Topic: Nano Ledger S iskustva (Read 20341 times)

Ja ne vjerujem da je bilo koji uredjaj 100% otporan na hakiranje pa tako sigurno nije niti Ledger X. Ali kada se radi o hakiranju preko BT onda su sanse zaista minimalne cak i ako je BT ukljucen i radimo transakcije. Privatni kljucevi niti u tome slucaju ne putuju BT vezom kao niti bilo kakvi osjetljivi podaci koji bi hakeru mogli omoguciti da dodje u priliku da hakira samo srce uredjaja koje se zove Secure Element.

Cak i u slucaju da haker uspije hakirati BT i doci u situaciju da vam ubaci nekakav malware koji bi mogao utjecati na transakcije, svaki korak bi i dalje zahtjevao da ga odobrite pritiskom na fizicku tipku - sto je jedna od najvecih osiguranja koje vam pruza ovakav uredjaj.

Za one koje zanima kako cijela stvar zapravo funkcionira postoji vrlo detaljno objasnjenje oko sigurnosti BT koji je implementiran u X.

https://www.ledger.com/ledger-nano-x-bluetooth-security-model-of-a-wireless-hardware-wallet

Potpuno potpisujem, napisao si to puno jednostavnije nego što bi ja, ali to je baš poanta svega. Moj hot wallet na mobitelu čak nema ni password kao ni sam mobitel ali na njemu nikada nema više od 200-300$ i rijetko kada duže jednog dana. To je rizik koji sam bez problema spreman preuzeti dok rizik da mi netko pristupi cold storage walletu i to čak dok on stoji u ladici ili sefu ma kako nevjerojatan bio, ne želim preuzeti.

Cuj, treba se pridrzavati jednoj jednostavnoj formuli:

rizik == sansa (da se nesto desi) x efekat (kada se to desi)

Znaci koliko god mala sansa da se nesto desi, ako je efekat jako velik mozda bi trebali dobro da razmislimo dali cemo se pridrzavati nekim pristupom ili drugim. I obrnuto (ako je efekat jako mal onda nije toliko bitna kolika je sansa da se to desi).


Svi telecom tornjovi u EU jednostavno se moraju pridrzavati 'legal intercept' dogovorima; to znaci sahranjivanje svih podataka za jedno (minimalno) odredjeno vrijeme, predavati te podatke ako oficijalna sluzba ih zatrazi u nekom (maksimalnom) roku, i nakon odredjenog (maksimalnog) vrijemena ponistavanje tih istih podataka. To je sto smo se jednostavno dogovorili u EU.

Daleko sam od stručnjaka za bluetooth tehnologiju ali prilično sam siguran da dometi i ograničenja koje ima naš mobitel ili ledger nisu zapisani u kamenu. Bluetooth je tehnologija remote pristupa i sada mi automatski računamo da nije uključena kada mi to ne želimo. Ja ne bi dao ruku u vatru kao ni za kameru na mobitelu ili laptopu. Nije poanta koliko je realan vektor napada, poanta je da on definitvno postoji. Meni osobno bluetooth nije potreban jer HW koristim rijetko tako da biram uređaj bez njega makar to značilo samo 0.0001% veću sigurnost.

Druga stvar, da li se sjećate push notifikacija preko bluetootha, ili kako se to već zove? Tada je aktualna bila neka starija verzija a svejdno ste mogli dobiti poruku s puno više od 10 metara udaljenosti. To je naprimjer koristio cinestar kod nas za nagradne igre za vrijeme projekcije dok sam vani čuo za primjere cijelih trgovačkih centara. Ne vjerujem da su imali odašiljače svakih 10 metara već mislim da su jednostavno imali neki puno jači odašiljač. Možda sam rekao glupost i tehnologija to jednostavno ne podržava ali meni je to puno logičnije objašnjenje.

Dosta off topic ali sam htio spomenuti. Jedan od napada na mobitele i ostale uređaje na koje pristupamo preko 3G/4G/5G je instaliranje dodatnog tornja npr. na aerodromu. Kada čovjek izađe iz aviona i uređaj počne tražiti signal automatski pokupi signal s tog tornja koji ga onda dalje preusmjerava na već neku mobilnu mrežu. To ne može napraviti običan haker ali obavještajne službe rade već odavno a korisnici nemaju pojma. Ja volim misliti da im nisam zanimljiv ali svejedno svi ti podaci ostanu negdje zapisani garant. Prostor je danas prokleto jeftin a informacije vrijede sve više. Doza zdrave paranoje ne može štetiti.

slazem se da BT ne bi trebao biti preveliki vektor napada, ali preciznosti radi, domet BT5.0 je oko 200 metara, a BT4.2 ima oko 60 metara (ne znam koju verziju podrzava model X)
sto dovodi do toga da napadac i ne mora biti bas tako blizu, odnosno ne mora biti u istom objektu gde je ledger da bi izvrsio napad, a to je bitna razlika u odnosu na 10 metara, gde prakticno morate biti u istoj prostoriji (pretpostavka je da neces izvaditi ledger X na livadi da bi napravio transakciju, nego u stanu/kuci)

Ma taj BT se potpuno krivo posvuda navodi kao jedna od losih strana modela X, ali ako uredaj koristis za desktop konekciju gdje je jedino i moguca zicna veza, onda taj vektor napada uopce nema smisla. Osim toga domet BT bi trebao biti oko 10 metara (tako barem kazu sluzbeno), pa bi napadac trebao biti stvarno blizu uredjaju da bih uopce nesto pokusao.

Nano X je definitivno ljepsi sto se tice dizajna, ovdje sam napravio malu usporedbu sa Nano S kada sam ga kupio, a osim toga meni je osobno i puno ugodniji za rad zbog vecega ekrana sto znaci da u odnosu na Nano S vidite cijelu adresu odjednom umjesto razlomljenu u cak 3 dijela.

Najbolji primjer koliko to moze biti korisno vidljiv je ovdje, a netko neoprezan bi vrlo lako mogao ne primjetiti da jedan znak iz adrese nedostaje (naravno bio je to bug sa Doge i Nano S).

---

Za one koji koriste Ledger Live na Windows je bitna informacija da verzija Ledger Live 2.29.0 ne prolazi kroz automatski update, te ju treba skinuti izravno sa Ledger stranice - link i obavijest se nalazi u Ledger Live (kliknuti na News (zvono) gore desno). Vise informaicja mozete procitati ovdje.

Bluetooth treba prvo upaliti na samom device-u da bi postao vektor napada. Znaci po defaultu ko da ga ni nema.
Meni osobno je X cak i fizicki ljepsi od S, tako da sam vise nego zadovoljan

Ja na Ledger wallet gledam kao na podrum u kući. Napraviš ga da imaš gdje ostaviti par stvari, a onda u njega nakrcaš stvari koje ćeš možda nekad u budućnosti koristiti i nije ti bitno da su ti dostupne odmah. Tako i Ledger - stavim na njega kriptovalute koje ću držati duže vrijeme i ne trebaju mi biti na dohvat ruke. Za to imam mobilni wallet. Kad nakon X godina ili mjeseci želim koristiti kriptovalutu spremljenu na Ledgeru, nije mi problem obrisati neki postojeći wallet i instalirati wallet kriptovalute koju trebam.
Slažem se da to možda nije najbolja poslovna odluka ali sigurno postoji neko racionalno objašnjenje iza nje. Sumnjam da su razmišljali na način - ajmo zeznuti korisnike i ograničiti harverski wallet na samo 2-3 walleta istovremeno.

Ledger NanoS ima ST31H320 secure element chip, a Ledger NanoX ima noviji ST33J2M0 chip koji ima bolji procesor, veću RAM memoriju i neka druga poboljšanja, ali oba su closed source, imaju potpisan NDA ugovor sa Ledgerom i mogu imati neki skriveni backdoor.
Mislim da je Bluetooth konekcija za hardverski novčanik rizična glupost i ja to ne bi koristio, mnogo bolja je komunikacija uredjaja QR kodovima ali ni to nije savršeno.

Doslovno ovo sam napisao kada smo prvi put razgovarali negdje o Nano x. Ako ti ne treba dodatni način konekcije puno bolje ga je i ne imati. Plaćaš ga više a jednog dana netko ga može iskoristiti protiv tebe. Još je i bežično što znači da ti netko ne treba ni fizički pristup uređaju. Ne hvala šta se mene tiče.

Stvar je u tome da mi ne treba. Nemam mnogo altcoina a da mi neko pištolj stavi na čelo nisam siguran da bi mogao nabrojati 100 različitih altcoina da sebi spasim život.

Nano X mi se ne sviđa zbog Bluetooth konekcije. Gledam na taj Bluetooth kao na jedan dodatni vektor napada koji bi se mogao nekad u budućnosti zloupotrijebiti za pristup uređaju. Svi tvrde da je siguran, da je to nemoguće, ali sve je nemoguće dok jedan dan ne postane moguće pa se svi pitaju kako. Chip u Nano X je nešto noviji i sigurniji od onog u Nano S, jel tako dkbit98? Sjećam se nekih starijih članaka u kojim je objašnjeno da bi Nano X u praksi bilo teže napasti. Malo veći i kvalitetniji ekran mi za sad nije razlog za upgrade.

Upgrejdaj se na Ledger X i neces imat takvih problema.
Mislim da mozes uz eth i btx jos cca 100 appova stavit na njega. Roka ko blesav

Mislim da Ledger to zove standalone i dependent apps, odnosno samostalne kripto aplikacije i nesamostalne aplikacije čiji rad zavisi od samostalnih.

BTC i ETH su samostalne. DOGE ili USDT (ERC-20) su nesamostalne i zahtjevaju kodnu bazu od BTC ili ETH aplikacije da bi funkcionisale. Nisam nikad eksperimentisao, ali ako koristiš neki ERC-20 token, po logici bi trebao samo imati ETH app instaliran. Ne vjerujem da bi Ledger tražio i BTC app. Isto tako ako koristiš DOGE ili Dash, morao bi imati samo BTC, bez ETH aplikacije. Valjda je tako... 

Kako možeš reć da ledger nije napravljen kao uređaj za čuvanje 2-3 kriptovalute ako si svjestan svega ovoga drugog što si napisao? Priznajem, možda bi bilo ispravnije napisati zamišljen ili projektiran umjesto napravljen.

Pa što ti to ne izgleda kao užasno loša poslovna odluka da smšljaš proizvod na kojem će netko čuvati 50 kriptovaluta i daš mu memorije samo za dve tri? Meni je to ko da prozvedeš auto koji reklamiraš kao limuzinu za dugačka putovanja i daš mu rezervar za domet od 60 km. Ionako imaš benzisku svakih 50km pa nek ljudi toče a tako su potrošnja i vozne karakteristike bolji jer je auto lakši.

Istina. Ako obrišeš wallet s uređaja, svejedno ti ostane u aplikaciji da možeš vidjeti stanje. Samo ne možeš slati s walleta sve dok ga ponovo ne instaliraš na uređaj. Meni je zapravo jedini problem Nano S uređaja što BTC i ETH walleti moraju biti instalirani da bi mogao instalirati neke druge wallete, a neki od njih su onda preveliki da ih instaliraš uz BTC i ETH wallet.

Ja mislim da su ovo sranje napokon riješili. Sad Ledger Live uvijek pokazuje onu vrijednost koju je tvoja transakcija imala u momentu slanja i to se ne mijenja. Taj dolarski iznos ostaje isti. Novost je to da sad možeš vidjeti dvije cifre: Vrijednost u vrijeme slanja i trenutna vrijednost onda kada provjeravaš. Pronađete jednu od svojih transakcija iz historijata, kliknete na nju i ispod iznosa imate uskličnik. Preletite mišem preko njega i pokazaće se ove dvije cifre.

I kad izbrišeš aplikaciju sa uređaja, u svom portfoliu i account sekciji bi i dalje trebao da imaš uvid u vrijednost i stanje tog kripta čiji si app izbrisao.

Upravo tako. Ledger Nano S kao uređaj je napravljen odlično i nikad nisam imao nikakvih problema. Problemi su bili isključivo s Ledger Live aplikacijom.

A to da je Ledger napravljen za čuvanje 2-3 kriptovalute se ne slažem. Istina, Nano S ima malo memorije ali nitko ti ne brani da obrišeš npr. Polkadot wallet nakon što na njega pošalješ DOT. Nakon što odlučiš prodati DOT s tog walleta, samo ga ponovo instaliraš na uređaj i nema problema. Wallet je uvijek isti bez obzira koliko puta ga instaliraš i obrišeš s uređaja.

Ovo što je slackovic opisao mislim da nema puno veze sa Ledger Nano i koliko memorije ima već je problem bio u Ledger Live aplikaciji u kombinaciji sa određenim tokenim na Ethereum mreži. Ledger Live je loše napravljena aplikacija i već je bilo raznih problema s njom, od problema sa pogrešnim prikazivanjem salda pa do problema prilikom ažuriranja firmware-a i drugih bugova.

Slična iskustva imam i ja. Četiri različita coina je najviše što sam imao na njemu. A trenutno ih imam samo tri. Sve radi kako treba.

Najveći problem sam imao kad je izašla neka problematična verzija LL-a. Njihovi serveri su tih nekoliko tjedana bili toliko opterečeni da nisam mogao da skinem update. Kliknuo bi na download dugme a trebalo bi nekoliko minuta da aplikacija uopšte registruje taj klik. Pa onda misliš da nisi dobro kliknuo pa klikneš i drugi i treći put, i tad se desi da u isto vrijeme krene download i update 2-3 verzije jedne te iste stvar. Pa zakoči ili se softver ugasi, javjaju se greške itd.

Jedna stvar koja me nervira kod slanja ETH preko LL-a je da se gwei može samo za 5 jedinica povečati ili smanjiti. Dakle, 5, 10, 15... gwei. MetaMask korisnicima tu daje dosta veću slobodu. 

Zato jer ledger nije napravljen kao wallet u kojem čuvaš hrpu coina i tokena. Da je, imao bi puno više memorije za aplikacije. Ledger je zamišljen kao sigurno rješenje za čuvanje 2,3 kripta. Sve ostalo je nabacano kasnije kako bi ulovili više tržišta. Često nabrzaka i bez dovoljno testiranja.

Ja ga recimo koristim samo za BTC, ETH i još 2 tokena na ETHu i to je to. Nikada nisam imao ni najmanjih problema s Ledgerom.