Pages:
Author

Topic: Falha de segurança atinge a Ledger - page 2. (Read 477 times)

legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
December 17, 2023, 02:25:47 PM
#28
Depois dessa falha e tambem depois do hack dos dados no ecommerce deles, nao sei como a Ledger continua conseguindo existir...
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 17, 2023, 02:15:43 PM
#27
Isso chega a ser assustador, nao usei DAPPS diretamente, mas pelo jeito que voce descreveu parece um começo de inúmeros problemas.

Claro, um cold storage è ainda bem longe de ser pratico.

Na verdade se você utilizar dApps berm consolidados como a uniswap (acho q o maior dapp que tem) você não terá problemas.

Esse cara foi pego usando um app mais desconhecido.

Ele ainda foi vitima de um phising

Aqui tem uma carta oficial sobre o caso

https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
legendary
Activity: 2758
Merit: 6830
December 17, 2023, 01:54:27 PM
#26

E outra coisa, usar uma cold storage própria NÃO teria corrigido o problema do supply chain no dapp. Todo mundo que caiu nessa falha ainda teve que assinar a transação no seu HW, mas a complexidade da Ethereum fez com que as pessoas não soubessem os dados que estavam sendo assinados.

Isso chega a ser assustador, nao usei DAPPS diretamente, mas pelo jeito que voce descreveu parece um começo de inúmeros problemas.
O problema é que uma transação de swap na Uniswap consiste de muitas informações. Imagine algo assim:

- Interação com o endereço 0x12345.... (contrato da Uniswap)
- Envio de 0 ETH
- Dados da transação:
-- chamando função swap()
-- parametros:
---- token de entrada: 0x555... (endereço da USDT)
---- token de saída: 0x884... (endereço da USDC)
---- valor: 100000000 (que converte em 100 unidades)

Aí a maioria das HWs não consegue detectar ou mostrar tudo isso no visor. Felizmente isso tem mudado e algumas HWs já detectam funções especificas e seus parametros.

Com o Bitcoin é simplesmente:

- Envio de X BTC
- Recipiente: 1Abcd...

Não tem erro... Grin
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
December 17, 2023, 01:48:47 PM
#25
Sabem o que eu acho piada no meio disto tudo?

Bem, sempre que entro num debate do Linux vs Windows, surge sempre a historia de: "o linux é open-source e todos podem verificar, onde milhares de utilizadores de todo o mundo, validam a informação e por isso é que é mais seguro, com menos erros, etc..."
Mas, depois surgem estas noticias que alguém usou uma biblioteca open-source que tinha um bug ou um dev era malicioso, e causo problemas a milhares de pessoas.
Então, mas ser open-source não é para minimizar esta situações, porque todos podem validar - e alegadamente há quem valide?

Obviamente que não!
Quem trabalha com desenvolvimento sabe como é fácil atualizar as bibliotecas de dependências do projeto e o quão "chato" seria conferir as mudanças no código dela.
Por mais que os devs geralmente mexem em pouca coisa entre as atualizações e a própria ferramenta de comparação do git ajude nesse trabalho, eu acho que praticamente ninguém faz isso.

Mesmo quando fazem, muitas vezes programas críticos já atualizaram suas bibliotecas de dependências antes mesmo que algum DEV ligado fosse lá conferir e descobrir o problema. Nesse momento o estrago já foi feito, principalmente quando falamos de criptomoedas em que o caminho do dinheiro muitas vezes não tem volta.

Mas, fico feliz (eu acho) em saber que novamente os hackers tiveram a infelicidade de mover os fundos para uma blockchain centralizada que logo "cortou o barato". Só não entendi a burrice do dev em fazer isso, seja pelo fato de ter movido isso pra Ledger como também de ter feito isso em um momento que o Bitcoin está em disparada.
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
December 17, 2023, 01:40:33 PM
#24

E outra coisa, usar uma cold storage própria NÃO teria corrigido o problema do supply chain no dapp. Todo mundo que caiu nessa falha ainda teve que assinar a transação no seu HW, mas a complexidade da Ethereum fez com que as pessoas não soubessem os dados que estavam sendo assinados.

Isso chega a ser assustador, nao usei DAPPS diretamente, mas pelo jeito que voce descreveu parece um começo de inúmeros problemas.

Claro, um cold storage è ainda bem longe de ser pratico.
legendary
Activity: 2758
Merit: 6830
December 17, 2023, 01:29:02 PM
#23
Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.

Sem duvida. Hoje em dia quer-se adicionar funções mais funções, quase se quer reinventar a roda.  
Façam as coisas simples e especificas para um proposito. Torna tudo mais simples, e é mais fácil de reduzir problemas.
Não poderia discordar mais (com o alex). Acho que vocês tem sido muito exagerados com essa ideia de "menos é mais" que eu sempre vejo vocês falando por aqui.

Para ter um cold storage próprio você tem que ter um dispositivo isolado exclusivo para fazer a assinatura das transações. Fora o fato dele continuar sendo bem mais propicio a malware do que uma HW como a Ledger ou Trezor, você tem que fazer esse bate volta inumeras vezes entre um dispositivo e outro: tx não assinada no PC online > manda para o PC offline -> assina -> manda para o PC online -> broadcast. Tudo isso envolve muito mais tempo do que quando se usa uma HW, onde você recebe o pedido de confirmação na hora, no dispositivo, e assina no mesmo instante.

E outra coisa, usar uma cold storage própria NÃO teria corrigido o problema do supply chain no dapp. Todo mundo que caiu nessa falha ainda teve que assinar a transação no seu HW, mas a complexidade da Ethereum fez com que as pessoas não soubessem os dados que estavam sendo assinados. Se o cara recebeu essa tx do site da Uniswap e foi lá assinar em seu PC cold-storage próprio, provavelmente teria aceitado de qualquer maneira.

Por isso sempre defendo um visor nas novas HWs que são lançadas, pois você TEM que verificar o que está assinando antes de realmente assinar. Com o Bitcoin isso é ZERO problema, já que o pedido é simples e sempre vai aparecer no visor: "envio de X BTC para endereço Y". Se a informação não bate, é só não assinar.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
December 17, 2023, 05:15:00 AM
#22
Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.

Sem duvida. Hoje em dia quer-se adicionar funções mais funções, quase se quer reinventar a roda. 
Façam as coisas simples e especificas para um proposito. Torna tudo mais simples, e é mais fácil de reduzir problemas.
member
Activity: 139
Merit: 25
December 16, 2023, 03:12:10 PM
#21
O problema é que quanto mais funcionalidades, mais riscos tem, então a cada APP ou moeda nova, mais risco você está correndo, esse erro mesmo só afetou quem estava conectado a certos DAPPS. Você tem altas chances de estar seguro apenas usando a carteira como um cofre, se precisar de mais funcionalidades, instale um metamask e faça as coisas a partir dali.
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
December 16, 2023, 01:35:36 PM
#20
Está a cada dia mais difícil em confiar numa carteira de criptomoedas que seja segura. Parece paranoia minha, mas a cada dia que passa, estou limitando cada vez mais minhas transações. Raramente ando a fazer algum trade, mesmo que seja uma boa oportunidade. Não sei onde isso vai parar.


Nao è paranoia, è perigo mesmo.

Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
December 16, 2023, 07:54:56 AM
#19

O meu tem a atualização anterior a ultima que dá suporte ao serviço de recuperação. Por isso, muito provavelmente não irei fazer mais nenhum update.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 15, 2023, 04:07:45 PM
#18
Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.

Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.

Não uso outras moedas...  Roll Eyes
Atualizar o firmware, talvez, mas precisa de haver um motivo muito forte para o fazer.

A última atualização do meu foi em 2021, para suporte ao taproot
https://support.ledger.com/hc/en-us/articles/7103926130845-Latest-Firmware-updates-for-Ledger-Nano-S-X-and-S-plus?support=true
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
December 15, 2023, 04:05:09 PM
#17
Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.

Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.

Não uso outras moedas...  Roll Eyes
Atualizar o firmware, talvez, mas precisa de haver um motivo muito forte para o fazer.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 15, 2023, 03:51:06 PM
#16
Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.

Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro Cheesy

Somos dois. Eu tenho andado a ver carteiras que funcionam diretamente no Electrum, mas as opções não me tem chamado atenção.

Enfim, a minha Ledger é nova, não ligo ao Live, pois só uso para o Bitcoin e não preciso de instalar nenhuma dapp.

Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.

Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
December 15, 2023, 03:43:12 PM
#15
Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.

Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro Cheesy

Somos dois. Eu tenho andado a ver carteiras que funcionam diretamente no Electrum, mas as opções não me tem chamado atenção.

Enfim, a minha Ledger é nova, não ligo ao Live, pois só uso para o Bitcoin e não preciso de instalar nenhuma dapp.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
December 15, 2023, 03:32:06 PM
#14
A notícia é ruim, embora os riscos não sejam grandes para a absurda maioria dos usuários. E essa falha não afetou usuários de bitcoin que não tem dapps.

A Ledger está indo num mal caminho. As recentes histórias de compartilhamento de informações, seed indo pra nuvem nas novas versões, bugs desse tipo e coisas assim mostram que a empresa está se perdendo.

Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.

Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro Cheesy
member
Activity: 139
Merit: 25
December 15, 2023, 03:19:14 PM
#13
E é por isso que carteira fria é pra ser fria, depositar e sacar apenas.
legendary
Activity: 1428
Merit: 1568
December 15, 2023, 03:10:13 PM
#12

agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos

game over

o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.

Essa parte da história não tinha visto ainda. Realmente uma grande ironia!
Mas se pensarmos, grande parte das grandes invenções foram realmente dadas por algumas poucas figuras proeminentes. Claro que depois vai tendo várias outras juntas suportando o desenvolvimento. Mas no geral é realmente uma pessoa fora da curva que bagunça tudo, faz coisas impensáveis e ousa. Acho que o caso dos devs assim.

Um dev bem focada e com motivações pessoais fortes > 100 devs de uma empresa mais ou menos com chefes que odeiam.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
December 15, 2023, 02:58:32 PM
#11
Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e... Tongue

Sabem o que eu acho piada no meio disto tudo?

Bem, sempre que entro num debate do Linux vs Windows, surge sempre a historia de: "o linux é open-source e todos podem verificar, onde milhares de utilizadores de todo o mundo, validam a informação e por isso é que é mais seguro, com menos erros, etc..."
Mas, depois surgem estas noticias que alguém usou uma biblioteca open-source que tinha um bug ou um dev era malicioso, e causo problemas a milhares de pessoas.
Então, mas ser open-source não é para minimizar esta situações, porque todos podem validar - e alegadamente há quem valide?

Enfim, eu não só contra o Linux, nem contra o open-source. Apenas, quero destacar, que todos os sistemas estão subjetivos a falhas, e se quem as identifica for malicioso, trará muitos problemas. Eu sei, que ser open-source, não significa segurança, não é isso que quero dizer. O que quero dizer, é que cada vez mais se confiam nessas bibliotecas, porque facilita o trabalho, e depois surgem problemas graves que dificilmente alguém irá ser responsabilizado.

Só espero, que estas falhas, sirvam para melhorar todo o ecossistema, e nem me refiro a Ledger, mas de um modo geral.

legendary
Activity: 2758
Merit: 6830
December 15, 2023, 10:22:05 AM
#10
o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
A internet é muitas vezes mais frágil do que imaginamos.

Lembra aquela imagem:



Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e... Tongue
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
December 15, 2023, 07:17:28 AM
#9
Poie é. Admirava tanto a Ledger HW1, lá nao tinha nada, era uma tela preta e volume em bitcoin, nada mais, simples. Porém, a ledger teve que crescer e tem mais de 5 mil criptomoedas, imagina gerenciar o backend disso, entao vive tendo update. Pra piorar ta cheio de scam nesses defis da vida, ai deu ruim né, local muito amplo pra sofrer ataque.

05 horas de drenagem, 500 mil dolares, falha da ledger.

os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.

Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.

agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos

game over

o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
Pages:
Jump to: