Pages:
Author

Topic: Ledger Recovery Seed ALERT - page 4. (Read 833 times)

legendary
Activity: 1862
Merit: 1327
May 25, 2023, 10:56:32 AM
#46
Ah sempre cose sui server degli altri, misa che non conviene a questo punto fidarsi o sto dicendo una castroneria?
In ogni caso costano parecchio oggi come oggi, non pare un investimento che puoi fare a cuore leggero.
hero member
Activity: 518
Merit: 625
Pizza Maker 2023 | Bitcoinbeer.events
May 24, 2023, 02:16:16 PM
#45

Al momento, in base a quanto ho letto, mi sta piacendo molto BitBox02:
- Ha il Secure Element
- È open source
- Ha 2 versioni, una solo BTC (in teoria meno codice = meno possibilità di hackeraggio) e una multi-currency
- Prezzo accettabile ($135)

Si anche io mi affido a Bitbox02 btc version e se non lo hai ancora acquistato usando il codice BIPSHOW ottieni una piccola percentuale di sconto e se usi il mio link affiliato mi riservi qualche spiccio Smiley

https://shiftcrypto.ch/bitbox02/?ref=REHlrSoi0w



L'altro che non mi dispiace è Jade ($64.99): https://store.blockstream.com/product/jade-hardware-wallet/

A differenza di altri hardware wallet non ha un SE fisico ma uno virtuale, qui ci sono più informazioni, devo ancora leggere però: https://help.blockstream.com/hc/en-us/articles/13745404122265-Does-Blockstream-Jade-have-a-secure-element-

È lo stesso Jade di questo thread, quindi se si ha dimestichezza si può ottenere lo stesso risultato con $10: https://bitcointalksearch.org/topic/m.62164600

No il Jade non ha il secure element fisico ma in parole povere ha un doppio PIN che uno risiede nell'hardware stesso l'altra parte sta hostato in qualche server Oracle ( o qualcosa di simile) e loro garantiscono che nel caso di un brute force l'attaccante anche se venisse in possesso del PIN non può farsene di niente perché manca l'altra parte a matchare lo sblocco, dunque mi sembra un ottima soluzione se non fosse che c'è sempre il trade-off del PIN hostato su un server di cui non hai accesso. Un'alternativa è buildare il firmware su una scheda esp32 come llygo e hostare il PIN su un proprio server o raspberry, se non vado errato però il device deve possedere una camera per scannerizzare il QR code se si adotta il doppio PIN.
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
May 24, 2023, 02:41:53 AM
#44
https://cointelegraph.com/news/ledger-recover-paused-code-will-open-source

clown, senza dubbio
forse non pensavano di prendere sleppe da olimpiadi e guiness dei primati
ma la fiducia e' come la verginita' quando e' andata, e' andata per sempre
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 23, 2023, 09:22:57 AM
#43
wow 135$ è un bell'investimento, dici che è totalmente opensource quindi si evita che facciano porcate?
The BitBox02 features a dual chip design with a secure chip. The source code has been independently audited by security researchers and is fully open source.

https://shiftcrypto.ch/bitbox02/#:~:text=The%20BitBox02%20features%20a%20dual,and%20is%20fully%20open%20source.

altrimenti sono soldi spesi che poi in futuro ti cadono dalle tasche come si dice qua al sud.
In teoria, come dicevo, esiste sempre il rischio che rilascino un nuovo firmware che permette l'esportazione del seed, anche se come abbiamo visto con Ledger fare una cosa del genere significa ammazzare il proprio business. In ogni caso basta aspettare ad installarlo per essere sicuri, qualcuno nel frattempo controllerà il codice.

non so, non ci sta niente a 50$?
L'altro che non mi dispiace è Jade ($64.99): https://store.blockstream.com/product/jade-hardware-wallet/

A differenza di altri hardware wallet non ha un SE fisico ma uno virtuale, qui ci sono più informazioni, devo ancora leggere però: https://help.blockstream.com/hc/en-us/articles/13745404122265-Does-Blockstream-Jade-have-a-secure-element-

È lo stesso Jade di questo thread, quindi se si ha dimestichezza si può ottenere lo stesso risultato con $10: https://bitcointalksearch.org/topic/m.62164600
legendary
Activity: 1862
Merit: 1327
May 23, 2023, 01:37:20 AM
#42
wow 135$ è un bell'investimento, dici che è totalmente opensource quindi si evita che facciano porcate?
altrimenti sono soldi spesi che poi in futuro ti cadono dalle tasche come si dice qua al sud.
non so, non ci sta niente a 50$?
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 22, 2023, 04:54:24 PM
#41
Interessantissima tabella comparativa del SE usato dai vari wallet, ignoravo l'esistenza di questo thread: https://bitcointalksearch.org/topic/m.55958659
Ultimo aggiornamento in data 2 gennaio 2023, quindi parecchio sul pezzo.

A questo punto mi rimane solo una domanda: se il SE è open source probabilmente è già stato controllato dalla community quindi a quel punto l'unico modo per estrarre le chiavi sarebbe attraverso un aggiornamento firmware, corretto? Aggiornamento firmware che a sua volta sarebbe open source e qui ci si ricollegherebbe al commento di un utente di Reddit che ho riportato qui sopra, ovvero di aspettare qualche mese prima di installare gli aggiornamenti per assicurarsi che non saltino fuori problemi. Quindi SE open source + aspettare ad installare l'ultimo firmware = non ci dovrebbero essere rischi?

Ale facci sapere quale prendi poi o su quale ti orienti e le motivazioni.
Non ho tempo di studiare e volevo prenderne uno, a questo punto evito proprio il ledger nano s che volevo prendere.
Grazie in anticipo per le tue ricerche Smiley è
Al momento, in base a quanto ho letto, mi sta piacendo molto BitBox02:
- Ha il Secure Element
- È open source
- Ha 2 versioni, una solo BTC (in teoria meno codice = meno possibilità di hackeraggio) e una multi-currency
- Prezzo accettabile ($135)
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 21, 2023, 11:16:59 AM
#40
Utilizzo questo post per riportare alcune info che ho trovato facendo un po' di ricerca, più che altro per capire meglio la situazione che si è venuta a creare con Ledger e, anche e soprattutto, per aiutare a comprendere meglio il funzionamento degli hardware wallet. Sono spezzoni di testo presi da alcuni siti e/o idee di alcuni utenti, io mi limito a riportarle con il link originale e poi ognuno si farà le proprie idee a riguardo.

Quote
What is a Secure Element?
A secure element (SE) is a dedicated microprocessor chip designed to securely store and process sensitive data and protect such as biometric and transactional information. They are commonly found in devices that hold important data like credit cards, SIM cards, and since the 2010s, hardware wallets.

The purpose of a secure element in a hardware wallet is to provide an additional layer of security that helps protect sensitive data, such as private keys, seed phrases, and other cryptographic information.

In the context of cryptocurrencies like Bitcoin and Ethereum, a secure element within a hardware wallet stores its private key and seed phrass, which are critical for authorizing transactions.

https://www.coolwallet.io/hardware-wallet-secure-element-complete-guide/


Quote
Why doesn’t Trezor have a secure element?
Trezor has defended its lack of a secure element countless times in the past, attributing it to various reasons such as the $5 Wrench attack (ie: the threat of physical violence trumps any wallet security measure), its open-source software, and greater flexibility.

Trezor uses a different approach to securing its hardware wallet. Rather than relying solely on a secure element, Trezor uses open-source firmware and advanced cryptography that are constantly audited and updated by a community of developers. This approach is designed to ensure that any vulnerabilities or weaknesses are quickly identified and addressed. Additionally, Trezor’s firmware is designed to run on a variety of devices, including those without a secure element, making it more versatile and accessible to a wider range of users.

Ledger very publicly disagrees with this assessment, even publicly attacking Trezor’s security flaws in 2019, and maintains that a secure element is an essential component for a hardware wallet to provide the highest level of security.

According to Ledger, Trezor’s lack of a secure element means that sensitive information can be more easily accessed by hackers or malware, making the hardware wallet less secure overall.

There is merit in both arguments. Ultimately, the choice between an open-source and closed-source hardware wallet comes down to your personal preference and the specific security features that each individual values most. You know which camp CoolWallet users are in.

https://www.coolwallet.io/hardware-wallet-secure-element-complete-guide/


Quote
OS and Apps

Contrary to what most people believe, the OS and apps run in the secure element. Again that chip is meant to defeat physical attacks. when Ledger updates the OS, or you update an app, the secure element gets modified. With the right permissions an app can access the seed. This has always been the case. Security of the entire system relies on software barriers that ledger controls in their closed source OS, and the level of auditing apps receive. This is also why firmware could always have theoretically turned the ledger into a device that can do anything, including exposing your seed phrase. The key is and has always been trust in ledger and it's software.

What changed

Fundamentally nothing has changed with the ledger hardware or software. The capabilities describes above have always been a fact and developers for ledger knew all this, it was not a secret. What has changed is that the ledger developers have decided to add a feature and take advantage of the flexibility their little computer provides, and people finally started to understand the product they purchased and trust factor involved.

What we learned

People do not understand hardware wallets. Even today people are buying alternatives that have the exact same flaws and possibility of rogue firmware uploads.

Open source is somewhat of a solution, but only in 2 cases 1. you can read and check the software that gets published, compile the software and use that. 2. you wait 6 months and hope someone else has checked things out before clicking on update.

The best of the shelve solutions are air-gapped as they minimize exposure. Devices like Coldcard never touch your computer or any digital device. the key on those devices can still be exported and future firmware updates, that you apply without thinking could still introduce malicious code and expose your seed theoretically.

https://www.reddit.com/r/CryptoCurrency/comments/13kdusd/hardware_wallets_here_are_the_facts/


Quote
What is an Air-Gapped Wallet?

Air-Gapped Wallets are Completely Disconnected from the Internet, Providing Additional Security
Air-gapped wallets are crypto wallets that are completely disconnected from the internet and any form of wireless communication. This generally means that they are disconnected from both traditional internet connections as well as Bluetooth, WiFi, NFC (near-field communication), and even USB drives.

In general, air-gapped wallets provide the highest level of security of all cryptocurrency wallets. Still, there are trade-offs, as air-gapped wallets can be much less convenient than a traditional desktop, mobile, or non-air-gapped hardware wallet. Some wallets can be considered partially air-gapped, as they provide a USB connection but no Bluetooth, WiFi, or NFC connection ability.

https://supraoracles.com/academy/what-is-an-air-gapped-wallet/


Quote
Passphrase: Ledger’s Advanced Security Feature

The passphrase is an advanced security feature that hardware wallets like the Ledger Nano X or Ledger Nano S can use. It adds an extra word of your own choosing to your already existing recovery phrase to unlock a brand-new set of accounts.

https://www.ledger.com/academy/passphrase-an-advanced-security-feature


Quote
The hardware wallet is just a medium to access the funds stored on the blockchain. If the device fails you can use the 24 word seedphrase to access the funds from a new hardware device, or a software device.

The easiest solution to mitigate risk is to use 1 seedphrase generated by the device. Keep 100$ or so on it and then generate a passphrase. This alters the entire wallet, giving you a new wallet using the 24 words + a passphrase. If you lose the seedphrase, your passphrase means nothing. If you lose the passphrase, you cannot access the funds behind it. Think of it as a hidden account.

Write the seedphrase down (24 words) and stamp it into titanium, steel washers, w.e you want, but duplicate it and give it to your TRUSTED friends and family. They now have access to the 100$ in the wallet but they won't be able to access your passphrase. To protect against brute forcing you may want to use a good passphrase that is greater than 15 characters. The passphrase (sometimes referred to as the 25th word) can be stored in your brain, but if you're concerned about forgetting, I think it's completely okay to use a password manager to store it. You could name it something unrelated to ledger/crypto and you'd be pretty hard pressed to have someone hack it. Some may disagree here, but unless you have millions, I think it's worth what little risk there is. Mainly because you would need to be compromised physically and digitally. Meaning, someone would have to steal your seedphrase from you or your trusted contacts AND "hack" your master password for the password manager (something like Bitwarden is good). To me, the risk there is low AND you're able to forget everything and still be able to recover what you need, as long as you don't forget the master password to your password manager AND there is a copy of your seedphrase available.

You can also have an infinite amount of passphrases (25th words) so you could use Stashimi!123Account1 and 1tnuouccA321!imihsatS and have 2 separate accounts.

Also, the original 100$ in the 24 word account, I think of it as the "base" account, is your "tell" that your words have been compromised. If a friend or family member compromises your seed, the first thing someone will do is sweep the funds. You can see that your funds have been removed, and quickly create a new wallet and move your funds from your passphrase accounts!

https://www.reddit.com/r/ledgerwallet/comments/ysqhis/comment/iw192f5/


Quote
What about the passphrase, can it be extracted?
Today: Apparently only the 24 words, not the 25th word is compatible with their new service.
Tomorrow: nothing is stopping Ledger from updating the firmware to change this.

https://www.reddit.com/r/Bitcoin/comments/13kdq9h/comment/jkjzq3y/
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 21, 2023, 10:44:31 AM
#39
andiamo con ordine
non andiamo in panico mode

1) ledger diventa pericoloso se
  a) aggiorni il firmware
  b) usi ledger live

quindi usare la combinazione di ledger + electrum mette al sicuro da ogni problema
l'origine dei mali e' ledger live

questo e' il mio verdetto, non andate in modalita fud e panico senza ragionare
Perché Ledger Live? Mica è solo un'interfaccia/app per interagire col Ledger, che in ogni caso non può essere compromesso tramite malware presenti su pc/smartphone? O intendevi dire il nuovo servizio offerto che si chiama Ledger Recover?

Ho letto la querelle di Ledger. Trovo veramente ripugnante e grottesco e suicida il comportamento della ditta francese. Io ho trezor, ma onestamente questa storia mi ha messo veramente in una situazione di allerta.
Sei al corrente dei problemi di sicurezza anche lato Trezor, vero?
hero member
Activity: 588
Merit: 617
not your keys not your coins
May 21, 2023, 03:10:13 AM
#38
Ho letto la querelle di Ledger. Trovo veramente ripugnante e grottesco e suicida il comportamento della ditta francese. Io ho trezor, ma onestamente questa storia mi ha messo veramente in una situazione di allerta.
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
May 21, 2023, 03:07:08 AM
#37
andiamo con ordine
non andiamo in panico mode

1) ledger diventa pericoloso se
  a) aggiorni il firmware
  b) usi ledger live

quindi usare la combinazione di ledger + electrum mette al sicuro da ogni problema
l'origine dei mali e' ledger live

questo e' il mio verdetto, non andate in modalita fud e panico senza ragionare
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 20, 2023, 03:41:12 PM
#36
Piuttosto che non aggiornate incominciate a cercare un altro hardware wallet che sia bitbox, che sia coldcardo jade spostate tutto e gettate il ledger che tanto a questo punto non c'è nessuna garanzia nessuna che il firmware non sia in grado di bloccare il conto anche senza aggiornamento.
Io non sono un esperto hardware ma il problema di fondo non sta mica nel Secure Element? Mi pare di capire che anche i wallet open source abbiano il SE closed source alla fine, quindi qualsiasi wallet con il SE si basa sulla fiducia (e speranza) che non facciano cose sporche con l'hardware, o ho capito male?

Sul sito Jade c'è una interessante tabella comparativa con Ledger, Coldcard e Trezor: https://blockstream.com/jade/

Trezor non presenta un SE ma come detto è possibile estrarre la chiave se si entra fisicamente in possesso del device; Coldcard (come Ledger) ha un SE quindi non mi sembra un cambio che valga la pena; rimane Jade che riporta questa nota: Jade's security model simulates the protection of a secure element and is therefore not vulnerable to physical attacks.

Chiedo ai più esperti, @mendace in testa, cosa ne pensate.
hero member
Activity: 518
Merit: 625
Pizza Maker 2023 | Bitcoinbeer.events
May 20, 2023, 03:00:10 PM
#35
https://twitter.com/masonversluis/status/1659769485761613826?s=46&t=MP8iPfJ_s5S9WYEV9pBZBA


Tutto torna, hanno ammesso che per gli usufruitori del servizio il governo può confiscare le chiavi private.
Sono stati "consigliati" da loro praticamente.

non aggiornate il firmware

Piuttosto che non aggiornate incominciate a cercare un altro hardware wallet che sia bitbox, che sia coldcardo jade spostate tutto e gettate il ledger che tanto a questo punto non c'è nessuna garanzia nessuna che il firmware non sia in grado di bloccare il conto anche senza aggiornamento.
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 20, 2023, 10:29:46 AM
#34
https://twitter.com/masonversluis/status/1659769485761613826?s=46&t=MP8iPfJ_s5S9WYEV9pBZBA


Tutto torna, hanno ammesso che per gli usufruitori del servizio il governo può confiscare le chiavi private.
Sono stati "consigliati" da loro praticamente.

non aggiornate il firmware
Non che sia una sorpresa ma ammetto che fa strano vedere che effettivamente lo abbiano confermato, devono aver capito che sono veramente con le spalle al muro.
legendary
Activity: 1862
Merit: 1327
May 20, 2023, 04:08:28 AM
#33
ok, cancello dalla lista ledger nano
stavo aspettando qualche offerta e invece, meglio almeno non ho speso soldi per niente!
grazie a tutti per gli aggiornamenti

il forum fa schifo a livello di uso semplice per utonti, ma se impari a usarlo ci sono tantissime cose utili da leggere
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
May 20, 2023, 03:20:29 AM
#32
https://twitter.com/masonversluis/status/1659769485761613826?s=46&t=MP8iPfJ_s5S9WYEV9pBZBA


Tutto torna, hanno ammesso che per gli usufruitori del servizio il governo può confiscare le chiavi private.
Sono stati "consigliati" da loro praticamente.

non aggiornate il firmware
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 19, 2023, 04:50:47 PM
#31
in fin dei conti cosa ci ripetiamo da anni? Don't trust, verify. E lo abbiamo fatto? No.
Dal thread di Reddit linkato da @fillippone:

Quote
in 2022 a marketing executive tweeted "A firmware update cannot extract the seed from the Secure Element". It's not a lie, but it's missing "as long as you are trusting Ledger".

Cosa c'è da verificare? È sempre stata una possibilità allora, d'altra parte chi poteva provare il contrario? Oggi controlli e va bene, vai a dormire e ti svegli con un aggiornamento firmware che potrebbe fare cose diverse, o magari semplicemente è sempre stato possibile, chi lo sa? Potenzialmente qualsiasi cosa potrebbe essere malevola, è umanamente possibile verificare ogni aggiornamento di ogni device elettronico che si possiede che varia da un qualcosa che si può tenere in tasca fino ad arrivare ad automobili o sistemi di allarme? Io direi di no. A volte mi pare che si sfoci nella fantascienza.
hero member
Activity: 518
Merit: 625
Pizza Maker 2023 | Bitcoinbeer.events
May 19, 2023, 04:21:36 PM
#30
se sono una azienda di merda, basta cambiare e passare avanti, ce ne faremo una ragione
Si, certo, però ora uno si ritrova con delle supposte pagate centinaia di euro...
Beh, in questo caso meglio prendere delle precauzioni per evitare danni maggiori no?
Se hai speso 100 euro per comprare il ledger, è la probabilità di essere colpito da un loro firmware malevolo è dell’ 1% vuol dire che bastano 10,000 euro di controvalore per essere "preoccupati".
Fatevi i vostri conti.
Non sto dicendo di rischiare, sto dicendo che la frase "basta cambiare e passare avanti" non ha molto senso perché ci si ritrova ad aver pagato un qualcosa che ora non va più bene. Se andassi al supermercato e comprassi 300 euro di spesa per poi scoprire che è tutto scaduto e devi buttare via tutto saresti contento se ti rispondessi con un "cambia supermercato la prossima volta"?

Il cambio andrà fatto ma come tutte le cose ha un costo sia in termini di soldi che di tempo. Tra l'altro stavo leggendo che Trezor presenta delle vulnerabilità, quindi bisogna fare una ricerca approfondita di che altri hardware offre il mercato perché, io almeno, non li conosco se non per sentito nominare.

Ok fa male aprire una mail e ritrovarsi con le convinzioni di ieri screditate oggi ma come sempre ci siamo fidati di un'azienda che ha fatto business sulle buzz word Bitcoin, Blockchain, security, ecc... e non possiamo incolpare nessuno se non noi stessi che siamo stati cechi, in fin dei conti cosa ci ripetiamo da anni? Don't trust, verify. E lo abbiamo fatto? No. E puntualmente l'azienda centralizzata di turno che ha deciso di tenersi il firmware closed ha cambiato le carte in tavola e noi ci ritroviamo dei plug anali al posto di hardware wallet. Per concludere ancora una volta Bitcoin ci ha insegnato a non fidarsi di nessuno e che n l'avidità non ripaga, perché vedi un servizio cloud a pagamento che pensavi che fosse il cavallo di battaglia si è rivelato il cavallo di Troia.
legendary
Activity: 2380
Merit: 17063
Fully fledged Merit Cycler - Golden Feather 22-23
May 19, 2023, 04:00:15 PM
#29
Sarebbe il caso che facessi la recensione del Jade.
Non sarebbe male come idea, se solo non avessi un monte di cose da fare… ed ho appena perso un paio di ore di lavoro sul thread meta…
legendary
Activity: 2576
Merit: 2880
Catalog Websites
May 19, 2023, 03:19:49 PM
#28
Ale facci sapere quale prendi poi o su quale ti orienti e le motivazioni.
Non ho tempo di studiare e volevo prenderne uno, a questo punto evito proprio il ledger nano s che volevo prendere.
Grazie in anticipo per le tue ricerche Smiley è
Prima cosa voglio approfondire meglio la situazione Ledger, ho aperto il thread che ha linkato @fillippone ma devo leggerlo con calma, nella sezione Ledger di Reddit ci sono vari thread interessanti da leggere.
In ogni caso mi informerò anche per altri hardware wallet però da quello che ho capito con il poco di ricerca fatta fino ad ora alla fine anche per quelli open source bisogna fidarsi perché in realtà non sono completamente open source, quoto @mendace:

In linea di massima ogni hardware wallet che sia anche open source SE è presente il secure element non sarà completamente open source perché il firmware del chip è al 99% closed....io (parlo personalmente) non conosco nessuno che abbia rilasciato
il firmware.

Insomma da qualunque lato si guardi questa vicenda e il mondo hardware wallet in generale alla fine si arriva sempre al fattore fiducia. Questa mattina avevo visto uno spezzone di un video di The Crypto Gateway e faceva il paragone con l'iPhone, nel senso che tu ti fidi di Apple e confidi nel fatto che non utilizzino le informazioni che tu metti nel telefono, tipo le carte di credito.
legendary
Activity: 1862
Merit: 1327
May 19, 2023, 02:14:54 PM
#27
Ale facci sapere quale prendi poi o su quale ti orienti e le motivazioni.
Non ho tempo di studiare e volevo prenderne uno, a questo punto evito proprio il ledger nano s che volevo prendere.
Grazie in anticipo per le tue ricerche Smiley è
Pages:
Jump to: