Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on January 26, 2024, 02:19:34 PM

Разработчики трезора предлагают переходить на винду?

Я тоже не могу поженить со Sparrow самопальный Jade на Kubuntu. Причем программа девайс видит, потому что проходит процесс ввода пина (в Jade пин запрашивается при контакте с их сервером через софт кошелька), а дальше при попытке подписи транзакции выдает такое окно:

С Electrum и родным Green таких проблем нет, поэтому есть подозрение, что это скорее что-то со Sparrow, чем с девайсом или udev.

С родным Trezor Suite App аппаратный кошелек тоже не хочет работать, и собственно именно там я и обнаружил список советов как решить проблему с подключением. Про Windows там написано примерно такое: если вам не помогает предыдущие советы, то попробуйте подключить кошелек к машине с виндой и установленном Trezor Bridge. Вот это не совсем понятно: Trezor Suite App сам устанавливает Trezor Bridge и затем использует его под капотом для установления связи с аппаратным кошельком. Но зачем советовать ставить его отдельно и будет ли эта связка работать со сторонними кошельками?

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: witcher_sense on January 26, 2024, 12:24:23 PM

Сейчас столкнулся с проблемой: Trezor не хочет работать в паре со Sparrow Wallet на Ubuntu и Linux Mint, но возможно эта неприятность встречается и на других дистрибутивах. Симптомы такие: подключаешь аппаратник через USB, вводишь PIN и дальше ничего кроме зависшего экрана аппаратника. В Sparrow Wallet при попытке сканировать кошелек выдает что-то вроде "Can't parse JSON". Иногда проблема лечится установкой вот этого пакета https://trezor.io/learn/a/udev-rules но может и не повезти. Сами разработчики предлагают в этом случае переходить на винду.

Разработчики трезора предлагают переходить на винду?

Я тоже не могу поженить со Sparrow самопальный Jade на Kubuntu. Причем программа девайс видит, потому что проходит процесс ввода пина (в Jade пин запрашивается при контакте с их сервером через софт кошелька), а дальше при попытке подписи транзакции выдает такое окно:

С Electrum и родным Green таких проблем нет, поэтому есть подозрение, что это скорее что-то со Sparrow, чем с девайсом или udev.

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Сейчас столкнулся с проблемой: Trezor не хочет работать в паре со Sparrow Wallet на Ubuntu и Linux Mint, но возможно эта неприятность встречается и на других дистрибутивах. Симптомы такие: подключаешь аппаратник через USB, вводишь PIN и дальше ничего кроме зависшего экрана аппаратника. В Sparrow Wallet при попытке сканировать кошелек выдает что-то вроде "Can't parse JSON". Иногда проблема лечится установкой вот этого пакета https://trezor.io/learn/a/udev-rules но может и не повезти. Сами разработчики предлагают в этом случае переходить на винду.

Lannakosa

sr. member

Activity: 490

Merit: 379

Quote from: BVeyron on January 25, 2024, 04:46:47 PM

Да это практически нереальная ситуация, ну кто там будет вас проверять так, чтоб и пин код вводить на каких то "флешках".
Все такие штуки могут быть только по наводке, когда за челом изначаллно идет слежка и соответственно указилово его обшмонать с ног до головы. Ну тогда может быть и до флешек дойдет.
А если у вас в мозгу все ваши эти 12 или 24 слова, то это вообще ну просто никак, хотя если по наводке, и уже не таможня а другие ребятки, да как пару десятилетий назад еще и с паяльником, то наверное и это тоже получается без 100% гарантии.
Так что мультиподпись дело наверное хорошее, но только когда вторая подпись тусит где-то наверное в одиноко стоящем ранчо в горах Аргентины

Если речь уже пошла о других ребятах, то до аэропорта они затягивать не будут, а возьмут там где им будет это удобно без камер наблюдения, и в этом случае пин-код вы назовете очень быстро. А вот сид это не так просто, мало кто ходит с аппратником и помнит на память все 24 слова своих сид-фраз.

Quote from: igor72 on January 25, 2024, 07:38:48 AM

Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

Я даже когда обращалась в поддержку леджера, (а поначалу, это было очень часто, поскольку вопрос у меня было много) то я создала отдельный мейл для этого дела. Свой личный мейл лучше не светить нигде, так безопаснее, а потом этот вторичны мейл забывается, поскольку нужды в нем нету и даже если туда что то прилетит, то не будет соблазна это открывать.

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Quote from: bakasabo on January 25, 2024, 07:14:01 AM

Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту? Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков. Те аналогично например спаму о верификации Metamask или несанкционированному доступу в Trust Wallet.

Электронные адреса указываются (обязательное поле) только при покупке аппаратного кошелька или другой продукции через официальный сайт Trezor, но в компании утверждают, что эта информация хранится непродолжительное время. Также при покупке кошелька можно поставить галочку "подписаться на рассылку" или это можно сделать позже через специальную форму. Вот адреса рассылки хранятся, естественно, все время пока вы подписаны, и в данном случае хакер получил доступ и к самим адресам, и к домену, с которого рассылка производилась. Являются ли эти электронные адреса по совместительству адресами владельцев аппаратных кошельков неизвестно, но по логике часть из них точно поставила галочку при покупке.

BVeyron

hero member

Activity: 1610

Merit: 879

#SWGT CERTIK Audited

Quote from: Lannakosa on January 25, 2024, 10:49:40 AM

Quote from: satscraper on January 24, 2024, 12:07:46 PM

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию на наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.

Это нужно чтобы таможенник был прошаренный и чтобы у него был предлог попросить вас ввести пин код.

Мне не доводилось видеть, чтобы в аэропорту просили кого то вводить пин код, или хотели посмотреть телефон, или другие личные вещи, хотят возможно если для этого есть предлог, то это будут делать не при всех, а где то в отдельной комнате. В основном просто сумочку в лоток ставишь (а все самое ценное в сумочке), они просканируют посмотрят и даже сумочку открыть не просят. Единственный раз за всю жизнь с Египта возвращались, у меня все проверили, каждый кармашек и в сумочке и в рюкзаке, но в итоге просто посмотрели и все, а так без проблем.

Да это практически нереальная ситуация, ну кто там будет вас проверять так, чтоб и пин код вводить на каких то "флешках".
Все такие штуки могут быть только по наводке, когда за челом изначаллно идет слежка и соответственно указилово его обшмонать с ног до головы. Ну тогда может быть и до флешек дойдет.
А если у вас в мозгу все ваши эти 12 или 24 слова, то это вообще ну просто никак, хотя если по наводке, и уже не таможня а другие ребятки, да как пару десятилетий назад еще и с паяльником, то наверное и это тоже получается без 100% гарантии.
Так что мультиподпись дело наверное хорошее, но только когда вторая подпись тусит где-то наверное в одиноко стоящем ранчо в горах Аргентины

Lannakosa

sr. member

Activity: 490

Merit: 379

Quote from: satscraper on January 24, 2024, 12:07:46 PM

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию на наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.

Это нужно чтобы таможенник был прошаренный и чтобы у него был предлог попросить вас ввести пин код.

Мне не доводилось видеть, чтобы в аэропорту просили кого то вводить пин код, или хотели посмотреть телефон, или другие личные вещи, хотят возможно если для этого есть предлог, то это будут делать не при всех, а где то в отдельной комнате. В основном просто сумочку в лоток ставишь (а все самое ценное в сумочке), они просканируют посмотрят и даже сумочку открыть не просят. Единственный раз за всю жизнь с Египта возвращались, у меня все проверили, каждый кармашек и в сумочке и в рюкзаке, но в итоге просто посмотрели и все, а так без проблем.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on January 25, 2024, 07:38:48 AM

Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

Ушла база тех, кто подписался на рассылку новостей от Трезора.

Официалы от Трезора сообщают, что для рассылки использовался сторонний е-mail сервер и рассылка фишинговых писем шла именно через этот сервер.

То ли сервер был взломан, то ли сам "взломщик" сидит внутри компании, предоставляющей Трезору услуги по рассылке, не ясно.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: bakasabo on January 25, 2024, 07:14:01 AM

Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту?

Конечно нет - ни почта, ни какие-либо другие данные пользователя никуда не вводятся.

Quote

Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков.

Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

bakasabo

legendary

Activity: 2296

Merit: 1176

Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту? Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков. Те аналогично например спаму о верификации Metamask или несанкционированному доступу в Trust Wallet.

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Тем временем история со слитыми электронными адресами продолжается: https://www.nobsbitcoin.com/trezor-warns-of-emails-impersonating-trezor-sent-from-a-its-third-party-email-provider/ Хакеры получили доступ к базе данных с электронными адресами подписчиков на рассылку, а также к реальному домену Trezor у стороннего провайдера, которого они собственно и используют для рассылки. То есть, пришедшие письма были очень похожи на "официальные" и могли привести к потере средств для многих пользователей. Я, кстати, тоже получил такое письмо, но заметил это только после вышедшей новости. Содержание письма довольно стандартное: "мы что-то там обновляем и если вы не обновите тоже, то потеряете средства" и естественно прилагается фишинговая ссылка, где просят ввести сид-фразу от кошелька.

BVeyron

hero member

Activity: 1610

Merit: 879

#SWGT CERTIK Audited

Quote from: witcher_sense on January 23, 2024, 10:45:26 PM

Quote from: BVeyron on January 23, 2024, 02:43:27 PM

Да вообще то я так и делал последние пару раз, сначала консолидировал в один адрес без сид, просто на приваткей. И все дела. Ведь если это нал, то надо заказать заранее, примерно сумма известна сколько надо им отправить. Но я это делаю как раз в офисе

Вот этим мне и не нравится обмен криптовалюты на наличку. Все будут знать когда, куда и с какой суммой вы придете - полное отсутствие анонимности и безопасности.

Есть такое дело.
Но я им пачпорт то не показываю, говорю, что "Сергей Михалыч" пришел ну только разве что по видеокамерам с помощью AI и баз данных наверное могут вычислить кто такой, откудова. Да кто ж его знает оно им надо, хренью такой маяться ?

Наверное на карту бомжа с обналом потом в банкомате на вокзале и в медицинской маске оно конечно лучше будет, но надо же бомжа в банк затащить, что совсем не легко, как я понимаю. Grin

А все иное это отнюдь не анонимное, а так себе варианты.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on January 24, 2024, 12:07:46 PM

Quote from: igor72 on January 24, 2024, 11:16:30 AM

Интересно, в каких еще ситуациях эта фича может быть полезна?

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет.

Мне кажется, в такой ситуации парольная фраза будет лучше. То есть на голой сид-фразе пусто, а всё лежит на какой-нибудь простенькой пассфразе, типа "5349" (чтобы быстро набиралась, против таможенника сложнее и не надо). А если у вас только мультисиг-сетап, то и этого не нужно.
Думал поначалу предложить три раза ввести неверный пин для сброса (как в леджере или джейд), но, погуглив, увидел, что в Passport на ввод пин-кода дается 21 попытка и, оказывается, после этого там происходит не сброс/вайп, а девайс превращается в кирпич Shocked

.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on January 24, 2024, 11:16:30 AM

Интересно, в каких еще ситуациях эта фича может быть полезна?

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию на наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on January 24, 2024, 10:06:10 AM

Вторая половина января 2024 года принесла обновление Trezor Suite, версия которого была повышена до 24.1.2.

Помимо множества исправлений и небольшого улучшенийя в нем появилась относительно новая (для большинства аппаратников) функция, а именно «стирание кода»,

Она новая в интерфейсе Trezor Suite, но в прошивке существует уже почти 4 года, тогда пользоваться ей можно было только с помощью консольной утилиты trezorctl, что для некоторых пользователей было сложно.

Quote

При вводе этого стирающего PIN-кода, вместо получения доступа к области данных, кошелёк полностью её "обнуляет"

На мой взгляд неплохая фишка для случай экстренных ситуаций.

Я только одну ситуацию представляю, типа приставили нож к горлу, требуя пин, а ты вместо настоящего пина говоришь стирающий, они вводят, и тут трезор пишет: "Вы ввели стирающий пин, все данные уничтожены" Grin

. По крайней мере еще недавно именно это и писало. Для сравнения - Jade в этом месте выдаёт "Internal Error", и мне это намного больше нравится. Трезоровцы, видимо, считают, что грабителям лучше прямо дать понять, чтобы зря жертву не пытали ).
Интересно, в каких еще ситуациях эта фича может быть полезна? Потому что для описанной мной она, имхо, не очень подходит.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Вторая половина января 2024 года принесла обновление Trezor Suite, версия которого была повышена до 24.1.2.

Помимо множества исправлений и небольшого улучшения в нём появилась относительно новая (для большинства аппаратников) функция, а именно «стирание кода»,

При вводе этого стирающего "PIN"-кода, вместо получения доступа к области данных, кошелёк полностью её "обнуляет".

На мой взгляд неплохая фишка для случай экстренных ситуаций.

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on January 24, 2024, 03:07:38 AM

Необязательно. Я больше подразумевал уязвимость, позволяющую украсть монеты без физического доступа. Раз мы в теме о трезоре, то нелишним будет отметить, что по этому пункту Trezor One и T, пожалуй, одни из лучших кошельков, так как в них всё, насколько возможно, открыто и давно проверяется. Следующим за ними я бы назвал Jade, он хуже только тем, что еще сравнительно молодой и не такой популярный.

Не понимаю, о какого рода атаках идет речь, все взломы что я видел были с физическим доступом и скорее проводились в качестве эксперимента в лаборатории с соответствующим оборудованием. Насчет Jade кстати не уверен, возможно как раз к нему можно подобраться через удаленный PIN сервер, но это надо подробнее изучить.

Quote

У легкомысленного пользователя да. В общем, эта сторона безопасности в руках юзера - если постарается, то будет неуязвим.

Главное, чтобы неуязвимость не была как в анекдоте про неуловимого Джо.

Quote

Конечно, эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен. Но и простой горячий кошелек на отдельном устройстве с чистой системой и с ответственным пользователем скорее всего тоже никогда не будет украден, однако люди предпочитают хранение на холодных кошельках. Потому что так спокойней. С мультиподписным кошельком этой уверенности еще больше, вот и всё.

Аппаратные кошельки просто удобнее и не требуют придумывания изощренных приемов для сохранения своей крипты, а любое усложнение делает их менее удобными, но при правильном подходе еще более безопасными. Для большинства пользователей баланс безопасности и удобства, который обеспечивает обычный одноподписной кошелек, будет оптимальным.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on January 24, 2024, 05:41:25 AM

Я расчитываю угрозы всегда исходя из самого наихудшего варианта, надеясь при этом, что он никогда не наступит.

Мульподписной 2 из 2 х кошелёк с двумя аппаратными (от разных производителей) подписантами обеспечивает высший уровень безопасности для персональной заначки.

Да, тут уже у каждого свой порог чувствительности: мне, например, спокойно и с мультисигом 2-из-2, где только один аппаратный, а второй горячий программный, а кому-то нужно 3 или 4 аппаратника задействовать.

Quote

Цена такого хранения не такая уж и большая. Вполне можно уложиться в 300 EUR, чтобы приобрести два пристойных аппаратника.

Два пристойных аппаратника можно и за 150 купить, и даже дешевле. Кстати, один из них вполне может быть и не очень пристойный, в таком сетапе это неопасно.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on January 24, 2024, 03:07:38 AM

эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен.

Я расчитываю угрозы всегда исходя из самого наихудшего варианта, надеясь при этом, что он никогда не наступит.

Мульподписной 2 из 2 х кошелёк с двумя аппаратными (от разных производителей) подписантами обеспечивает высший уровень безопасности для персональной заначки.

Поэтому если заначка значительного размера, он всё-таки нужен.

Этот размер каждый определяет сам для себя. Цена такого хранения не такая уж и большая. Вполне можно уложиться в 300 EUR, чтобы приобрести два пристойных аппаратника.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: witcher_sense on January 23, 2024, 10:45:26 PM

То есть все равно должен кто-то придти, получить физический доступ к аппаратному кошельку, и затем еще эксплуатировать уязвимость в программной или аппаратной части для попытки получения доступа к средствам? Мне этот вариант кажется не менее фантастическим, что опять же делает мультисиг излишней мерой безопасности.

Необязательно. Я больше подразумевал уязвимость, позволяющую украсть монеты без физического доступа. Раз мы в теме о трезоре, то нелишним будет отметить, что по этому пункту Trezor One и T, пожалуй, одни из лучших кошельков, так как в них всё, насколько возможно, открыто и давно проверяется. Следующим за ними я бы назвал Jade, он хуже только тем, что еще сравнительно молодой и не такой популярный.

Quote

У пользователя будет гораздо больше шансов потерять деньги из-за неправильного сетапа или потерянного бэкапа, чем если злоумышленники залезут к нему в дом и украдут несчастный однописной кошелек.

У легкомысленного пользователя да. В общем, эта сторона безопасности в руках юзера - если постарается, то будет неуязвим.

Quote

Если уж говорить о мультиподписи, то только в контексте разнесения аппаратников по нескольким юрисдикциям, потому что отнимать скорее всего придет свое же государство.

Конечно, эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен. Но и простой горячий кошелек на отдельном устройстве с чистой системой и с ответственным пользователем скорее всего тоже никогда не будет украден, однако люди предпочитают хранение на холодных кошельках. Потому что так спокойней. С мультиподписным кошельком этой уверенности еще больше, вот и всё.

Topic: Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet (Read 26569 times)