Topic: Леджер - аппаратный кошелек для хранения к
- page 28. (Read 49734 times)

Да, Вы правы, спасибо за уточнение, еще раз перечитал статью в Коинтелеграфе:
Конечно такая цитата довольно странно смотрится в статье, где Ledger CTO отвечает на вопросы и критику. После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt, но возможно журналист Коинтелеграфа не счел необходимым получить ответ от Charles Guillemet по этому поводу. ))

Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.

Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.

Технический директор Ledger обсуждает безопасность кошельков после нескольких неудач компании в сфере безопасности

В том числе оригинальным мне показалась его заявление о том, что (выделено в тексте) :
....
Фишинг-мошенничество происходит, когда злоумышленник отправляет электронное письмо маскируясь под другое лицо или компанию, в попытке получить конфиденциальную информацию от клиента.  «Мы никогда не будем спрашивать у наших клиентов 24 слова из их фразы для восстановления», - сказал Гиллеме, призвав клиентов использовать двухфакторную аутентификацию, а также указал на образовательную информацию по безопасности, которую можно найти на сайте Ledger.

 Помимо фишинговых атак, Ledger защищает и от вредоносных программ.  «Устройства Ledger предназначены для защиты средств пользователей от вредоносных программ на компьютерах пользователей, в том числе от поддельных приложений Ledger Live», - пояснил Гиллемет, ссылаясь на настольное приложение Ledger для взаимодействия с устройствами-кошельками.  Он уточнил, что пользователи должны убедиться, что получили приложение на официальном онлайн-сайте Ledger или в магазине приложений.

 Yocom-Piatt также рассказала о защите от утечки данных компании, например, от которой пострадала Ledger.  «Поскольку системы электронной коммерции обычно имеют слабую защиту, я рекомендую пользователям, заказывающим эти устройства, отправлять их на адрес, который не является их основным местом жительства», - сказал он.

 Использование другого физического адреса защищает клиентов от разоблачения их места жительства в случае такого нарушения, помогая защититься от потенциальной личной кражи устройства кошелька Ledger. «Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Это как же понимать по отношению в леджер лайф  

Хотя, да... Может быть, может быть...

Вероятность попасть на такую ситуацию практически равна нулю. Для начала надо суметь заразить свой кошелек (не буду пересказывать маловероятность этого, в постах выше все описано), и потом, я как-то мало себе представляю человека, у которого на леджере лежит свыше 5 битков и он при этом оправляет 5 (пять) догов. )) Кто вообще в наше время отправляет куда-то 5 догов, зачем, с какой целью? 
И вообще, я думаю, что люди, у которых количество битков исчисляется целыми единицами, десятками и паче того, скорей всего создали для этих целей реально холодный кошелек, а не хранят доступ к этим биткам на леджере или трезоре. Леджер иди трезор - это, имхо, компромиссный вариант, между настоящим холодным кошельком и всякими горячими вариантами, клиентами и т.д. Будь у меня овер 5 битков, я бы их положил на настоящий холодный, хотя леджер люблю и пользуюсь им регулярно для всяческой альты.   

Почитал за леджеры, устройство классное тут и придраться не к чему. Только ситуации разные бывают, что бы пользоваться таким устройством нужно должное обращение с ним, впринципе задумка классная, хоть сам и не пользовался лично, скажу ток то что как криптовалюта идёт в перёд так и технологии начали подгонять под нее, а это прогресс друзья мои. Приятно видеть что есть перспективы в будущем, хотя и прийдеться перетерпеть многое, пользоваться и развивать разными способами крипту это наш долг

У леджера видно с финансами не очень, мало того, что цены снизили на леджер, так ещё в Leger Live v 2.9.0 рекламку впендюрили
Раньше вроде не видел, глаза не мозолила.

Трезор как мне кажется даже если не брать в расчет то что у Леджера  в последнее время полоса неудач, все-таки более функционален. Там помимо основного функционала как кошелька есть еще хорошая вещь. Менеджер паролей. Который например очень удобно использовать с хромом для почты gmail.

Да, в трезоре можно залить спец. прошивку "только для BTC", без поддержки альтов. Я, правда, так и не понял, какой в этом смысл. Никто не мешает изолировать разные монеты по разным аккаунтам или даже по разным сидам. В случае с сидами - это просто делается изменением passphrase при входе в трезор (к примеру, btcqwerty12345, xrpqwerty12345, ethqwerty12345 итд.), в леджере тоже можно, но там это глубоко запрятано - быстро надоест.

Насколько я помню из описания в Трезоре том же можно не активировать мультивалютность, а пользоваться им лишь для хранения битков. Но что есть то есть - и у Трезора были моменты не очень приятные и тут аналогично.

Насколько я понял, чтобы "заработать" на этой уязвимости, злоумышленник должен был:
1. Распространить модифицированный софт (Ledger Live, например). Что уже очень непросто, по-моему.
2. Как-то заставить жертву сделать ему перевод (то есть продать ему товар или услугу). Причем относительно экзотической монетой, что подозрительно (обычно расчеты производятся в битках или эфирах).
3. При этом сохранить анонимность (так как вскоре станет очевидно, что именно он и есть злодей). Пока не очень представляю, как это сделать.
4. Наконец, на кошельке жертвы должно быть нужное количество битков. То есть если товар/услуга стоит 10$, то при оплате в LTC битков в кошельке должно быть 0.2, а при оплате в DOGE должно быть уже 3000 BTC )).

Кстати, эта уязвимость была и в трезорах (уже вышла прошивка с фиксом), и, наверняка, в других аппаратниках.

Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Leger может заставить тратить биткойн вместо альткоинов
 
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.

Да, на леджере можно сделать вход с двумя пинами: первый пин - одно адресное пространство, второй - другое. В трезорах такой фичи пока нет. Но если вводить пароль (passphrase), то такое можно устроить и там, и там в неограниченных количествах. Вход по пину более удобен.

Можно, но вам придется для смены 24 слов пользоваться двумя кнопками леджера - неудобно и долго. А зачем вам сид менять?
[/quote]

Возможно я не правильно поставил вопрос.

Необходимо иметь 2 адреса эфирных, 2 биткойна, и чтобы для подтверждения отправки из каждого адреса нужен был разный пароль (у меня не было аппаратника никогда и в вопрос особо не углублялся).

На одну комбинацию кошельков биткойн+эфирный собирать краны/баунти/дропы/светить их во всяких раздачах. А вторую комбинацию кошельков биткойн+эфирный использовать уже для хранения собственных средств. Чтобы в случае засвета первой пары, каким-нибудь чудесным образом не просрать накопления на второй паре.

Это как иметь телефон с двумя симками, но разными пинами. Один номер для семьи/близких/определенного круга людей, второй номер например для торговли на авито  Те не таскать с собой 2 телефона. Можно ли подобное организовать на леджере или ином аппаратнике?

Гавнюки, профукали базу данных, подставили кучу людей и даже никаким образом не компенсируют это. Да это подстава натуральная. Даже если письма от Леджер получат все владельцы кошельков, это не приведет к тому что они начнут менять почты. И все равно останутся объектами для фишинга и прочего. Улет короче.

Ранее Леджер сообщил, что его база данных электронной коммерции была взломана в прошлом месяце после того, как злоумышленник получил доступ к базе данных через неисправный ключ API третьей стороны.
Нарушение привело к тому, что хакер получил доступ к примерно 1 миллиону адресов электронной почты, а также к личной информации еще 9500 пользователей.
Pellevoizin подтвердил, что это подробная личная информация, которая была выставлена включены почтовые адреса, имена, фамилии, и / или» телефонные номера. Зарегистрированные данные поступают от клиентов, предоставленных клиентами при покупке продуктов Ledgers.
Вот теперь ловите письма счастья владельцы 9500 аппаратных кошелёй.

Леджер уже по электронной почте планирует отправить подробные электронные письма для 9500 пострадавших лиц, у которых их личная информация была украдена.
Леджер не планирует какую-либо компенсацию пострадавшим пользователям, пока расследование продолжается с французскими властями.

https://decrypt.co/37122/bitcoin-wallet-ledger-vp-responds-data-hack

а поиграть командами?

getaddressesbyaccount
getreceivedbyaccount
getreceivedbyaddress
listaddressgroupings
listreceivedbyaccount
listreceivedbyaddress

Да, это я что-то торможу - говорим про приемный адрес, а я подразумеваю ситуацию, когда малварь отправляет сдачу на неизвестный (и с неизвестным индексом) адрес в пределах кошелька). Просто о такой возможности атаки давно писали, видимо поэтому туда моя мысль и ушла... Но  это уже  пофиксили. Странно, что оставили такую возможность по приемным адресам, ведь ясно, что оставили нарочно.

Понятно, я думал тут что-то специфичное. А так малварь может использовать любое приложение, думаю, и Ledger Live в том числе.Сколько угодно.Можно, но вам придется для смены 24 слов пользоваться двумя кнопками леджера - неудобно и долго. А зачем вам сид менять?