Topic: Falha de segurança atinge a Ledger - page 2. (Read 404 times)
Depois dessa falha e tambem depois do hack dos dados no ecommerce deles, nao sei como a Ledger continua conseguindo existir...
Isso chega a ser assustador, nao usei DAPPS diretamente, mas pelo jeito que voce descreveu parece um começo de inúmeros problemas.
Claro, um cold storage è ainda bem longe de ser pratico.
Claro, um cold storage è ainda bem longe de ser pratico.
Na verdade se você utilizar dApps berm consolidados como a uniswap (acho q o maior dapp que tem) você não terá problemas.
Esse cara foi pego usando um app mais desconhecido.
Ele ainda foi vitima de um phising
Aqui tem uma carta oficial sobre o caso
https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
E outra coisa, usar uma cold storage própria NÃO teria corrigido o problema do supply chain no dapp. Todo mundo que caiu nessa falha ainda teve que assinar a transação no seu HW, mas a complexidade da Ethereum fez com que as pessoas não soubessem os dados que estavam sendo assinados.
Isso chega a ser assustador, nao usei DAPPS diretamente, mas pelo jeito que voce descreveu parece um começo de inúmeros problemas.
- Interação com o endereço 0x12345.... (contrato da Uniswap)
- Envio de 0 ETH
- Dados da transação:
-- chamando função swap()
-- parametros:
---- token de entrada: 0x555... (endereço da USDT)
---- token de saída: 0x884... (endereço da USDC)
---- valor: 100000000 (que converte em 100 unidades)
Aí a maioria das HWs não consegue detectar ou mostrar tudo isso no visor. Felizmente isso tem mudado e algumas HWs já detectam funções especificas e seus parametros.
Com o Bitcoin é simplesmente:
- Envio de X BTC
- Recipiente: 1Abcd...
Não tem erro...
Sabem o que eu acho piada no meio disto tudo?
Bem, sempre que entro num debate do Linux vs Windows, surge sempre a historia de: "o linux é open-source e todos podem verificar, onde milhares de utilizadores de todo o mundo, validam a informação e por isso é que é mais seguro, com menos erros, etc..."
Mas, depois surgem estas noticias que alguém usou uma biblioteca open-source que tinha um bug ou um dev era malicioso, e causo problemas a milhares de pessoas.
Então, mas ser open-source não é para minimizar esta situações, porque todos podem validar - e alegadamente há quem valide?
Bem, sempre que entro num debate do Linux vs Windows, surge sempre a historia de: "o linux é open-source e todos podem verificar, onde milhares de utilizadores de todo o mundo, validam a informação e por isso é que é mais seguro, com menos erros, etc..."
Mas, depois surgem estas noticias que alguém usou uma biblioteca open-source que tinha um bug ou um dev era malicioso, e causo problemas a milhares de pessoas.
Então, mas ser open-source não é para minimizar esta situações, porque todos podem validar - e alegadamente há quem valide?
Obviamente que não!
Quem trabalha com desenvolvimento sabe como é fácil atualizar as bibliotecas de dependências do projeto e o quão "chato" seria conferir as mudanças no código dela.
Por mais que os devs geralmente mexem em pouca coisa entre as atualizações e a própria ferramenta de comparação do git ajude nesse trabalho, eu acho que praticamente ninguém faz isso.
Mesmo quando fazem, muitas vezes programas críticos já atualizaram suas bibliotecas de dependências antes mesmo que algum DEV ligado fosse lá conferir e descobrir o problema. Nesse momento o estrago já foi feito, principalmente quando falamos de criptomoedas em que o caminho do dinheiro muitas vezes não tem volta.
Mas, fico feliz (eu acho) em saber que novamente os hackers tiveram a infelicidade de mover os fundos para uma blockchain centralizada que logo "cortou o barato". Só não entendi a burrice do dev em fazer isso, seja pelo fato de ter movido isso pra Ledger como também de ter feito isso em um momento que o Bitcoin está em disparada.
E outra coisa, usar uma cold storage própria NÃO teria corrigido o problema do supply chain no dapp. Todo mundo que caiu nessa falha ainda teve que assinar a transação no seu HW, mas a complexidade da Ethereum fez com que as pessoas não soubessem os dados que estavam sendo assinados.
Isso chega a ser assustador, nao usei DAPPS diretamente, mas pelo jeito que voce descreveu parece um começo de inúmeros problemas.
Claro, um cold storage è ainda bem longe de ser pratico.
Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.
Sem duvida. Hoje em dia quer-se adicionar funções mais funções, quase se quer reinventar a roda.
Façam as coisas simples e especificas para um proposito. Torna tudo mais simples, e é mais fácil de reduzir problemas.
Para ter um cold storage próprio você tem que ter um dispositivo isolado exclusivo para fazer a assinatura das transações. Fora o fato dele continuar sendo bem mais propicio a malware do que uma HW como a Ledger ou Trezor, você tem que fazer esse bate volta inumeras vezes entre um dispositivo e outro: tx não assinada no PC online > manda para o PC offline -> assina -> manda para o PC online -> broadcast. Tudo isso envolve muito mais tempo do que quando se usa uma HW, onde você recebe o pedido de confirmação na hora, no dispositivo, e assina no mesmo instante.
E outra coisa, usar uma cold storage própria NÃO teria corrigido o problema do supply chain no dapp. Todo mundo que caiu nessa falha ainda teve que assinar a transação no seu HW, mas a complexidade da Ethereum fez com que as pessoas não soubessem os dados que estavam sendo assinados. Se o cara recebeu essa tx do site da Uniswap e foi lá assinar em seu PC cold-storage próprio, provavelmente teria aceitado de qualquer maneira.
Por isso sempre defendo um visor nas novas HWs que são lançadas, pois você TEM que verificar o que está assinando antes de realmente assinar. Com o Bitcoin isso é ZERO problema, já que o pedido é simples e sempre vai aparecer no visor: "envio de X BTC para endereço Y". Se a informação não bate, é só não assinar.
Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.
Sem duvida. Hoje em dia quer-se adicionar funções mais funções, quase se quer reinventar a roda.
Façam as coisas simples e especificas para um proposito. Torna tudo mais simples, e é mais fácil de reduzir problemas.
O problema é que quanto mais funcionalidades, mais riscos tem, então a cada APP ou moeda nova, mais risco você está correndo, esse erro mesmo só afetou quem estava conectado a certos DAPPS. Você tem altas chances de estar seguro apenas usando a carteira como um cofre, se precisar de mais funcionalidades, instale um metamask e faça as coisas a partir dali.
Está a cada dia mais difícil em confiar numa carteira de criptomoedas que seja segura. Parece paranoia minha, mas a cada dia que passa, estou limitando cada vez mais minhas transações. Raramente ando a fazer algum trade, mesmo que seja uma boa oportunidade. Não sei onde isso vai parar.
Nao è paranoia, è perigo mesmo.
Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.
A última atualização do meu foi em 2021, para suporte ao taproot
https://support.ledger.com/hc/en-us/articles/7103926130845-Latest-Firmware-updates-for-Ledger-Nano-S-X-and-S-plus?support=true
https://support.ledger.com/hc/en-us/articles/7103926130845-Latest-Firmware-updates-for-Ledger-Nano-S-X-and-S-plus?support=true
O meu tem a atualização anterior a ultima que dá suporte ao serviço de recuperação. Por isso, muito provavelmente não irei fazer mais nenhum update.
Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.
Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.
Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.
Não uso outras moedas...
Atualizar o firmware, talvez, mas precisa de haver um motivo muito forte para o fazer.
A última atualização do meu foi em 2021, para suporte ao taproot
https://support.ledger.com/hc/en-us/articles/7103926130845-Latest-Firmware-updates-for-Ledger-Nano-S-X-and-S-plus?support=true
Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.
Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.
Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.
Não uso outras moedas...
Atualizar o firmware, talvez, mas precisa de haver um motivo muito forte para o fazer.
Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.
Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro
Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro
Somos dois. Eu tenho andado a ver carteiras que funcionam diretamente no Electrum, mas as opções não me tem chamado atenção.
Enfim, a minha Ledger é nova, não ligo ao Live, pois só uso para o Bitcoin e não preciso de instalar nenhuma dapp.
Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.
Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.
Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.
Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro
Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro
Somos dois. Eu tenho andado a ver carteiras que funcionam diretamente no Electrum, mas as opções não me tem chamado atenção.
Enfim, a minha Ledger é nova, não ligo ao Live, pois só uso para o Bitcoin e não preciso de instalar nenhuma dapp.
A notícia é ruim, embora os riscos não sejam grandes para a absurda maioria dos usuários. E essa falha não afetou usuários de bitcoin que não tem dapps.
A Ledger está indo num mal caminho. As recentes histórias de compartilhamento de informações, seed indo pra nuvem nas novas versões, bugs desse tipo e coisas assim mostram que a empresa está se perdendo.
Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.
Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro
A Ledger está indo num mal caminho. As recentes histórias de compartilhamento de informações, seed indo pra nuvem nas novas versões, bugs desse tipo e coisas assim mostram que a empresa está se perdendo.
Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.
Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro
E é por isso que carteira fria é pra ser fria, depositar e sacar apenas.
agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos
game over
o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
Essa parte da história não tinha visto ainda. Realmente uma grande ironia!
Mas se pensarmos, grande parte das grandes invenções foram realmente dadas por algumas poucas figuras proeminentes. Claro que depois vai tendo várias outras juntas suportando o desenvolvimento. Mas no geral é realmente uma pessoa fora da curva que bagunça tudo, faz coisas impensáveis e ousa. Acho que o caso dos devs assim.
Um dev bem focada e com motivações pessoais fortes > 100 devs de uma empresa mais ou menos com chefes que odeiam.
Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e... 
Sabem o que eu acho piada no meio disto tudo?
Bem, sempre que entro num debate do Linux vs Windows, surge sempre a historia de: "o linux é open-source e todos podem verificar, onde milhares de utilizadores de todo o mundo, validam a informação e por isso é que é mais seguro, com menos erros, etc..."
Mas, depois surgem estas noticias que alguém usou uma biblioteca open-source que tinha um bug ou um dev era malicioso, e causo problemas a milhares de pessoas.
Então, mas ser open-source não é para minimizar esta situações, porque todos podem validar - e alegadamente há quem valide?
Enfim, eu não só contra o Linux, nem contra o open-source. Apenas, quero destacar, que todos os sistemas estão subjetivos a falhas, e se quem as identifica for malicioso, trará muitos problemas. Eu sei, que ser open-source, não significa segurança, não é isso que quero dizer. O que quero dizer, é que cada vez mais se confiam nessas bibliotecas, porque facilita o trabalho, e depois surgem problemas graves que dificilmente alguém irá ser responsabilizado.
Só espero, que estas falhas, sirvam para melhorar todo o ecossistema, e nem me refiro a Ledger, mas de um modo geral.
o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
A internet é muitas vezes mais frágil do que imaginamos.Lembra aquela imagem:
Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e...
Poie é. Admirava tanto a Ledger HW1, lá nao tinha nada, era uma tela preta e volume em bitcoin, nada mais, simples. Porém, a ledger teve que crescer e tem mais de 5 mil criptomoedas, imagina gerenciar o backend disso, entao vive tendo update. Pra piorar ta cheio de scam nesses defis da vida, ai deu ruim né, local muito amplo pra sofrer ataque.
05 horas de drenagem, 500 mil dolares, falha da ledger.
os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.
Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.
05 horas de drenagem, 500 mil dolares, falha da ledger.
os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.
Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.
agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos
game over
o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
Jump to: