Topic: Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet - page 7. (Read 26566 times)

Ну новость сегодняшним числом вышла вот и запостил. Не все ж следят за такими новостями как вы. А всю тему перелопачивать чтобы найти подобное как то нет желания. Так что не надо сильно пинать. Извините что побеспокоил баяном.

Да ничего он не обнаружил, это известно всем уже четыре года и в этой ветке, кажется, обсуждалось. Хорошая пассфраза делает такой взлом бессмысленным.

Ответы SatoshiLabs на подобные эксперименты:
https://blog.trezor.io/our-response-to-the-read-protection-downgrade-attack-28d23f8949c6
https://blog.trezor.io/our-response-to-the-donjon-team-seed-extraction-attack-dd8417749664

Ну что наступила очередь и Трезора. Не только ж одному Леджеру быть в опале Тут товарищ из компании по кибербезопасности Unciphered обнаружил уязвимость в кошельке и заявил что ему удалось взломать кошелек Trezor T. "В ролике на YouTube продемонстрировано извлечение мнемонической фразы кошелька или приватного ключа с использованием уязвимости, связанной с физическим владением устройством."



Тут можно больше прочитать https://happycoin.club/firma-po-kiberbezopasnosti-vzlomala-apparatnyj-koshelyok-trezor-t/

https://www.kaspersky.ru/blog/fake-trezor-hardware-crypto-wallet/35272/
Случай из практики: фальшивый аппаратный криптокошелек
10 мая 2023
Истории больше года, зачем Касперский поднимает старое?

Прежде чем бросаться пользоваться этой новой функциональностью прочитайте FAQ https://trezor.io/learn/a/coinjoin-in-trezor-suite#FAQs.

Пара моментов, на которые стоит обратить внимание:
1) Во время CoinJoin раундов ваш аппаратный кошелек должен быть подключен к компьютеру через USB-кабель. Они говорят, что это полностью безопасно, но по-моему это дает хакеру больше времени найти лазейку к кошельку, если ваш компьютер окажется заражен вредоносными программами. Если такого не случалось раньше, это не значит, что это не может случится в будущем.
2) Вы не контролируете какие монеты смешиваете, так как выбор монет происходит в автоматическом режиме и некоторые монеты могут никогда не участвовать в раундах. Вы можете этого не заметить, если надеетесь на софт и часть монет может быть случайно смешана с уже замикшированными что приведет к деанонимизации источника транзакции. Критерии по которым определяется может ли те или иные монеты участвовать в CoinJoinабсодютно непрозрачны, вам никогдамне скажут почему часть монет так и остается незамикшированными.
3) Ну и самое главное: координатор CoinJoin от Wasabi Wallet открыто сотрудничает с компаниями, занимающимися анализом блокчейна и деанонимизацией пользователей сети. Все ваши UTXO проходят тщательную проверку на предмет связи с нелегальными транзакциями и основываясь на результате этого анализа могут быть недопущены к CoinJoin. Что является нелегальным решают сами эти компании, это может быть абсолютно любое "преступление". Если не хотите рисковать или не уверены, что все ваши UTXO имеют кристально чистую историю, то стоит воздержаться от испольщования Wasabi и Trezor CoinJoin.

Trezor добавил CoinJoin для BTC

Хотя биткойн может обеспечить определенную степень анонимности, он по своей сути не является приватным. Во многом это связано с тем, что транзакции и балансы публикуются в блокчейне, что делает их отслеживаемыми. Более того, если пользователь покупает биткойн на бирже, требующей документации KYC (знай своего клиента), средства напрямую связаны с его личностью.

Coinjoin — это инструмент, который повышает конфиденциальность транзакций биткойнов: когда пользователи биткойнов проводят транзакции друг с другом, используя совместное соединение (процесс, также известный как «смешивание»), они скрывают происхождение и назначение средств, значительно повышая свою конфиденциальность.
 
Как это работает?

Проще говоря, coinjoin объединяет несколько монет (UTXO) от нескольких пользователей в одну транзакцию. Результат этой транзакции дает то же значение биткойна, но адреса теперь смешаны. Из-за этого внешним сторонам чрезвычайно сложно вывести взаимосвязь между входами и выходами транзакции coinjoin, поскольку источники UTXO запутаны.
 
«Уровень анонимности», которого можно достичь, зависит от количества других участников с неразличимыми выходами.
 
Если вы отправляете смешанные монеты со своей учетной записи coinjoin, принимающая сторона не будет знать, как вы получили средства.
Если вы получите биткойн на свой счет coinjoin и анонимизируете его, отправитель ничего не узнает о том, как вы тратите средства.

Coinjoin не гарантирует 100% конфиденциальность, так как почти всегда есть передовые методы, которые «заинтересованные» внешние стороны могут использовать в качестве вектора атаки. Однако coinjoin значительно улучшает конфиденциальность пользователей биткойнов по сравнению с транзакциями, совершенными без этого протокола.
 
Узнайте, как вернуть контроль над своей конфиденциальностью, следуя нашему пошаговому руководству Coinjoin в Trezor Suite ( https://trezor.io/learn/a/coinjoin-in-trezor-suite )

Источник
https://trezor.io/learn/a/what-is-coinjoin

Что-то подобное уже происходило год назад: https://www.bleepingcomputer.com/news/security/fake-trezor-data-breach-emails-used-to-steal-cryptocurrency-wallets/

Тогда произошла утечка адресов электронной почты после взлома сервиса массовой рассылки Mailchimp и многие стали получать письма с ссылками на фишинговые сайты, в том числе на копию трезоровского сайта с формой для сбора сид-фраз. Я думаю, что сейчас жертвами атаки стали те же люди: они продолжают пользоваться скомпрометированными адресами, которые давно находятся в базах спамеров. Многие сервисы используют мобильные телефоны для двухфакторной аутентификации и не исключено, что часть номеров тоже оказалась скомпрометированной и стала получать сообщения с вредоносными ссылками. Трезор утверждает, что удаляет данные клиентов через 90 дней, то есть если была утечка у них, то жертвами стали люди, недавно купившие аппаратный кошелек.

Kлассика жанра продолжается. Работают гаденыши
Да и лохи видно никак не переводятся

Пользователи Trezor стали жертвами массовой фишинговой кампании
Начиная с 27 февраля, злоумышленники атакуют пользователей аппаратного криптокошелька Trezor под видом почтовой и SMS-рассылки о якобы произошедшей утечке данных. На это обратил внимание исследователь безопасности Mich.

Фишинговые сообщения от имени компании предлагают перейти по указанной ссылке для защиты устройства.
Поддельный сайт показывает предупреждение о том, что активы пользователей «могут быть в опасности». После нажатия кнопки Start у потенциальной жертвы запрашивают seed-фразу якобы для восстановления доступа к аккаунту. В реальности злоумышленники таким образом получают доступ к средствам на кошельке.

Разработчики Trezor осведомлены о фишинговой кампании и уже призвали пользователей соблюдать осторожность. Они также заявили, что не обнаружили никаких доказательств недавней утечки во внутренних системах.
Почтовые адреса и телефоны клиентов Trezor организаторы атаки предположительно получили через маркетинговый список, украденный при взломе сервиса MailChimp в марте 2022 года.

Forklog

Честно говоря, эта новость до сих пор несет завесу таинственности, так как непонятно, в чем же конкретно цель данного сотрудничества. Trezor пытаются сделать Trezor Suite таким же популярным как Ledger Live и добавляют туда фичи абсолютно для всех категорий пользователей? Встроенный CoinJoin привлечет определенную категорию пользователей, а возможно и подтолкнет текущих пользователей присоединиться к пулу микшированных транзакций. Типа к ликвидности Wasabi Wallet добавится еще и ликвидность от пользователей аппаратного кошелька. Или они готовят что-то абсолютно новое, например возможность использования CoinJoin напрямую с аппаратных кошельков, без необходимости использовать горячие кошельки? С моей точки зрения, это гораздо интереснее, чем обычная интеграция Wasabi CoinJoin в их кошелек.

Ну Трезором как кстати Леджером можно пользоваться и из других некастодиальных кошельков типа Coinomi, Vasabi, MEW и всяких других. Тогда конфиденс сохранится.

Что до говености мунпей, то это однозначно  так и есть. Тут уж нельзя не соглашаться.

И вот кстати ещё новости :
Trezor добавит в кошельки инструмент для микширования биткоин-транзакций
Производитель аппаратных кошельков Trezor объявил о партнерстве с командой Wasabi Wallet. Цель сотрудничества — интеграция в устройства инструмента для микширования биткоин-транзакций CoinJoin.
Эта технология случайным образом группирует транзакции, чтобы скрыть происхождение средств. Доступ к новой опции откроется в 2023 году.
Переговоры с Trezor начались в 2019 году.
В команде Wasabi добавили, что работа над технологией анонимизации является ответом на усиление надзора со стороны властей. Финансовые транзакции в конечном итоге могут использовать для слежки за гражданами, отметили они.

ещё про это

Просто не могу не придраться, покупать криптовалюту можно будет не в аппаратном кошельке, а в программном обеспечении Trezor Suite, которое разрабатывается той же компанией и идет как "официальный" интерфейс к этому аппаратному кошельку. Стоит ли говорить, что использовать такой софт небезопасно с точки зрения конфиденциальности, особенно если вы пользуетесь нодой Трезора для поиска транзакций и покупаете при этом криптовалюту на свою карту.  Moonpay просто ужасна если говорить о приватности, достаточно почитать их Privacy Policy. Тут вам и обязательная верификация, и шпионство за вашими транзакциями и сотрудничество с правоохранительными органами, все в одном флаконе. Все конечно дэисключительно ради успешной борьбы с отмыванием денег и прочего, они считают всех преступниками заранее, а вы доказываете обратное, предрставляя свое полное досье. Очень хорошая бизнес-модель: они зарабатывают на комиссиях и продаже данных, а вы получаете "удобный" сервис.

Ещё стоит добавить, что  Мунпей предоставляет услуги  в Грузии, Армении и Азербайджане.  И в Израиле.
Так что есть где кой кому кой чем затариться

Аппаратный кошелек Trezor позволяет напрямую покупать криптовалюту с помощью MoonPay

Новая интеграция с платформой Invity, основанной MoonPay и SatoshiLabs, обеспечивает функции покупки, продажи и обмена непосредственно в кошельке Trezor.

Согласно сообщению, опубликованному в среду, Trezor, поставщик аппаратных кошельков из Чехии, заключил партнерские отношения с MoonPay, чтобы позволить своим клиентам покупать криптовалюту непосредственно в своем аппаратном кошельке.

На момент написания статьи Trezor поддерживает более 1000 криптовалют, включая BTC, ETH, USDT, BNB, ADA....
и другие.

На самом деле взломов не так много как кажется. Да, многие криптовалютные компании пострадали и с радостью сообщили своим клиентам, что теперь их мыло будут атаковать мошенники разного сорта, но во многих случаях это даже была не их вина. Проблема как всегда в централизации: данные клиентов контролирует одна или несколько больших компаний, они обеспечивают безопасность и предоставляют свои услуги десяткам и сотням компаний. Те десятки и сотни компаний рады таким предложениям: во-первых не надо самим заниматься безопасностью и защитой данных, а во-вторых есть кого винить в случае взлома. Хакерам облегчили работу по сути: теперь взломав одну компанию, он получает доступ ко всем сразу, в некоторых там будет не только электронные адреса, но и что-то более конкретное, например данные о финансовой привлекательности жертвы.

Предположим, что в этот раз у пользователей трезора скомпрометировали только e-mail адреса. Однако, проблема в том, что подобные "взломы" стали происходить все чаще и чаще за последние года. А что касается леджер, то в 2020 году они действительно очень сильно облажались из-за утечки персональных данных. Тогда в реддите даже появлялась информация о том, что некоторые пользователи получали реальные угрозы по адресу проживания.

Согласен, Леджер знатно всех подставил. Там спёрли все данные покупателей и адрес и телефон ФИО и мыло мильона челов.
Если у Трезора только мыло, то это вообще ни о чем.
Вообще это хорошо придумали затирать базу, если конечно не врут.

Если логически подумать, то для маркетинговых рассылок используется только адрес электронной почты. Никакой дополнительной информации там обычно не требуется. Единственное, что если в самом адресе электронной почты пользователи зачастую пишут свое реальное имя и дату рождения типа [email protected] Некоторые еще умудряются указать адрес проживания или регион. Такие персонажи самые первые попадаются на фишинговые атаки, для них забота о приватности и анонимности своих данных не значатся в повестке дня.

Что касается самого Трезора, то как они утверждают, они собирают только самую необходимую информацию для доставки посылок и удаляют ее после 90 дней, так что вся защита баз данных заключается в отсутствии базы данных. Это хорошее решение, особенно если законы вашей юрисдикции это позволяют и вы не планируете продавать данные о клиентах как это делают в том же Леджере. Подробнее можно почитать здесь:

https://blog.trezor.io/trezor-e-shop-breach-is-a-hoax-d943ce267b66
https://blog.trezor.io/the-only-way-to-protect-your-data-is-to-never-provide-it-ea2335388db6

Команда аппаратного кошелька Trezor сообщила об утечке личных данных клиентов, произошедшей на стороне платформы MailChimp, через которую компания проводит маркетинговые рассылки. Злоумышленники использовали информацию о пользователях в фишинговой атаке.
В Trezor отказались от маркетинговых рассылок до «разрешения ситуации». Пользователям советовали не открывать письма, якобы отправленные от лица компании.
Какие именно данные были скомпрометированы — неизвестно. Фишинговая рассылка проводилась со стороннего домена trezor.us (официальный домен — trezor.io). Пользователей просили скачать «последнюю» версию приложения Trezor Suit, предназначенного для управления кошельком.
Ранее в злоумышленники загрузили в App Store фейковое приложение Trezor. У пользователей похитили как минимум $1,6 млн в криптовалютах.

В этом я сомневаюсь, открытый исходный код практически сразу их выдаст, и даже неважно сразу это произойдет или не сразу. Сам факт вранья пользователям пагубно скажется на репутации и продажах, это может отпугнуть больше пользователей, чем встраивание сомнительных регуляторных требований. Послушайте, все вокруг кричат, что для адопшена криптовалют нужно четкое регулирование. Большинство все равно съедят любые попытки атак на приватность и свободу. Так что любые негативные изменения будут происходить открыто, внезапно и неизбежно.