аппаратный кошелек для хранения к
- page 26. (Read 49169 times)

Мне он больше по душе, там интерфейс как в старом MEW ). К метамаску тоже леджер подключается (может вы не знаете).

У меня как-то тоже MEW не хотел правильно работать с леджером, поэтому я перешел на MyCrypto и Metamask, там проблем пока не было.

Ledger добавил возможность пассивного заработка на стейблкоинах
Разработчик аппаратных кошельков Ledger объявил о сотрудничестве с DeFi-платформой Compound для запуска новой функции кредитования.
Владельцы кошельков смогут предоставлять свои USDT, USDC и DAI в обмен на проценты. Средства вносятся в смарт-контракт Compound через Ledger Live, после чего пользователь получает соответствующее количество токенов cToken..

Ledger database leak --> Phishing
https://bitcointalksearch.org/topic/--5284855

https://www.theblockcrypto.com/linked/82336/ledger-is-investigating-phishing-scam-that-targets-wallet-users
Статья о расследовании фишинг мошенничества.

Статья про утечку данных пользователей
https://www.theblockcrypto.com/post/73238/ledger-data-breach-customer-emails

Между тем , как сообщает телеграм канал @Goldfoundinshit ТМ, пришли в движение средства украденные у владельцев кошелька Ledger.
С адреса кошелька bc1q9g52wp96ndzma850jl2ncummwsxzrj0alwd6js где находились 107 BTC скамеры вывели биткоины на 2 адреса:

 bc1qrzpl4y8qvpngkfqdh9apjs8maajp4fvkzk3exa - 51.9 BTC
 bc1qr93x4pwnwk9cqtp8jj0myqkwrudh9a0acjqxjl - 55.47 BTC

На скриншоте представлен графический образ движения средств в результате фишинговой атаки на владельцев кошельков, где в виде лучей представлены транзакции жертв на фишинговый адрес, а в виде кубов непотраченные выходы.

Конкурс от Ledger для технарей с крутыми призами.

(Адаптированный перевод темы Ledger Donjon Capture the Flag Challenge)


28-го октября, Ledger Donjon, департамент безопасности компании Ledger запустил конкурс для пользователей криптовалют - Capture The Flag. Продлится он три недели до 18-го ноября.

Пользователям будут даны различные конкурсные задания трёх типов:

- Jeopardy-style викторина
- Атака-нападение
- Смешанные соревнования

Можно ожидать задания на темы: сетевая безопасность, судебная экспертиза, крипто, веб-безопасность, игрули и т.д..
Почитать про задания чуть более подробно можно по ссылке https://ctftime.org/ctf-wtf/

Это бесплатно и участвовать может любой. Для участия, авторизуйтесь на сайте https://donjon-ctf.io.
За каждое выполненное задание вы будете получать очки. Лучшие участники получат набор призов.



Официальная ссылка на конкурс: https://donjon-ctf.io/?fbclid=IwAR1nY2BqV3YjMl4C54n-7YfcX-H36UkaarIiEOlAPVVzu00LcqeJrGMoXog
Правила: https://donjon-ctf.io/rules

Тут еще добавить стоит, что в самом устройстве они хранятся в секьюрном (сертифицированном ЕС и США) чипе ST31H из которого они не выходят никуда. Блок информации передается из STM32 в ST31, там происходит подпись и на выход отправляется только она. Какие то изменения в чип могут вноситься только при создании нового сида, как я помню

Приватные ключи не покидают устройство, они даже в комп/телефон никогда не передаются.

Скажите, пожалуйста, где Лэджер хранит приватные ключи? Внутри устройства или отправляет на сервера?

Подскажите, где узнать поддерживает леджер swap монеты Stratis?

Леджер хочет помочь MicroStrategy обеспечить безопасность своих активов  Bitcoin на $400 млн

Леджер в основном известен своими потребительскими аппаратными кошельками, но с прошлого года, ряд предприятий также начали использовать Леджер Vault, в соответствии с утверждением вице-президента по продукту, Jean-Michel Pailhon. Данный продукт ориентирован на предоставление решений для оказания помощи корпоративным клиентам. В самом деле, Леджер команда в настоящее время пытается убедить MicroStrategy в преимуществах своего продукта.

MicroStrategy является бизнес-аналитической компаниией, которая прозвучали в августе 2020 года из за преобразования значительной части активов в Bitcoin. Ещё совсем недавно Square, которая только что приобрела bitcoin на сумму $50млн, разработала собственную структуру с открытым исходным кодом Subzero для обеспечения своих активов.

Пэйлхон сказал, что оба используют HSMs, или модули аппаратной безопасности, для управления цифровыми активами. HSMs были использованы в течение десятилетий для обеспечения критических данных и, как правило, считаются неуязвимыми. Хотя Сабзеро сама разбирается, Pailhon выразил мнение, что его решения лучше всего подходит для технологических компаний, которые знают, как развернуть и управлять HSMs. Он сказал, что Леджер установит их для своих клиентов, и что "они не обязательно должны знать, как это работает. Они просто должны использовать решение" .

Мы попросили Пэйхона пояснить, как это будет для такой компании, как MicroStrategy. Он сказал, что одним из первых шагов он будет решить, сколько людей будет участвовать в авторизации транзакций, типичная настройка потребует 2-из-3 подписей; где, возможно, генеральный директор, главный финансовый директор, и генеральный адвокат ставят по одной подписи каждый. Все частные ключи будут храниться на HSM. В то же время части частных ключей могут храниться в нескольких физических хранилищах.

 Ledger прошла аудит безопасности SOC 2 Type 1

Производитель аппаратных криптовалютных кошельков Ledger объявил о прохождении аудита безопасности SOC 2 Type 1. Аудитом занималась нью-йоркская консалтинговая фирма Friedman LLP.

В рамках теста SOC 2 была проанализирована безопасность компании, а также правильное обращение с персональными данными клиентов. Кроме того, в рамках аудита было проверено кастодиальное решение Ledger Vault. Представители Ledger подчеркнули:

«Благодаря прохождению аудита SOC 2 Type 1 мы можем гарантировать нашим клиентам дополнительный уровень безопасности, а также с уверенностью утверждать, что наше решение Vault защищено в любое время и у нас есть все необходимые процессы для обеспечения доступности решения».

Подробнее: https://bits.media/ledger-proshla-audit-bezopasnosti-soc-2-type-1/

Я прочитал статью по ссылке и не понял, в чем там проблема для смартфонов. Если Самсунг собирается ставить секьюрную микросхему, аналогичную той, что в Леджер, и при этом нечто в дисплее смарта, точнее в самом андроиде, как я понял, не дает сделать безопасность на уровне того же Леджера.
Ну так есть простое решение, пусть вместе с секьюрным чипом в смартфон добавят и маленький экранчик.   И чип, и экранчик будут стоить пару-тройку долларов каждый для вендора. Можно сделать вообще аппаратнк отдельным модулем внутри лопатофона Самсунг, при этом экранчик вывести на заднюю панель, под обложку. Шучу.  

CTO Леджерa объясняет, почему смартфоны не будут когда-либо быть полностью безопасным для использования крипто

Леджер использует чип, основанный на технологии Secure Element, которая, по словам CTO, является идеальной защитой от физической фальсификации.
Недавние шаги Samsung по интеграции аналогичных технологий в свои телефоны с поддержкой блокчейна несут в себе обещание сделать смартфоны такими же безопасными, как аппаратные кошельки, но Guillemet предупредил, что они замудохаются решать все связанные с этим проблемы

Ну что значит "стараются"? ) Усиленные ключи используют на уровне аккаунта и выше. Ниже почти все используют неусиленные ключи. У них свои преимущества.Поэтому в аппаратниках приватные ключи делаются недоступными из интерфейса, чтобы неграмотные юзеры не компрометировали их.

Ну и Armory, насчет остальных не в курсе. Но вроде бы наоборот, все стараются использовать усиленные ключи.

Здесь вот в чем еще загвоздка то: слить один приватны ключ, как два пальца. Ввел на говносайте, или же в какой нибудь кошелек скама типа биткоин даймонд и все. Мало кто из людей вообще разные аккаунты в своем HD кошельке использует, поэтому потеря даже левого ключа, и компроментация xpub-a может очень грустно закончиться.

Но я бы насчет этого не переживал, что кто то там будет получать доступ к компу чтобы найти xpub. Как показывает мой опыт, люди сами охотно за три копейки их светят где попало 

Очень может быть, так как приватники в разных половинах диапазона ключей по разным формулам вычисляются. По-моему, только кор использует hardened-ключи для адресов, в остальных ключи простые, с индексом до 2³¹.

Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал.

Так что на самом деле, страшно только если сотни битков и боишься что придут прямо домой бить по башке.

Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви.Да в общем-то ничего такого уж страшного, приватники-то не утекают. Тут вопрос только в приватности. Большинство, я думаю, это не волнует ).Насколько я знаю, прошивка только с сервера, на гитхабе ее нет и быть не должно, раз она закрыта. Но xpub-ы в LL из леджера получаются только при создании аккаунтов, при прошивке, смене и обновлении приложений они не извлекаются.

Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники).

Леджер лайв не первый раз уже подводит. Без него кстати обновиться не выйдет? Или с гитхаба все ок идет?