Topic: A importancia dos lacres nas caixas das Hardwallets (Read 446 times)

Concordo!
Além de ser mais seguro também é possível "reduzir custos" e alcançar mais vítimas com esse tipo de golpe.
Os próprios órgão de segurança reconhecer que esse é novo modelo do crime que começou com aquelas ligações de dentro dos presídios e hoje possui sofisticadas "centrais bancárias" que conseguem enganar até mesmo quem já ouviu falar desse tipo de golpe.
O problema é que os órgãos de combate à esse tipo de crime parecem não conseguir acompanhar o crescimento tecnológico da bandidagem.


Agora, na real, por mais que não seja muito prático, eu ainda acho que as papper-wallet ou semelhantes (iron-wallet, etc) ainda são mais seguras do que qualquer dispositivo físico quando o assunto é cold-wallet em que a sua intenção é apenas de guardar bitcoin para sacar em um futuro distante.... tendo a segurança de armazenar a private-key em um lugar "não tão escondido" que você consiga encontrar após alguns anos, todas essas brechas de segurança tecnológicas são eliminadas.

uma grande vantagem do shamir é que ele te protege contra o ataque da chave de fenda de 5 reais.
ou pelo menos de compra tempo

fiquei curioso de ouvir os problemas dele, tem algum relato?

Eu não recomendo esse método, acho inseguro e muito fácil de causar confusão mental como perder a ordem correta das palavras.

É bom ter mais de um método de recuperação, mas há quem diga que o shamir backup não é tão seguro assim, preciso me aprofundar mais.

Deem uma olhada de como funciona o seed-otp na prática: seed-otp demo

Github

se preferir você pode fazer um shamir com uma seed de 24 ou 12 palavras também por si mesmo
mais palavras vão tornar a chave mais segura e possibilitar shamirs mais complexos (5 de 7 por exemplo) mas não é estritamente necessário fazer pela ferramenta deles
dá pra usar uma alternativa "no dedo" mesmo
"poor man's shamir", algo assim


pode ser, só não vai se confundir e nunca mais conseguir recuperar seu backup

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

Eu lembro de usar o shamir backup assim que foi lançado na Trezor, mas sinceramente? Anotar 33 palavras e mais um conjunto necessários pra recuperar a carteira parece ser muito exagerado, mas agora o shamir backup permite 20 palavras, muito melhor, ainda não testei, mas pretendo testar novamente quando eu tiver animo pra anotar esse tanto de palavras.

Um método interessante é você criar um mnemônico falso, uma isca, mas isso na verdade é o seu mnemônico criptografado e que se combinado com uma senha (otp-key) a sua frase mnemônica verdadeira é revelada.

Mas esse método ainda apresenta falhas, ao criptografar o mnemônico, ele cria um mnemônico inválido, ou seja, se a pessoa copiar este mnemônico na electrum e selecionar o bip39, vai ver que é um mnemônico inválido. Mas dá pra enganar e fazer qualquer um pensar que é o seu mnemônico, quando na verdade ele carrega um segredo que só decriptado com a chave-otp.

Eu postei sobre isso um dia lá na grinda, valhe a pena conferir: https://bitcointalksearch.org/topic/cipher-method-to-encrypt-recovery-seed-words-using-a-unique-key-seed-otp-5495690

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

hahaha me divirto com seus posts Paredao
acha que nos cartórios não tinha/tem nenhum golpe ou mesmo engenharia social?

e sim, a anonimização e o novo território de liberdade que e crypto possibilita coisas boas e ruins, assim é a vida com a maioria das novas tecnologias.


legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

No keepass, um gerenciador de senhas mais famoso do mundo e opensource, inclusive eu utilizo ele há 7 anos ou mais, tem uma função que, além de gerar senhas com caracteres aleatórios e complexos, geram palavras semelhantes a um mnemônico, mas usando palavras um pouco mais complexas como: outcome scrutiny ladies slept unlearned...

Seguindo essa dica de segurança, além de ser mais fácil de memorizar e de guardar, uma lista de palavras é mais fácil do que memorizar caracteres como: jS?Zpkt}r8bgalH}A-P$ e dependendo da extensão das palavras, possui o mesmo nível de segurança do que o exemplo de senha citado.


Um outro problema a ser resolvido quando usamos passphrase é que não devemos deixar que tanto a seed + passphrase caiam em mãos erradas, por isso não devem ser guardadas juntas, então ou memorizamos a passphrase ou deixamos ela guardada geograficamente longe da seedphrase. Como resolver esse problema?

Sim, com certeza. Como faz falta um bom e velho cartório, onde se tinha que autenticar toda a documentação e depois caso ocorresse alguma fraude dava para processar. Hoje a bandidagem faz tudo pela internet. Viva a liberdade !!!!!!

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

eita, que sacanagem
de novo, daria para mitigar o risco disso usando uma passphrase

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

mas realmente, melhor SÓ comprar de revendedores autorizados


acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Com amigos desses quem precisa de inimigos?

Concordo, que os golpes centram-se mais na engenharia social. O golpe a nível de técnico, exige um conhecimento mais complexo e muito mais tempo e custos, tempo esse que pode nunca ser 100% recompensado. Enquanto na engenharia social, a recompensa é mais provável, ou pelo menos não exige tanto tempo gasto. Porque com o mesmo tempo, pode-se trabalhar varias potencias vitimas.

Ah os lacres VOID? Vai se iludindo pensando que eles são seguros... com uma rápida pesquisa no youtube tu encontra pelo menos 10 molequinhos que recém "desmamaram" te ensinando como remover eles sem que a garantia saiba que tu mexeu no PC ou Videogame.
Já fiz teste de alguns, aquele "casca de ovo" ainda é o melhor, porém ele é muito frágil e não serve para a maioria das aplicações.

Enfim... lacre de segurança é igual cadeado, afasta alguns meliantes mais pé de chinelo, porém não garante a segurança do seu negócio.

Sobre as hardware-wallets, o melhor mesmo ainda é comprar de fontes confiáveis e se possível fazer uma inspeção visual criteriosa quando recebê-lo.
Eu realmente não entendo como é que existem pessoas que compram de sites não oficiais, tentando economizar migalhas na compra de um COFRE onde irão depositar milhares de $$$, tem que ser muito burro mesmo.

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado  . Parece que ele confiava bastante no amigo.

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

Pois... o problema do Bitcoin, que não é problema, é quem esta fora disto e entrar por meio de alguém é se esse alguém é bandido.
Claro que isso não justifica, estamos a falar de dinheiro que dá trabalho para conseguir, e por isso deve ser usado sempre com cuidado, não importa qual a recomendação que se tenha.

A pessoa deve sempre ler e informar-se máximo possível sobre o Bitcoin ou outro qualquer ativo que irá investir.

Influenciador perde R$ 1,2 milhão em criptomoedas após comprar carteira Trezor de fonte duvidosa

Pois é se ele tivesse lido esse tópico já teria evitado esse golpe facilmente. Mas a história é bem curiosa pois ele já era influencer e um seguidor convenceu ele a entrar no mundo cripto e presenteou ele com essa hardwallet com a seed gerada previamente 

Prenderam esse amigo porem não encontraram os milhões, se meu saldo sumisse assim e eu tivesse recebido uma hard wallet de presente com a seed já preenchida logo eu também já saberia quem foi.

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

na Trezor T o lacre vem de uma forma que quando você remove fica uma cola, realmente difícil de falsificar, mas vamos lá, digamos que alguém conseguiu

crie sua seed e use uma passphrase por padrão, sempre

como a passphrase é opcional e pode ser QUALQUER coisa fica praticamente impossível descobrirem

Basta errar a senha sucessivas vezes que dá um factory reset, em geral 3 erros na maioria das wallets.

O problema de não ter lacre é que você pode obter um dispositivo totalmente adulterado com outro hardware dentro...

Os lacres que vem na caixa ou no próprio dispositivo é uma precaução a mais fornecida pelas fabricantes, mas não garantem 100% da segurança.

O que garante a maior segurança possível é você adquirir hardware wallets de marca renomada e de preferência open source, como a Trezor, Bitbox, passport e etc.

Manter o firmware atualizado, verificar o firmware (algumas carteiras exibem a impressão digital ou na tela do dispositivo ou no app de desktop etc).

Não comprar de marketplaces como mercado livre etc. Sempre compre ou de fábrica ou de uma revenda oficial.

É sempre recomendado utilizar passphrase, usar um bom PIN ou senha.

O passo mais importante é verificar o firmware, a maioria das carteiras fazem atualização automática pelo próprio app gerenciador de aplicativos deles, então não há como fazer muita coisa.

Caso utilize passphrase, teste a passphrase pelo menos 3x pra garantir que você anotou corretamente e vai acessar sempre a mesma carteira, você pode copiar o primeiro endereço ou o fingerprint da carteira (identificação única de cada carteira acessada, ela muda a cada vez que uma passphrase diferente é acessada). Envie pequenos fundos, tipo R$50 ou R$5 de alguma moeda que não cobre muita fee e acesse novamente a carteira para garantir que tudo esteja configurado conforme deseja.

Coloca-te na cabeça de um bandido.
Tu achas que para um bandido, quem compra uma hardwallet só lá vai colocar 200$?
Valores a baixo de 1k ou 2k, não tem interesse.

Agora, acho esse método de colocar pouco e depois colocar mais, um bom método. Não para verificar se o bandido esta a espreita, mas para se ter a certeza que se sabe trabalhar com o equipamento e que esta tudo a funcionar bem.

Eu me lembro que coloquei algo em torno de 200 dólares em BTC
Acho que já era um valor que se fosse hackeada, eles já iriam sacar hahahaha 

Mas deu tudo certo, depois eu resetei, gerei nova seed e é a minha carteira principal

Isco era se lá tivessem colocado 1BTC. 

Não sei que valor vocês colocaram, mas valores pequenos nunca iriam atrair os bandidos, se fosse caso disso. No mínimo iria dizer, que a wallet estava ativa, e seria para ficar atento.

Ah sim, mas é bem tranquilo pra trocar, você vai ver, é só ter paciência para fazer o procedimento


Ainda deve compensar, na teoria tudo aumentou 44%, o que daria aí seus 40 reais


Você sou eu? ou vice versa?
Hahaha fiz isso de deixar o saldo lá como se fosse uma isca
E ainda assim, sempre fico com aquele 0.01% de desconfiança 

Ótimo questionamento e excelente resposta fornecida pelo @rdluffy logo após o OP.
Eu sou bastante paranoico também quando o assunto é segurança, tanto que na época eu comprei minha mercadoria pelo site oficial, pagando por um frete adequado (e impostos também), rastreei ela por todo o tempo para verificar se passou por algum local incomum ou ficou tempo desnecessário em lgum galpão, e quando chegou eu segui todos os "ritos":
- Conferir violação da embalagem externa;
- Conferir o lacre da caixa (plástico, caixa e o selo) à procura de qualquer violação;
- Examinar o software e também abrir o device para análise visual do chip e seus componentes.

Ainda assim, no primeiro uso eu transferi um saldo pequeno, mantive por algumas semanas, formatei novamente, fiz uma nova seed e guardei os satohis.
Até hoje sinto que ainda não estou 100% seguro    

Exato. Por isso, a primeira coisa que tem de ser feito assim que se liga o equipamento é criar uma seed. Se isso não acontecer, é sinal que algo não está bem.

Hummmm esse ponto que eu ainda não tinha entendido, então sempre que eu retornar o padrão de fábrica eu consigo gerar uma nova seed? Por isso que eu não estava entendendo direito e pensava que a segurança era mais frágil do que realmente é na prática. Mas acho que eu abriria a minha sim pra dar aquela verificada básica.

O importante é comprar de um vendedor confiavel... vale mais do que o lacre.

Eu só compraria direto do fabricante. A minha comprei assim. Ou de alguém de confiança como revendedor oficial.

Isso não teria qualquer utilidade.
Assim que você faz reset ao dispositivo, tudo é apagado. Para usar, vai ser gerado uma nova seed.

O resto é como foi comentado. Se comprar nos canais oficiais, a probabilidade de problemas é cause nula, porque isso iria arruinar o seu negocio e iriam perder mais do que ganhar.

Eu comprei uma nova no aliexpress e foi muito baratinho, uns 20 ou 30 reais.

Antes da taxação nova das compras abaixo de 50 usd né. Agora não sei como ficaria. ..

Mas a minha ledger com o visor novo funciona perfeitamente , igual uma nova.

Achei um vídeo no YouTube ensinando a abrir, demorei uma meia hora.

Faz tempo que não uso, mas tinha dia que era quase impossível ler.. é só questão de tempo para ela parar de funcionar por completo

Eu gosto de fuçar nos meus eletrônicos, então juntei o útil ao agradável
O @bitmover já trocou a tela da ledger dele

A sua está utilizável ainda ou estragou a tela inteira?

Esse negócio de falsificação é um problema realmente grave. No caso em questão, acredito que os falsificadores terão muito trabalho para realizar esse tipo de "trabalho". Em termos de falsificação, o que mais me preocupa no Brasil atualmente é a falsificação de remédios. Os preços de remédios variam muito de farmácia para farmácia. Existem diferenças brutais. Duas coisas: Ou são remédios falsificados ou são cargas de remédios roubadas. As autoridades deveriam cair com força em cima disso.

Dá uma olhada nessa matéria @tg88: https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/
Aqui tem um resumo em português: https://livecoins.com.br/carteira-falsa-trezor-criptomoedas-usuario-perde-bitcoin/

Acho MUITO difícil acontecer algo assim, principalmente se comprar de um revendedor conhecido.. é o ganha-pão deles.


isso que é se preocupar com segurança.. eu até hoje não troquei a tela da minha por pura preguiça de abrir ela.

Mas mais uma duvida, digamos que uma pessoa consiga refazer os lacres de maneira perfeita... Como funciona o momento de "geração" da seed? essa pessoa poderia abrir a caixa visualizar a seed e depois retornar a hardwallet para seu estado de zero sem que o cliente final pudesse perceber? talvez to viajando aqui mas nunca vi então.... normal 

Como nosso amigo @rdluffy disse, existem algumas formas de verificar elas...

Eu já sou meio medroso, comprei diretamente a minha do site oficial gringo, eu uso uma Ledger Nano X, veio lacradinha diretamente da França, fico totalmente receoso de passar na mão de várias pessoas, tipo, revendedores, por quanto mais "mãos" passarem o produto, mais o risco aumenta, pode ser besteira minha, mas sempre fico receoso quanto a isso.. então por esse motivo preferi atravessar todos e comprar direto deles, acabou que fui até taxado na época (um risco), mas mesmo assim saiu bem mais barato do que comprar aqui no Brasil.

Quando comprei a minha Ledger Nano S, veio fechada na caixa, tudo certinho
Porém fiz duas coisas para "garantir" que não foi violada ou modificada

1 - eu abri a minha ledger, pesquisei no site e tem um tutorial de como abrir para verificar se algo foi alterado no hardware
2 - coloquei um valor, como se fosse uns 200 dólares em BTC e deixei alguns dias antes de eu realmente começar a usar pra valer

A Ledger tem explicado no site como verificar:
Aqui explica como verificar pelo software, pela caixa etc
https://support.ledger.com/article/4404389367057-zd?redirect=false

E aqui explica como verificar a pcb se você qusier abrir sua ledger
https://support.ledger.com/article/4404382029329-zd?redirect=false

Confesso que eu não sou um usuário de hardwallet então queria compartilhar aqui um pensamento pra ver se oque estou pensando é bobagem ou faz sentido.

Esses lacres das caixas me parecem algo tão passível de fraude, vocês se sentem 100% seguros? Sei que tem as regras de só comprar de lojas autorizadas, etc, etc...
Mas além desses lacres esses equipamentos possuem mais algum tipo de verificação que o usuário possa fazer para identificar se ele nunca foi inicializado ou algo do tipo?