Pages:
Author

Topic: Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet (Read 26706 times)

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Странная у них нумерация моделей: Было три, теперь пятый, а где четвертый? Smiley
Эта модель, как я понимаю, заменит Trezor T, стоить, видимо, будет тоже соответственно. Не знаю, посмотрим. Из трезоров мне больше всех нравится первый, несмотря на его недостатки - это до сих пор самый открытый и понятный мультивалютный аппаратник.
hero member
Activity: 1680
Merit: 987
#SWGT CERTIK Audited
Trezor выпустил новый аппаратный криптокошелек Safe 5
".....
Гаджет оснащен увеличенным цветным сенсорным экраном с тактильной обратной связью, а также новым защищенным элементом, предназначенным для хранения конфиденциальной информации и выполнения транзакций. В устройстве усовершенствовали процесс резервного копирования.

В отличие от Ledger кошельки Trezor имеют открытый исходный код.

«Резервная копия создается с применением разделения секретов Шамира для разбивки главного секретного ключа на несколько уникальных долей. Клиенты смогут сами определить, из скольких оригинальных частей будет состоять расширенная резервная копия и сколько их нужно для восстановления кошелька. Даже если некоторые доли будут утеряны, пользователи все равно смогут получить доступ к своим криптовалютам», — пояснила команда."

hero member
Activity: 714
Merit: 1298
В каскад кошельков, отказавшихся в последнее время от поддержки CoinJoin попал и Trezor: согласно официальнму заявлению поддержка этой технологии смешивания монет  в Trezor Suite будет прекращена с 1 июня сего 1984  Cheesy, 2024 года, .

Вообще этот шаг со стороны разработчиков Trezo вполне ожидаемый, ввиду того, что их партнёркой по CoinJoin был zkSNACKs, который объявил о том же чуть-чуть раньше.

legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
Разработчики трезора предлагают переходить на винду?  Smiley

Я тоже не могу поженить со Sparrow самопальный Jade на Kubuntu. Причем программа девайс видит, потому что проходит процесс ввода пина (в Jade пин запрашивается при контакте с их сервером через софт кошелька), а дальше при попытке подписи транзакции выдает такое окно:

С Electrum и родным Green таких проблем нет, поэтому есть подозрение, что это скорее что-то со Sparrow, чем с девайсом или udev.
С родным Trezor Suite App аппаратный кошелек тоже не хочет работать, и собственно именно там я и обнаружил список советов как решить проблему с подключением. Про Windows там написано примерно такое: если вам не помогает предыдущие советы, то попробуйте подключить кошелек к машине с виндой и установленном Trezor Bridge. Вот это не совсем понятно: Trezor Suite App сам устанавливает Trezor Bridge и затем использует его под капотом для установления связи с аппаратным кошельком. Но зачем советовать ставить его отдельно и будет ли эта связка работать со сторонними кошельками?
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Сейчас столкнулся с проблемой: Trezor не хочет работать в паре со Sparrow Wallet на Ubuntu и Linux Mint, но возможно эта неприятность встречается и на других дистрибутивах. Симптомы такие: подключаешь аппаратник через USB, вводишь PIN и дальше ничего кроме зависшего экрана аппаратника. В Sparrow Wallet при попытке сканировать кошелек выдает что-то вроде "Can't parse JSON". Иногда проблема лечится установкой вот этого пакета https://trezor.io/learn/a/udev-rules но может и не повезти. Сами разработчики предлагают в этом случае переходить на винду.
Разработчики трезора предлагают переходить на винду?  Smiley

Я тоже не могу поженить со Sparrow самопальный Jade на Kubuntu. Причем программа девайс видит, потому что проходит процесс ввода пина (в Jade пин запрашивается при контакте с их сервером через софт кошелька), а дальше при попытке подписи транзакции выдает такое окно:



С Electrum и родным Green таких проблем нет, поэтому есть подозрение, что это скорее что-то со Sparrow, чем с девайсом или udev.
legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
Сейчас столкнулся с проблемой: Trezor не хочет работать в паре со Sparrow Wallet на Ubuntu и Linux Mint, но возможно эта неприятность встречается и на других дистрибутивах. Симптомы такие: подключаешь аппаратник через USB, вводишь PIN и дальше ничего кроме зависшего экрана аппаратника. В Sparrow Wallet при попытке сканировать кошелек выдает что-то вроде "Can't parse JSON". Иногда проблема лечится установкой вот этого пакета https://trezor.io/learn/a/udev-rules но может и не повезти. Сами разработчики предлагают в этом случае переходить на винду.
sr. member
Activity: 504
Merit: 433
Да это практически нереальная ситуация, ну кто там будет вас проверять так, чтоб и пин код вводить на каких то "флешках".
Все такие штуки могут быть только по наводке, когда за челом изначаллно идет слежка и соответственно указилово его обшмонать с ног до головы.  Ну тогда может быть и до флешек дойдет.
А если у вас в мозгу все ваши эти 12 или 24 слова, то это вообще ну просто никак,  хотя если по наводке, и уже не таможня а другие ребятки,  да как пару десятилетий назад еще и с паяльником, то наверное и это тоже получается без 100% гарантии.
Так что мультиподпись дело наверное хорошее, но только когда вторая подпись тусит где-то наверное в одиноко стоящем ранчо в горах Аргентины   Smiley

Если речь уже пошла о других ребятах, то до аэропорта они затягивать не будут, а возьмут там где им будет это удобно без камер наблюдения, и в этом случае пин-код вы назовете очень быстро. А вот сид это не так просто, мало кто ходит с аппратником и помнит на память все 24 слова своих сид-фраз.

Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.
Я даже когда обращалась в поддержку леджера, (а поначалу, это было очень часто, поскольку вопрос у меня было много) то я создала отдельный мейл для этого дела. Свой личный мейл лучше не светить нигде, так безопаснее, а потом этот вторичны мейл забывается, поскольку нужды в нем нету и даже если туда что то прилетит, то не будет соблазна это открывать.
legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту? Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков. Те аналогично например спаму о верификации Metamask или несанкционированному доступу в Trust Wallet.
Электронные адреса указываются (обязательное поле) только при покупке аппаратного кошелька или другой продукции через официальный сайт Trezor, но в компании утверждают, что эта информация хранится непродолжительное время. Также при покупке кошелька можно поставить галочку "подписаться на рассылку" или это можно сделать позже через специальную форму. Вот адреса рассылки хранятся, естественно, все время пока вы подписаны, и в данном случае хакер получил доступ и к самим адресам, и к домену, с которого рассылка производилась. Являются ли эти электронные адреса по совместительству адресами владельцев аппаратных кошельков неизвестно, но по логике часть из них точно поставила галочку при покупке.
hero member
Activity: 1680
Merit: 987
#SWGT CERTIK Audited
Ну мне часто приходиться летать вместе с кошельками.  Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать  мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в  Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию  на  наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.
Это нужно чтобы таможенник был прошаренный и чтобы у него был предлог попросить вас ввести пин код.

Мне не доводилось видеть, чтобы в аэропорту просили кого то вводить пин код, или хотели посмотреть телефон, или другие личные вещи, хотят возможно если для этого есть предлог, то это будут делать не при всех, а где то в отдельной комнате. В основном просто сумочку в лоток ставишь (а все самое ценное в сумочке), они просканируют посмотрят и даже сумочку открыть не просят. Единственный раз за всю жизнь с Египта возвращались, у меня все проверили, каждый кармашек и в сумочке и в рюкзаке, но в итоге просто посмотрели и все, а так без проблем.
Да это практически нереальная ситуация, ну кто там будет вас проверять так, чтоб и пин код вводить на каких то "флешках".
Все такие штуки могут быть только по наводке, когда за челом изначаллно идет слежка и соответственно указилово его обшмонать с ног до головы.  Ну тогда может быть и до флешек дойдет.
А если у вас в мозгу все ваши эти 12 или 24 слова, то это вообще ну просто никак,  хотя если по наводке, и уже не таможня а другие ребятки,  да как пару десятилетий назад еще и с паяльником, то наверное и это тоже получается без 100% гарантии.
Так что мультиподпись дело наверное хорошее, но только когда вторая подпись тусит где-то наверное в одиноко стоящем ранчо в горах Аргентины   Smiley
sr. member
Activity: 504
Merit: 433
Ну мне часто приходиться летать вместе с кошельками.  Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать  мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в  Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию  на  наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.
Это нужно чтобы таможенник был прошаренный и чтобы у него был предлог попросить вас ввести пин код.

Мне не доводилось видеть, чтобы в аэропорту просили кого то вводить пин код, или хотели посмотреть телефон, или другие личные вещи, хотят возможно если для этого есть предлог, то это будут делать не при всех, а где то в отдельной комнате. В основном просто сумочку в лоток ставишь (а все самое ценное в сумочке), они просканируют посмотрят и даже сумочку открыть не просят. Единственный раз за всю жизнь с Египта возвращались, у меня все проверили, каждый кармашек и в сумочке и в рюкзаке, но в итоге просто посмотрели и все, а так без проблем.
hero member
Activity: 714
Merit: 1298
Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

Ушла база тех, кто подписался на рассылку новостей от Трезора.

Официалы от Трезора сообщают, что для рассылки использовался сторонний е-mail сервер и рассылка фишинговых писем шла именно через этот сервер.

То ли сервер был взломан, то ли  сам "взломщик" сидит внутри компании, предоставляющей Трезору услуги по рассылке, не ясно.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту?
Конечно нет - ни почта, ни какие-либо другие данные пользователя никуда не вводятся.
Quote
Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков.
Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.
legendary
Activity: 2492
Merit: 1215
Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту? Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков. Те аналогично например спаму о верификации Metamask или несанкционированному доступу в Trust Wallet.
legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
Тем временем история со слитыми электронными адресами продолжается: https://www.nobsbitcoin.com/trezor-warns-of-emails-impersonating-trezor-sent-from-a-its-third-party-email-provider/ Хакеры получили доступ к базе данных с электронными адресами подписчиков на рассылку, а также к реальному домену Trezor у стороннего провайдера, которого они собственно и используют для рассылки. То есть, пришедшие письма были очень похожи на "официальные" и могли привести к потере средств для многих пользователей. Я, кстати, тоже получил такое письмо, но заметил это только после вышедшей новости. Содержание письма довольно стандартное: "мы что-то там обновляем и если вы не обновите тоже, то потеряете средства" и естественно прилагается фишинговая ссылка, где просят ввести сид-фразу от кошелька.
hero member
Activity: 1680
Merit: 987
#SWGT CERTIK Audited

Да вообще то я так и делал последние пару раз, сначала консолидировал в один адрес без сид, просто на  приваткей. И все дела. Ведь если это нал, то надо заказать заранее, примерно сумма известна сколько надо им отправить. Но я это делаю как раз в офисе
Вот этим мне и не нравится обмен криптовалюты на наличку. Все будут знать когда, куда и с какой суммой вы придете - полное отсутствие анонимности и безопасности.
Есть такое дело.
Но я им пачпорт то не показываю, говорю, что "Сергей Михалыч"  пришел  ну только разве что по видеокамерам с помощью AI  и баз данных наверное могут вычислить кто такой, откудова. Да кто ж его знает оно им надо, хренью такой маяться ?

Наверное на карту бомжа с обналом потом в банкомате на вокзале  и в медицинской маске оно конечно лучше будет, но надо же бомжа в банк затащить, что совсем не легко, как я понимаю.    Grin
А все иное это отнюдь не анонимное, а так себе варианты.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange

Интересно, в каких еще ситуациях эта фича может быть полезна?

Ну мне часто приходиться летать вместе с кошельками.  Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать  мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в  Passport её нет.
Мне кажется, в такой ситуации парольная фраза будет лучше. То есть на голой сид-фразе пусто, а всё лежит на какой-нибудь простенькой пассфразе, типа "5349" (чтобы быстро набиралась, против таможенника сложнее и не надо). А если у вас только мультисиг-сетап, то и этого не нужно.
Думал поначалу предложить три раза ввести неверный пин для сброса (как в леджере или джейд), но, погуглив, увидел, что в Passport на ввод пин-кода дается 21 попытка и, оказывается, после этого там происходит не сброс/вайп, а девайс превращается в кирпич  Shocked.
hero member
Activity: 714
Merit: 1298

Интересно, в каких еще ситуациях эта фича может быть полезна?

Ну мне часто приходиться летать вместе с кошельками.  Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать  мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в  Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию  на  наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Вторая половина января 2024 года принесла  обновление Trezor Suite, версия  которого была повышена до  24.1.2.

Помимо множества исправлений и небольшого улучшенийя в нем появилась относительно  новая (для большинства аппаратников) функция, а именно «стирание кода»,
Она новая в интерфейсе Trezor Suite, но в прошивке существует уже почти 4 года, тогда пользоваться ей можно было только с помощью консольной утилиты trezorctl, что для некоторых пользователей было сложно.
Quote
При вводе этого стирающего  PIN-кода, вместо получения доступа к области данных, кошелёк  полностью её  "обнуляет"

На мой взгляд неплохая фишка для случай  экстренных ситуаций.
Я только одну ситуацию представляю, типа приставили нож к горлу, требуя пин, а ты вместо настоящего пина говоришь стирающий, они вводят, и тут трезор пишет: "Вы ввели стирающий пин, все данные уничтожены" Grin. По крайней мере еще недавно именно это и писало. Для сравнения - Jade в этом месте выдаёт "Internal Error", и мне это намного больше нравится. Трезоровцы, видимо, считают, что грабителям лучше прямо дать понять, чтобы зря жертву не пытали ).
Интересно, в каких еще ситуациях эта фича может быть полезна? Потому что для описанной мной она, имхо, не очень подходит.
hero member
Activity: 714
Merit: 1298
Вторая половина января 2024 года принесла  обновление Trezor Suite, версия  которого была повышена до  24.1.2.

Помимо множества исправлений и небольшого улучшения в нём появилась относительно  новая (для большинства аппаратников) функция, а именно «стирание кода»,

При вводе этого стирающего  "PIN"-кода, вместо получения доступа к области данных, кошелёк  полностью её  "обнуляет".

На мой взгляд неплохая фишка для случай  экстренных ситуаций.
legendary
Activity: 2450
Merit: 4415
🔐BitcoinMessage.Tools🔑
Необязательно. Я больше подразумевал уязвимость, позволяющую украсть монеты без физического доступа. Раз мы в теме о трезоре, то нелишним будет отметить, что по этому пункту Trezor One и T, пожалуй, одни из лучших кошельков, так как в них всё, насколько возможно, открыто и давно проверяется. Следующим за ними я бы назвал Jade, он хуже только тем, что еще сравнительно молодой и не такой популярный.
Не понимаю, о какого рода атаках идет речь, все взломы что я видел были с физическим доступом и скорее проводились в качестве эксперимента в лаборатории с соответствующим оборудованием. Насчет Jade кстати не уверен, возможно как раз к нему можно подобраться через удаленный PIN сервер, но это надо подробнее изучить.

Quote
У легкомысленного пользователя да. В общем, эта сторона безопасности в руках юзера - если постарается, то будет неуязвим.
Главное, чтобы неуязвимость не была как в анекдоте про неуловимого Джо.

Quote
Конечно, эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен. Но и простой горячий кошелек на отдельном устройстве с чистой системой и с ответственным пользователем скорее всего тоже никогда не будет украден, однако люди предпочитают хранение на холодных кошельках. Потому что так спокойней. С мультиподписным кошельком этой уверенности еще больше, вот и всё.
Аппаратные кошельки просто удобнее и не требуют придумывания изощренных приемов для сохранения своей крипты, а любое усложнение делает их менее удобными, но при правильном подходе еще более безопасными. Для большинства пользователей баланс безопасности и удобства, который обеспечивает обычный одноподписной кошелек, будет оптимальным.
Pages:
Jump to: