Pages:
Author

Topic: Falha de segurança atinge a Ledger (Read 467 times)

hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
December 28, 2023, 04:38:28 AM
#48
Por acaso, tenho ouvido falar bem da SafePal S1, que até achei interessante. Mas, alegadamente ela não funciona na Electrum.
Tem a Jade, que falam também bem dela. Essa funciona, mas não sei se quero alimentar o "poder" da Blockstream.

Para já, sigo com a mesma postura, a Ledger Nano, funciona para o que quero sem motivos para troca.
Não sabia que a SafePal não oferecia uma "compatibilidade" com a Electrum, fiquei surpreso com isso...
Eu acho a Jade bem diferenciada e tem de fato uma galera que fala bem dela, acho interessante dela que ela é uma wallet air-gapped, é uma feature interessante nos dias de hoje... sem falar que ela oferece suporte para a Liquid Network

E eu tambem compartilho do mesmo pensamento, a minha Nano ainda esta "quebrando um galho" e nunca me deixou na mão, no atual momento não, mas futuramente eu não vejo motivo para não comprar uma outra hardware wallet, lógico, se eu tiver uma graninha sobrando e também conseguir achar uma boa promoção rsrs
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
December 27, 2023, 08:49:54 AM
#47
Em geral todas funcionam (não conheço nenhuma que não funcione, mas é sempre bom pesquisar pra ter certeza).

mas pessoalmente, eu evitaria inventar moda.
Trezor ou coldcard.

Eu tenho uma ledger Nano S (a antiga que nao envia a seed).
 Sei que nao é a melhor, mas não vejo motivo para trocar, por hora.

Por acaso, tenho ouvido falar bem da SafePal S1, que até achei interessante. Mas, alegadamente ela não funciona na Electrum.
Tem a Jade, que falam também bem dela. Essa funciona, mas não sei se quero alimentar o "poder" da Blockstream.

Para já, sigo com a mesma postura, a Ledger Nano, funciona para o que quero sem motivos para troca.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 27, 2023, 05:20:54 AM
#46
O @sabotag3x criou/traduziu um topico com uma lista de hardware wallets existentes no mercado (a ultima atualização do topico foi em julho/2023)
Se caso quiser dar uma olhada - [LISTA] Carteiras de hardware

Eu tenho de reanalisar essa lista.
Pois a escolher uma HW tem de ser uma que funcione no Electrum Wallet.

Em geral todas funcionam (não conheço nenhuma que não funcione, mas é sempre bom pesquisar pra ter certeza).

mas pessoalmente, eu evitaria inventar moda.
Trezor ou coldcard.

Eu tenho uma ledger Nano S (a antiga que nao envia a seed).
 Sei que nao é a melhor, mas não vejo motivo para trocar, por hora.

Edit: As vezes uma  HW nova que ngm conhece é dor de cabeçca também.
Olha meu relato da Razor. Foi super complexo iniciar ela... nunca coloquei moedas nela, ta aqui parada..
Ganhei do fornecedor para fazer um review e ficou aqui encostada. Zerada.
https://bitcointalksearch.org/topic/bithd-razor-hardware-wallet-step-by-step-guide-and-review-5259327
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
December 27, 2023, 02:56:28 AM
#45
O @sabotag3x criou/traduziu um topico com uma lista de hardware wallets existentes no mercado (a ultima atualização do topico foi em julho/2023)
Se caso quiser dar uma olhada - [LISTA] Carteiras de hardware

Eu tenho de reanalisar essa lista.
Pois a escolher uma HW tem de ser uma que funcione no Electrum Wallet.
hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
December 27, 2023, 01:10:40 AM
#44
Estou cogitando comprar uma Trezor ano que vem, mas vendo na internet descobri que a quantidade Hardware-Wallets "diferentes" é gigantesca... opções tem aos montes mas fico com medo de ariscar em algo "novo". O que vocês me recomendariam?
O @sabotag3x criou/traduziu um topico com uma lista de hardware wallets existentes no mercado (a ultima atualização do topico foi em julho/2023)
Se caso quiser dar uma olhada - [LISTA] Carteiras de hardware

Eu também estou pensando em comprar uma Trezor em breve
@alegotardo, não sei se você viu, mas a KriptoBR esta com uma promoção da Trezor One... confesso que até que esta com um preço aceitavel, R$ 447,00 (pagamento em cripto) - https://kriptobr.com/produto/trezorone/

Dei uma vasculhada sobre a Trezor na internet em alguns sites brasileiros, e a maioria estão beirando os R$ 600,00 pra cima  Undecided

Mudando um pouco de assunto...
As vezes fico impressionado com a inflação brasileira, no topico que o sabotag3x traduziu há menos de 3 anos atrás a Ledger Nano X estava ~ R$ 785,00 e hoje fui pesquisar e ela esta custando R$ 1.500,00 em alguns sites "mais conservadores"  Undecided Undecided


Só notícias boas pro lado da Ledger, que bacana!
obs: não vou negar, mas gostei do seu senso de humor e ironia kkk Tongue Roll Eyes Grin

legendary
Activity: 3304
Merit: 1617
December 23, 2023, 02:48:13 PM
#43


Sim, a trezor realmente da mais confiança. O histórico da satoshilab comparado com o da Ledger è praticamente limpo. E eu lembro que ja fizeram muita tentativa de hack da trezor, o que deu certo no momento foi so ataque fisico do dispositivo sem passphrase.
Com certeza. A Trezor é de maior confiança. Talvez não venda tanto por causa dela não investir tanto em marketing como a Ledger investe. Tem também o fator dela ser produzida na Republica Tcheca e a Ledger ser fabricada na França. Acredito que isso também seja um fator que influencia nas vendas e na aceitação do produto.
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
December 23, 2023, 02:41:24 PM
#42

Basicamente eles sao a binance dos hardware wallets  Grin

Mesmo assim, continuo achando a Trezor "menos ruim" do que a Ledger. Se eu não tivesse uma hardwallet e estive para comprar, certamente compraria o modelo novo da Trezor. Eles acabaram de lançar a Trezor Safe 3 por 79 doletas, diretamente da fábrica. Parece ser interessante. Uma One aperfeiçoada.  Shocked Shocked

Sim, a terzor realmente da mais confiança. O histórico da satoshilab comparado com o da Ledger è praticamente limpo. E eu lembro que ja fizeram muita tentativa de hack da trezor, o que deu certo no momento foi so ataque fisico do dispositivo sem passphrase.
legendary
Activity: 3304
Merit: 1617
December 23, 2023, 02:38:18 PM
#41

Basicamente eles sao a binance dos hardware wallets  Grin

Mesmo assim, continuo achando a Trezor "menos ruim" do que a Ledger. Se eu não tivesse uma hardwallet e estive para comprar, certamente compraria o modelo novo da Trezor. Eles acabaram de lançar a Trezor Safe 3 por 79 doletas, diretamente da fábrica. Parece ser interessante. Uma One aperfeiçoada.  Shocked Shocked
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
December 23, 2023, 02:12:26 PM
#40
Considero que a forma como a ledger faz seu marketing vai ser o suficiente para manter as vendas delas. Hoje eles patrocinam grande parte dos influencers cripto e sinto que quase que inconscientemente a grande parte de novos entrantes no mercado são levados a adquirir uma ledger. Não estou dizendo aqui que comprar ou usar uma é bom ou ruim, mas considero que a estratégia de direcionamento de marketing deles é muito boa.


Basicamente eles sao a binance dos hardware wallets  Grin
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
December 23, 2023, 06:02:10 AM
#39
o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
A internet é muitas vezes mais frágil do que imaginamos.

Lembra aquela imagem:



Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e... Tongue

uau
nunca tinha visto e achei sensacional haha, obrigado por compartilhar
lembra onde viu essa pela primeira vez?


agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos

game over

o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.

Essa parte da história não tinha visto ainda. Realmente uma grande ironia!
Mas se pensarmos, grande parte das grandes invenções foram realmente dadas por algumas poucas figuras proeminentes. Claro que depois vai tendo várias outras juntas suportando o desenvolvimento. Mas no geral é realmente uma pessoa fora da curva que bagunça tudo, faz coisas impensáveis e ousa. Acho que o caso dos devs assim.

Um dev bem focada e com motivações pessoais fortes > 100 devs de uma empresa mais ou menos com chefes que odeiam.

isso me fez pensar quem veio primeiro, a ledger ou a trezor, então fui perguntar pro gpt:

E é por isso que carteira fria é pra ser fria, depositar e sacar apenas.

típico pensamento de quem não usa nem entende dapps  Wink

Está a cada dia mais difícil em confiar numa carteira de criptomoedas que seja segura. Parece paranoia minha, mas a cada dia que passa, estou limitando cada vez mais minhas transações. Raramente ando a fazer algum trade, mesmo que seja uma boa oportunidade. Não sei onde isso vai parar.


Nao è paranoia, è perigo mesmo.

Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.

uma alternativa simples de implementar apesar de dar um trabalhinho dependendo do nível que vc quiser fazer é usar o framework do 6529 (postado no twitter)
usa uma carteira para itneragir com dapps e outra separada como vault (pode ser multisig ou não) que nunca conecta em nenhum dapp.

o comentário do Ninja é bom, se alguém quiser conferir o sistema do 6529 que comentei tá aqui:
https://twitter.com/punk6529/status/1604486523772178435

e tem mais aqui:
https://twitter.com/punk6529/status/1677019020002770944
https://twitter.com/tropoFarmer/status/1547330303642968064

Depois dessa falha e tambem depois do hack dos dados no ecommerce deles, nao sei como a Ledger continua conseguindo existir...

pq ainda tem pouca concorrência em termos de opções no mercado




Eu tive conhecidos que entraram no leak do ecommerce, garanto que nao foi nada bom (me contaram que receberam muito phishing articulado). Eu entendo que nao sao lixo, mas fizeram erros muitos pesados pra ser produtores de hw wallet.

Também tive amigos que receberam e-mails estranhos depois da invasão do Banco de Dados da Ledger. Como moravam no Brasil, não deram muita importância para os tais e-mails recebidos. Muitos eram escritos em outra língua. Não sei se era Russo ou Ucraniano. Parece que eram escritos naquele alfabeto cirílico.

Eu recebo muito phising tb...
Nunca clico em nada
Esse meu e-mail do forum  é um mar  de spam. Raramente vem email legit

aqui também mas ainda tenho que fazer o filtro entre o que é golpe e o que é legitimo, de repente 2024 é o ano de mudar as coisas importantes pra outro email pq tá brabo...

legendary
Activity: 2492
Merit: 1429
Top-tier crypto casino and sportsbook
December 19, 2023, 04:52:31 AM
#38
Considero que a forma como a ledger faz seu marketing vai ser o suficiente para manter as vendas delas. Hoje eles patrocinam grande parte dos influencers cripto e sinto que quase que inconscientemente a grande parte de novos entrantes no mercado são levados a adquirir uma ledger. Não estou dizendo aqui que comprar ou usar uma é bom ou ruim, mas considero que a estratégia de direcionamento de marketing deles é muito boa.
legendary
Activity: 2758
Merit: 6830
December 18, 2023, 07:52:40 PM
#37
Você diz que seus bitcoins estão seguros, mas depois de tanta trapalhada é difícil ficar tranquilo.. ontem o alvo foram pessoa que usam DeFi, amanhã pode ser qualquer investidores de BTC.

Os caras se queimaram bastante com todas essas coisas, vão perder mercado.
Porém até agora nao houve falha para que uma Ledger conectada no seu PC seja invadida, tenha as keys roubadas, force uma assinatura, etc... a única coisa que importa pra mim é isso.

Essa do DeFi a vulnerabilidade foi na biblioteca intermediaria que conecta e "constroi" as transações. A do ecommerce foi um parceiro que cuidava do marketing.

Até então não tive nenhum motivo para não comprar uma Ledger no futuro. Tongue
legendary
Activity: 2688
Merit: 2297
December 18, 2023, 05:57:46 PM
#36
Acho essa afirmação exagerada.

Eles tem problemas com o trato dos dados dos usuários. Não respeitam a privacidade e os novos dispositivo tem essa questão de enviar seeds online , o que é bem ruim.

Mas os modelos antigos como o meu não tem esse lance de seed online.

Essa falha de segurança é muito especifica e não afetou quem possui bitcoins (por exemplo)

Isso não quer dizer que a ledger agora é inútil e os dispositivos são um lixo.


No final, a ledger é um dispositivo seguro, mas que tem alguns problemas. Já foi o melhor do mercado, mas não é mais.

Meus bitcoins estão seguros na ledger. No entanto , na próxima oportunidade vou procurar outra HW.



Você deu uma volta inteira para dizer que também não compra mais Ledger Cheesy as vendas devem ter caído bastante já.

Claro que as carteiras são boas.. o problema é a empresa guardar (e vazar) os dados dos clientes, lançar um produto com uma abordagem péssima e agora esse lance do código malicioso..

Você diz que seus bitcoins estão seguros, mas depois de tanta trapalhada é difícil ficar tranquilo.. ontem o alvo foram pessoa que usam DeFi, amanhã pode ser qualquer investidores de BTC.

Os caras se queimaram bastante com todas essas coisas, vão perder mercado.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
December 18, 2023, 03:51:09 PM
#35

Eu recebo muito phising tb...
Nunca clico em nada
Esse meu e-mail do forum  é um mar  de spam. Raramente vem email legit

Ultimamente tenho recebido todo tipo de tentativa de fraude. Recebo tentativa de Phising, recebo tentativa de Spotting, recebo tentativa de fraude com sms, dentre outras que fogem da minha memoria agora. É que sou bem desconfiado e não coloco meus dados verdadeiros em nenhum lugar. Senha verdadeira somente em sites que sejam muito confiáveis. Tenho uma desconfiança que meus dados já vazaram há um bom tempo na web.

Quando se anda a muitos anos neste mundo web, já passamos por muita coisa e muitas fases. Então, basicamente fica complicado manter todos esses dados "confidenciais". Ou "vazado" por nós em algum momento que não cuidávamos tanto da privacidade, ou por alguma empresa terceira que tinham os nossos dados e muitos anos e já nem nos lembramos, acaba por já andarem por ai.

Só resta duas coisas, o tenta-se começar do zero - o que pode ser um pouco complicado. Ou tem-se muito cuidado e sabe-se lidar com essas situações que surgem, e ter mais atenção a novos dados usados. Acho que a segunda opção continua a ser melhor.

Era muito difícil fazer uma nova conta joker_josue v2.  Roll Eyes
legendary
Activity: 3304
Merit: 1617
December 18, 2023, 03:18:31 PM
#34

Eu recebo muito phising tb...
Nunca clico em nada
Esse meu e-mail do forum  é um mar  de spam. Raramente vem email legit

Ultimamente tenho recebido todo tipo de tentativa de fraude. Recebo tentativa de Phising, recebo tentativa de Spotting, recebo tentativa de fraude com sms, dentre outras que fogem da minha memoria agora. É que sou bem desconfiado e não coloco meus dados verdadeiros em nenhum lugar. Senha verdadeira somente em sites que sejam muito confiáveis. Tenho uma desconfiança que meus dados já vazaram há um bom tempo na web.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 18, 2023, 03:09:19 PM
#33

Eu tive conhecidos que entraram no leak do ecommerce, garanto que nao foi nada bom (me contaram que receberam muito phishing articulado). Eu entendo que nao sao lixo, mas fizeram erros muitos pesados pra ser produtores de hw wallet.

Também tive amigos que receberam e-mails estranhos depois da invasão do Banco de Dados da Ledger. Como moravam no Brasil, não deram muita importância para os tais e-mails recebidos. Muitos eram escritos em outra língua. Não sei se era Russo ou Ucraniano. Parece que eram escritos naquele alfabeto cirílico.

Eu recebo muito phising tb...
Nunca clico em nada
Esse meu e-mail do forum  é um mar  de spam. Raramente vem email legit
legendary
Activity: 3304
Merit: 1617
December 18, 2023, 03:07:33 PM
#32

Eu tive conhecidos que entraram no leak do ecommerce, garanto que nao foi nada bom (me contaram que receberam muito phishing articulado). Eu entendo que nao sao lixo, mas fizeram erros muitos pesados pra ser produtores de hw wallet.

Também tive amigos que receberam e-mails estranhos depois da invasão do Banco de Dados da Ledger. Como moravam no Brasil, não deram muita importância para os tais e-mails recebidos. Muitos eram escritos em outra língua. Não sei se era Russo ou Ucraniano. Parece que eram escritos naquele alfabeto cirílico.
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
December 18, 2023, 03:01:02 PM
#31
Depois dessa falha e tambem depois do hack dos dados no ecommerce deles, nao sei como a Ledger continua conseguindo existir...

Acho essa afirmação exagerada.

Eles tem problemas com o trato dos dados dos usuários. Não respeitam a privacidade e os novos dispositivo tem essa questão de enviar seeds online , o que é bem ruim.

Mas os modelos antigos como o meu não tem esse lance de seed online.

Essa falha de segurança é muito especifica e não afetou quem possui bitcoins (por exemplo)

Isso não quer dizer que a ledger agora é inútil e os dispositivos são um lixo.


No final, a ledger é um dispositivo seguro, mas que tem alguns problemas. Já foi o melhor do mercado, mas não é mais.

Meus bitcoins estão seguros na ledger. No entanto , na próxima oportunidade vou procurar outra HW.




Eu tive conhecidos que entraram no leak do ecommerce, garanto que nao foi nada bom (me contaram que receberam muito phishing articulado). Eu entendo que nao sao lixo, mas fizeram erros muitos pesados pra ser produtores de hw wallet.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
December 18, 2023, 08:39:08 AM
#30
Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.

Sem duvida. Hoje em dia quer-se adicionar funções mais funções, quase se quer reinventar a roda.  
Façam as coisas simples e especificas para um proposito. Torna tudo mais simples, e é mais fácil de reduzir problemas.
Não poderia discordar mais (com o alex). Acho que vocês tem sido muito exagerados com essa ideia de "menos é mais" que eu sempre vejo vocês falando por aqui.

~~

Por isso sempre defendo um visor nas novas HWs que são lançadas, pois você TEM que verificar o que está assinando antes de realmente assinar. Com o Bitcoin isso é ZERO problema, já que o pedido é simples e sempre vai aparecer no visor: "envio de X BTC para endereço Y". Se a informação não bate, é só não assinar.


O problema é que uma transação de swap na Uniswap consiste de muitas informações. Imagine algo assim:

- Interação com o endereço 0x12345.... (contrato da Uniswap)
- Envio de 0 ETH
- Dados da transação:
-- chamando função swap()
-- parametros:
---- token de entrada: 0x555... (endereço da USDT)
---- token de saída: 0x884... (endereço da USDC)
---- valor: 100000000 (que converte em 100 unidades)

Aí a maioria das HWs não consegue detectar ou mostrar tudo isso no visor. Felizmente isso tem mudado e algumas HWs já detectam funções especificas e seus parametros.

Com o Bitcoin é simplesmente:

- Envio de X BTC
- Recipiente: 1Abcd...

Não tem erro... Grin

Mas, quando eu falo em simplificar é isto! Não o facto de ir a uma wallet HW clicar no botão/validar.
O HW existe para isso mesmo, segundo elemento de validação.

Os endereços do Bitcoin, mas em especial do ETH e de outras moedas, já são grandes o suficiente e complicados de leitura/memorização humana, para os sistemas ainda complicar mais.
É esse elemento que tem de ser simplificado, de modo a ser mais fácil para o utilizador perceber que passos está a dar e o que esta envolvido.

Ser simples, não significa que é menos seguro ou que algo é menos complexo.
Eu falo da simplicidade, no sentido em ter algo complexo e seguro, mas simples na utilização - em especial para quem não tem grandes níveis técnicos.

Se para quem anda nisto todos os dias, sofre com esta "complexidade" e cai nestes esquemas, imaginam quando mais pessoas menos conhecimentos técnicos entrar neste mercado.

Fazer isso é fácil? Não digo que seja...
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 17, 2023, 03:12:40 PM
#29
Depois dessa falha e tambem depois do hack dos dados no ecommerce deles, nao sei como a Ledger continua conseguindo existir...

Acho essa afirmação exagerada.

Eles tem problemas com o trato dos dados dos usuários. Não respeitam a privacidade e os novos dispositivo tem essa questão de enviar seeds online , o que é bem ruim.

Mas os modelos antigos como o meu não tem esse lance de seed online.

Essa falha de segurança é muito especifica e não afetou quem possui bitcoins (por exemplo)

Isso não quer dizer que a ledger agora é inútil e os dispositivos são um lixo.


No final, a ledger é um dispositivo seguro, mas que tem alguns problemas. Já foi o melhor do mercado, mas não é mais.

Meus bitcoins estão seguros na ledger. No entanto , na próxima oportunidade vou procurar outra HW.

Pages:
Jump to: