Topic: Cliente perde BTC 0.4 instantaneamente da Coldcard ao gerar uma entropia fraca - page 2. (Read 306 times)

Isso seria o mesmo que criar uma seed phrase com apenas uma palavra? estou testando a ferramenta do Ian Coleman e quanto menor o nível de entropia, menos palavras aparecem na mnemônica.

se mudo para "12 palavras" ao invés de "3 a cada 24 bytes", ele informa que "a mnemônica aparentará ser mais forte do que realmente é".. interessante isso, nem todas mnemônicas são criadas iguais.. 24 segundos para crackear a "escuta alterar amoroso derramar vilarejo reenvio vetorial espiga poda depressa disparo crise"

Claro que ele foi vitima da própria ignorancia, mas a carteira devia ao menos indicar que a entropia não é suficiente e exigir uma confirmação bem forte para continuar (tipo exigir que ele digitasse em um campo: "sei que a entropia é baixíssima e há um grande risco nisso".

O usuário usou 1 dice roll (uma única rolagem de dados). A entropia dele literalmente foi: "5"... Isso não deveria ser fácilmente possível.

Recentemente em minhas pesquisas, estava interessado em saber como que gera a própria entropia de forma segura, seja rolando dados ou jogando cara ou coroa X vezes.

No meio do caminho me deparei com um caso no reddit em que um cliente da coldcard perdeu quase meio bitcoin (0.4) ao gerar uma entropia fraca rolando apenas 1x vez o dado (ele devia ter gerado pelo menos 50 vezes que é o requisito mínimo para uma entropia segura de 12 palavras).

Na Coldcard tem uma opção para o próprio usuário gerar sua própria entropia utilizando alguma fonte de entropia (como dados, moeda...).

O cliente fez isso acreditando que a Coldcard geraria o restante da entropia (mas que lógica mais absurda é essa), poxa, se o cliente esperava que a wallet gerasse o restante da entropia, por que ele não escolheu a opção da própria Coldcard gerar a carteira de maneira segura?

A wallet recem-criada foi drenada em menos de 1 minuto. E por que isso acontece? Existem bots de monitoramento que fazem varredura 24/7 de brainwallets com frases comuns, números (qualquer coisa que gere entropia fraca), o mesmo acontece com carteiras com baixa entropia, esses bots estão constantemente realizando varreduras dessas carteiras que teve suas seeds geradas com entropia muito fracas. E teve gente no reddit comentando sobre o caso, acusando a coldcard por causa disso, sem ter conhecimento sobre esses bots.

Moral da história: Não faça nada sem conhecimento prévio, principalmente envolvendo seu dinheiro/seus bitcoins e criptomoedas em geral, pessoas com conhecimentos em Bitcoin já cometem erros, imagina quem está ingressando agora e de cara querer gerar a sua própria entropia sem nem saber o funcionamento de uma carteira e os riscos envolvidos se não fizer os passos com segurança.

Existem muitos relatos de pessoas que configuraram carteiras, usaram passphrase, mas ou perderam a passphrase ou confundiram ela com a senha de criptografia de abrir/ou permitir gastar os fundos da carteira, gerar carteiras com derivation paths desconhecidos, exposição de seeds (enviar por email, pra um desconhecido...), salvar a seed errada gerando outra em seguida (algumas carteiras permitem que o usuário retroceda no passo de geração de carteiras, mas ao voltar na tela de exibição da seed phrase, uma nova seed phrase é gerada, fazendo com que o usuário salve ou a seed anterior ou essa nova, com 50% de probabilidade de perda de fundos).

São tantos exemplos... Comentem casos que você conhece de pessoas que teve seus bitcoins roubados/perdidos por erro humano.

---

Caso relatado no Medium em PT-BT: https://medium.com/@alexemidio/se-n%C3%A3o-tem-um-conhecimento-profundo-sobre-entropia-lan%C3%A7amento-de-dados-requisitos-e-verifica%C3%A7%C3%A3o-86eb18abd486

Link do reddit: https://www.reddit.com/r/coldcard/comments/17epqk8/040_bitcoin_taken_instantly_from_my_coldcard/?rdt=36415