Author

Topic: Falha na Ledger pode causar perda de Bitcoins (Read 254 times)

legendary
Activity: 3304
Merit: 1617
September 27, 2020, 10:33:52 PM
#22


Se um maximalist ganha umas moedas que tenham algum valor, a primeira coisa que ele vai fazer é transformá-las em BTC.. Roll Eyes

Como você sabe disso ? Andou me seguindo ?? É exatamente o que eu faço. Se tivesse feito isso desde o meu começo, hoje teria no mínimo o triplo do patrimônio que tenho em bitcoins. Não fico esperando shitcoin crescer não. É como no velho oeste: Eu saco primeiro. Cheesy Cheesy Cheesy
legendary
Activity: 2758
Merit: 6830
September 27, 2020, 07:15:46 PM
#21
Deixou uma grana na mesa entao.
Bitcore, BCD, Bitcoin, etc dava uns mil reais por bitcoin, dependendo da epoca que voce sacou. Como ja retirou os btc por conta do BCH, nao tinha risco nenhum em recuperar... agora ja nao valem mais nada rsrs

Até comentei hj na aba gringa. Outro dia instalei uma wallet e ganhei uns 100 usd de xlm dum airdrop. Cerca de um ano atras.
é cada vez mais raro,  mas as vezes acontece. é bom ficar de olho aberto.
Para mim, não vale o esforço. Ficar olhando e procurando fork, baixar wallet suspeita de shitcoin no PC, criar conta em exchange aleatória, etc... prefiro ficar com o BTC, acumulando meus sats e ficando de boa.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
September 27, 2020, 07:13:41 PM
#20
Se um maximalist ganha umas moedas que tenham algum valor, a primeira coisa que ele vai fazer é transformá-las em BTC.. Roll Eyes
Exato, moedas *que tenham algum valor*, coisa que muito raramente acontece. Eu mesmo não perco tempo "sacando" Bitcoin Diamond, Super Bitcoin, Bitcoin Plus Ultra e semelhantes. O último fork que vendi foi o Bcash, e eu transferi meus BTC para outra wallet antes mesmo de mexer neles (por motivos de segurança).

Deixou uma grana na mesa entao.
Bitcore, BCD, Bitcoin, etc dava uns mil reais por bitcoin, dependendo da epoca que voce sacou. Como ja retirou os btc por conta do BCH, nao tinha risco nenhum em recuperar... agora ja nao valem mais nada rsrs

Até comentei hj na aba gringa. Outro dia instalei uma wallet e ganhei uns 100 usd de xlm dum airdrop. Cerca de um ano atras.
é cada vez mais raro,  mas as vezes acontece. é bom ficar de olho aberto.

Edit: Eu mesmo nao recuperei todos os forks que gostaria. Na verdade ate recuperei todos q eu consegui (a coinomi ajudou muitio)< mas alguns dei mole e nao vendi... ou vendi valendo pouco. Mas alguns eu vendi bem. Se trocasse todos por btc na hora, juntando com o BCH, dava pra aumentar em uns 20% ou mais o total de btcs. Só BCH valia 10% de um btc no comeco.
legendary
Activity: 2758
Merit: 6830
September 27, 2020, 06:44:52 PM
#19
Se um maximalist ganha umas moedas que tenham algum valor, a primeira coisa que ele vai fazer é transformá-las em BTC.. Roll Eyes
Exato, moedas *que tenham algum valor*, coisa que muito raramente acontece. Eu mesmo não perco tempo "sacando" Bitcoin Diamond, Super Bitcoin, Bitcoin Plus Ultra e semelhantes. O último fork que vendi foi o Bcash, e eu transferi meus BTC para outra wallet antes mesmo de mexer neles (por motivos de segurança).
legendary
Activity: 2688
Merit: 2297
September 27, 2020, 06:42:02 PM
#18
E outra coisa, essa vulnerabilidade só seria viável caso você fosse transferir moedas "forkeadas" do BTC e por uma carteira maliciosa. Para quem é Bitcoin maximalist, era 0 chance de dar problema. Roll Eyes

Se um maximalist ganha umas moedas que tenham algum valor, a primeira coisa que ele vai fazer é transformá-las em BTC.. Roll Eyes
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
September 27, 2020, 02:46:01 PM
#17
https://bitcointalk.org/index.php?topic=5267001.new#new

achei esse topico na aba gringa.

Estava pensando em como essa vulnerabilidade podia ser explorada para roubar btcs, e o caso é esse:
Se voce conectar sua ledger em um aplicativo de terceiro malicioso (como uma mew falsa) eles poderiam roubar seus btc.

E' por isso que uma hardware wallet nunca vai ficar segura como um cold wallet, totalmente desconectado de qualquer aparelho com acesso a internet. A vantagem da HW wallet è a rapidez de utilizaçao, em desfavor de uma "total" segurança devido a se conectar numa porta USB.

Mas se quadno voce for gastar seus fundos de uma cold wallet voce for em um site MEW malicioso, é mais perigoso ainda.
HW é mais seguro do que uma cold wallet para esse caso. Pq a HW pode detectar o site malicioso, o que normalmente faz. Enquanto voce la com sua carteira cold wallet nao tem esse filtro extra do software da HW.
legendary
Activity: 2758
Merit: 6830
September 27, 2020, 02:12:59 PM
#16
E' por isso que uma hardware wallet nunca vai ficar segura como um cold wallet, totalmente desconectado de qualquer aparelho com acesso a internet. A vantagem da HW wallet è a rapidez de utilizaçao, em desfavor de uma "total" segurança devido a se conectar numa porta USB.
Mas você pode usar sua HW para mover as moedas em uma cold wallet ao invés de simplesmente deixar as chaves no PC offline. Seria ainda mais uma camada extra de proteção. Não precisa escolher entre uma das duas soluções.

E outra coisa, essa vulnerabilidade só seria viável caso você fosse transferir moedas "forkeadas" do BTC e por uma carteira maliciosa. Para quem é Bitcoin maximalist, era 0 chance de dar problema. Roll Eyes
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
September 27, 2020, 01:41:58 PM
#15
https://bitcointalk.org/index.php?topic=5267001.new#new

achei esse topico na aba gringa.

Estava pensando em como essa vulnerabilidade podia ser explorada para roubar btcs, e o caso é esse:
Se voce conectar sua ledger em um aplicativo de terceiro malicioso (como uma mew falsa) eles poderiam roubar seus btc.

E' por isso que uma hardware wallet nunca vai ficar segura como um cold wallet, totalmente desconectado de qualquer aparelho com acesso a internet. A vantagem da HW wallet è a rapidez de utilizaçao, em desfavor de uma "total" segurança devido a se conectar numa porta USB.
legendary
Activity: 2758
Merit: 6830
Pelo que eu entendi, um app malicioso podia pedir que você confirmasse a assinatura de uma transação BCH (ou outro fork BTC) mas na verdade assinar uma transação Dash. Então você envia a moeda que custa mais cara do que o fork barato.
legendary
Activity: 2688
Merit: 2297
-snip-

Acho que esse link[1] deixou mais claro pra mim como a Ledger gerencia as seeds..

Parece que a Ledger não tomou medidas antes pois tinha a desculpa da "culpa ser do usuário que acessou um app malicioso"..

[1] - https://donjon.ledger.com/lsb/014/
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
https://bitcointalk.org/index.php?topic=5267001.new#new

achei esse topico na aba gringa.

Estava pensando em como essa vulnerabilidade podia ser explorada para roubar btcs, e o caso é esse:
Se voce conectar sua ledger em um aplicativo de terceiro malicioso (como uma mew falsa) eles poderiam roubar seus btc.

Isso poderia ter ficado mais claro no artigo citado pelo paredao.. mas realmente o nivel dos artigos de cripto é bastante baixo , tanto no brasil quanto fora...
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Entendi e não entendi..

Entendi que a seed é igual para todas moedas porém não entendi como o atacante pode enganar a vítima para assinar a transação de uma moeda diferente da que estiver "logado"..

a ledger explica aqui. Mas sinceramente nao entendi muito bem, e pelo q eu entendi a vulnerabilidade nao permite roubar moedas.
https://donjon.ledger.com/lsb/014/

Quote
Summary
The Ledger Nano S and Nano X are Hierarchical Deterministic (HD) wallets, meaning that they can derive different cryptographic secrets from a single seed. As written in the Threat Model, apps can derive keys on their own HD path only, which ensures that cryptocurrency apps cannot use keys from each other. For instance, the Zcoin app cannot derive keys on the Dogecoin derivation path (m/44'/3'/), since its own derivation path is m/44'/128'/.

This path restriction was not enforced for the Bitcoin app and most of its derivatives, allowing a Bitcoin derivative (eg. Litecoin) to derive public keys or sign Bitcoin transactions.

O atacante teria que ter a chaves privadas da litecoin, pelo q eu entendi.

O maior problema em "consertar" seria isso:

Quote
Enforcing the restriction to one or multiple paths for each coin type is actually a tough topic because:

Some third party software wallets use incorrect derivation paths. This is a specific concern for older coins using third party wallets based on Electrum (Dogecoin, Litecoin, Dash, etc.)
Some BTC forks use the same derivation path as BTC. If we prevent these forks from using the BTC derivation path, this would simply prevent users from using the Ledger Nano S/X with these forks.


Mas, no final eles optaram por bloquear derivation paths incomuns, mesmo com o risco de quebrar funcionalidades em outras moedas:
Quote
In order to allow users to continue to use their Ledger Nano S/X seamlessly with any third party software wallet, this fix doesn’t enforce this verification from the OS though, which means that the --path parameter is still empty. We might add an exhaustive path list in the future if we are sure it doesn’t break any other wallets.
legendary
Activity: 2688
Merit: 2297
Entendi e não entendi..

Entendi que a seed é igual para todas moedas porém não entendi como o atacante pode enganar a vítima para assinar a transação de uma moeda diferente da que estiver "logado"..
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
No caso dos forks, é entendível que o usuário precise utilizar a mesma pvtkey para resgatar o montante.. agora o texto fala que pode assinar uma transação de BTC usando a mesma assinatura do LTC.. ou seja, a Ledger usa a mesma chave privada/endereço para ambas, LTC e BTC?

edit: O mesmo com ETH e ETC?

ou é a seed que é a mesma para todas? acho que não entendi a falha Tongue

Toda carteira multicurrency é desenvolvida dessa forma.
Compartilham a mesma seed. Imagina, ter que guardar uma seed pra cada shitcoin.... a coinomi entao teria mais de mil seeds.

Sabota, vai no site iancoleman.io/bip39

Lá voce adiciona uma seed aleatoria. Em baixo voce vai ver os pares public / private keys.
Observe que se voce alterar a moeda (coin) voce vai ver private keys equivalentes em diferentes blockchains.

Acrewdito que o artigo está se referindo a isso. Isso não é uma falha. Na verdade é uma falha, mas do autor do artigo que nao sabe o que está falando. Wink





Edit: Complementando. A private key é um numero apenas, pode ser em HEX, binario, etc.... essa private key que vemos é esse número usando uma codificacao diferente (encoding). QUando voce muda de blockchain, só muda o encoding, mas a private key é a mesma.
legendary
Activity: 2758
Merit: 6830
Ainda estou esperando Tongue
Mas eu ainda to no cel. Grin

Já faz alguns dias que não entro no PC. Infelizmente estou no hospital nesse exato momento cuidando de uns assuntos. Tongue
legendary
Activity: 2688
Merit: 2297
Sabota: já te respondo. To no cel agora.

Ainda estou esperando Tongue
legendary
Activity: 2758
Merit: 6830
legendary
Activity: 2758
Merit: 6830
Ola desculpa sei que nao é o foco da publicaçao mas eu tenho uma transação de btc que esta demorar muito e pesquisando apareceu voce a ajudar poderia ajudar-me com isso Huh

e870865bb46cba19d1ce356a44ec620692361eb9000b93a1dbd104c31aaf5ee4
Só aguardar. A rede Bitcoin viu uma grande quantidade de transações sendo realizadas em um curto período de tempo, provavelmente por causa da subida de preço, e por isso, a sua ficou um pouco para trás.

https://jochen-hoenicke.de/queue/#0,24h

Sabota: já te respondo. To no cel agora.
newbie
Activity: 2
Merit: 0
Ola desculpa sei que nao é o foco da publicaçao mas eu tenho uma transação de btc que esta demorar muito e pesquisando apareceu voce a ajudar poderia ajudar-me com isso Huh

e870865bb46cba19d1ce356a44ec620692361eb9000b93a1dbd104c31aaf5ee4
legendary
Activity: 2688
Merit: 2297
É... não é necessariamente uma “falha”. Ela foi projetada assim e isso dá uma vantagem ao mexer com forks airdrops como BTC/BCH/BSV/etc... utilizem a mesma chave. Acho que isso facilita (facilitou) a coleta das moedas que vieram do BTC. Se você tem 1 BTC que agora também te da acesso a 1 BCH na network, você precisa da mesma chave privada para gastá-lo. Dando um endereço novo e “ignorando” o endereço na rede BCH, você teria que extrair a chave da seed e fazer essa coleta manualmente.

No caso dos forks, é entendível que o usuário precise utilizar a mesma pvtkey para resgatar o montante.. agora o texto fala que pode assinar uma transação de BTC usando a mesma assinatura do LTC.. ou seja, a Ledger usa a mesma chave privada/endereço para ambas, LTC e BTC?

edit: O mesmo com ETH e ETC?

ou é a seed que é a mesma para todas? acho que não entendi a falha Tongue
legendary
Activity: 2758
Merit: 6830
É... não é necessariamente uma “falha”. Ela foi projetada assim e isso dá uma vantagem ao mexer com forks airdrops como BTC/BCH/BSV/etc... utilizem a mesma chave. Acho que isso facilita (facilitou) a coleta das moedas que vieram do BTC. Se você tem 1 BTC que agora também te da acesso a 1 BCH na network, você precisa da mesma chave privada para gastá-lo. Dando um endereço novo e “ignorando” o endereço na rede BCH, você teria que extrair a chave da seed e fazer essa coleta manualmente.

O tal ””especialista”” também me soou um pouco tendencioso.
legendary
Activity: 3304
Merit: 1617
Materia publicada hoje no site Criptofácil diz que tem uma falha na hardware Ledger que pode causar perda de moedas nela armazenadas. O engraçado que o "especialista" que fala a respeito do assunto é o revendedor brasileiro da concorrente Trezor. Olha a materia completa aqui
Jump to: