Topic: Hardwallets 'caseiras': Lilygo, Tails, Jade e LNBITS (Read 108 times)

Puts, isso já existe? dahora!!

Sempre pensei em quando é que seria o momento em que harwallets deixariam de ser coisa de ricaços do Bitcoin, restrito à poucas pessoas e se tornaria um acessório comum assim como é qualquer pendrive que carregamos na michila hoje em dia, mas não sabia que já estava nesse ponto em que "qualquer um" já podia estaria criando o seu próprio.

Confesso que nunca tinha parado para pesquisar sobre isso ainda, mas é algo que me interessa de montão pois mesmo sendo um cara muito preguiçoso para essas coisas, eu fiquei com certo "tesão" para essa arte já quando vi oque você mesmo fez com aquele relógio bitcoin em arduino.

Certamente isso precisa evoluir, o monopólio da Ledger e Trezor precisa ser quebrado, principalmente depois dos escândalos divulgados pela primeira e seus novos protocolos de implementação das chaves privadas.
A preocupação entretanto é quanto `segurança, certamente irão aparecer muito mais vulnerabilidades e até mesmo projetos de hardwallets scam que irão lesar muita gente, infelizmente.

Por acaso, já tinha visto esse sistema de criar/gerir carteiras.

Sinceramente, não acho pratico para o dia a dia.
Mas, acredito que seja uma excelente solução para gerar carteiras offline de modo seguro. E eficaz para quem quer fazer hold a longo prazo.

Eu continuou a ser da opinião que segurança não tem de ser complicada. Apesar de entender como isso pode ser difícil de concretizar, acho que esse seria dos melhores desafios a serem superados no futuro. Infelizmente, as coisas não tem seguido esse caminho. Temos que nos ir ajustando conforme as coisas vão rolando.

O elemento criptográfico é apenas um chip dedicado no hardware da wallet, separado e isolado o melhor posível dos restantes elementos, tanto electronicamente como isolado a nível de software paara ajudar a evitar hacks. É que quando usamos uma hardware wallet, tem que haver comunicação entre o chip principal e este elemento criptográfico e muitas vezes há dados a serem guardados em memória RAM, o que nunca é bom porque são alvo de possíveis ataques para sacar dados que permitam aceder às keys da wallet. Ao isolar o chip principal do chip de criptografia, diminuem-se estes riscos, mas claro que o software tem que "acompanhar" e não andar a passar dados pela memória.

Este vídeo mostra um conhecido hacker dos anos 90 a hackear uma wallet para tentar sacar shitcoins de lá para um "cliente". Ele mostra o processo que usou e explica em traços gerais como funciona o ataque e poruqe é que funciona. Lá mais para o fim, ele mostra um bug que havia no código do firmware da wallet que permitia ir buscar dados à memória RAM que depois lhe deram acesso ao pin da wallet. Super interessante as ferramentas que existem para assaltar hardware a este nível.

https://www.youtube.com/watch?v=dT9y-KQbqi4

Edited;
Por exemplo, há uns anos eu ganhei uma pequena board de desenvolvimento num prqueno concurso em que participei.
Esta board tem um secure element: ATECC608A (que foi entretanto descontinuado e substituído pelo ATECC608B)

Nesta imagem, vez 3 pequenos chips à esquerda do chip central, com uma label que diz ECC608. Este é o secure element desta pequena board.


A datasheet deste secure element está neste link, para curiosidade: https://ww1.microchip.com/downloads/aemDocuments/documents/SCBU/ProductDocuments/DataSheets/ATECC608B-CryptoAuthentication-Device-Summary-Data-Sheet-DS40002239B.pdf

A página desta board está aqui: https://www.microchip.com/en-us/development-tool/AC164160

Senão me engano, os DevKits da Expressif, fabricante dos conecidos ESP32 que temos visto aí nos solo miners e algumas destas hardware wallets, senão me engano, não têm este secure element, pelo menos em separado. Podem ter um secure element embutido no chip principal, mas não tenho a certeza. Só indo consultar os datasheets desses DevKits!

Você pode ser mais claro do que quer dizer exatamente com ''elemento criptográfico para a gestão de todos os processos de criptografia dentro da wallet''

''elemento criptográfico é suposto estar isolado de todo o hardware''

O que é  ''elemento criptográfico para gestão de processos de criptografia''?

Quero entender exatamente do que você está falando, pra que eu possa entender exatamente qual diferença tão grande você está vendo entre os sistema. Realmente não consegui entender de qual elemento criptográfico em si você está se referindo.

Inclusive o próprio Tails já vem com uma Electrum pré instalada, mas eu não confio 100%, é sempre bom baixar novamente e se possível verificar


Quando eu utilizava esse processo de um OS bootavel pra criar algumas carteiras frias, eu preferia até baixar um linux mint ou ubuntu mesmo que é bem confiável, bastante pessoas verificam.
Depois fazia um update do sistema, baixava a Electrum e desconectava da internet, criava todas as carteiras, anotava num papel ou pen drive que não iria colocar em nenhum computador até o momento de fazer uma transferência, e apagava o pen drive.

Se você baixar tudo nos sites oficiais, fazer depois tudo offline e se saber verificar, deve ser muito difícil dar algum problema, nunca vi alguém perder carteira ou ser hackeado dessa forma.

Ahhh, meehhh. Isso não é uma hardware wallet. Uma hardware wallet é muito mais que isso. Mas ok, percebo o conceito. No mínimo, uma hardware wallet tem um elemento criptográfico para a gestão de todos os processos de criptografia dentro da wallet. E normalmente esse elemento criptográfico é suposto estar isolado de todo o hardware como medida de segurança contra hacks! Por isso é que estava a estranhar uma hardware wallet com Tails e Electrum.

A da LNBits não conhecia mas fiquei a conhecer. Mas gostava de ver a datasheet dela caso seja opensource! Mas ainda não encontrei os files.
Aqui fica o link da wallet da LNBits:
https://shop.lnbits.com/product/lnbits-bitcoin-hardware-wallet
https://youtu.be/rQMHzQEPwZY?si=mFueqIcMtmy91rk_
https://github.com/lnbits/watchonly

Se tu clicar no link que coloquei, vai conhecer kkk

Mas basicamente é o que o tg88 comentou. Usando o Tails em um pendrive, que é uma distribuição Linux focada em privacidade e anonimato, e baixando a electrum nele. Temos uma ''hardware wallet'' onde fica armazenada sua carteira de forma segura. É hardware wallet no sentido objetivo da palavra, já que é um dispositivo USB


A unica coisa que já achei e li até agora é no caso da pessoa baixar um Tails ou Electrum errado, já comprometido. Ai, não tem o que fazer né. Mas esse problema seria possivel em absolutamente qualquer caso que tu baixar um programa falso que seja pra usar programas envolvendo cripto né; E sim, verificar assinatura ja resolveria. Mas poucas pessoas fazem ne

É o processo de usar um pendrive para bootar com Tails e alterar a configuração de armazenamento da electrum ou a carteira que desejar para persistente. Eu particularmente não uso, mas considero uma boa prática. Também tenho curiosidade para saber se alguém sabe se historicamente este método já apresentou alguma vulnerabilidade, acredito que o ponto crucial é verificar assinatura do software após o download.

Como assim harware wallets, Tails e Electrum? Existe uma hardware wallet juntando Tails e Electrum? E onde entra aí um LNBits? O LNBits é um conjunto de aplicações, pricipalmente para Lightning Network. Também implementa wallets, mas não são hardware wallets! Ou então desconheço tais projectos... O que o LNBits tem mais próximo (que eu conheça) de hardware, são POSs!

Edited;
Ok, desconhecia da LNBits. De facto têm já uma extensão que permite aceder à hardware wallet deles e suporta também a Trezor!
Quando a Tails e Electrum, desconheço!

Esse ano rolou uma onda de novos projetos de DIY de hardwallets.

Particularmente, acho bem mais interessante do que os casos de hardwallet tradicional porque o usuário precisa entender os processos pra fazer.

Um projeto brasileiro interessante é o DEVCOIN, onde eles agregam informações sobre os projetos.

A opção mais popular do momento é da TAILS e Electrum. O que acham? Algum tem? Já pensaram em fazer? Quais as opniões sobre?

Veem algum risco adicional em detrimento aos projetos de hardwallets da Ledger/Trezor e etc?