Topic: Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet - page 8. (Read 26855 times)

Что-то подобное уже происходило год назад: https://www.bleepingcomputer.com/news/security/fake-trezor-data-breach-emails-used-to-steal-cryptocurrency-wallets/

Тогда произошла утечка адресов электронной почты после взлома сервиса массовой рассылки Mailchimp и многие стали получать письма с ссылками на фишинговые сайты, в том числе на копию трезоровского сайта с формой для сбора сид-фраз. Я думаю, что сейчас жертвами атаки стали те же люди: они продолжают пользоваться скомпрометированными адресами, которые давно находятся в базах спамеров. Многие сервисы используют мобильные телефоны для двухфакторной аутентификации и не исключено, что часть номеров тоже оказалась скомпрометированной и стала получать сообщения с вредоносными ссылками. Трезор утверждает, что удаляет данные клиентов через 90 дней, то есть если была утечка у них, то жертвами стали люди, недавно купившие аппаратный кошелек.

Kлассика жанра продолжается. Работают гаденыши
Да и лохи видно никак не переводятся

Пользователи Trezor стали жертвами массовой фишинговой кампании
Начиная с 27 февраля, злоумышленники атакуют пользователей аппаратного криптокошелька Trezor под видом почтовой и SMS-рассылки о якобы произошедшей утечке данных. На это обратил внимание исследователь безопасности Mich.

Фишинговые сообщения от имени компании предлагают перейти по указанной ссылке для защиты устройства.
Поддельный сайт показывает предупреждение о том, что активы пользователей «могут быть в опасности». После нажатия кнопки Start у потенциальной жертвы запрашивают seed-фразу якобы для восстановления доступа к аккаунту. В реальности злоумышленники таким образом получают доступ к средствам на кошельке.

Разработчики Trezor осведомлены о фишинговой кампании и уже призвали пользователей соблюдать осторожность. Они также заявили, что не обнаружили никаких доказательств недавней утечки во внутренних системах.
Почтовые адреса и телефоны клиентов Trezor организаторы атаки предположительно получили через маркетинговый список, украденный при взломе сервиса MailChimp в марте 2022 года.

Forklog

Честно говоря, эта новость до сих пор несет завесу таинственности, так как непонятно, в чем же конкретно цель данного сотрудничества. Trezor пытаются сделать Trezor Suite таким же популярным как Ledger Live и добавляют туда фичи абсолютно для всех категорий пользователей? Встроенный CoinJoin привлечет определенную категорию пользователей, а возможно и подтолкнет текущих пользователей присоединиться к пулу микшированных транзакций. Типа к ликвидности Wasabi Wallet добавится еще и ликвидность от пользователей аппаратного кошелька. Или они готовят что-то абсолютно новое, например возможность использования CoinJoin напрямую с аппаратных кошельков, без необходимости использовать горячие кошельки? С моей точки зрения, это гораздо интереснее, чем обычная интеграция Wasabi CoinJoin в их кошелек.

Ну Трезором как кстати Леджером можно пользоваться и из других некастодиальных кошельков типа Coinomi, Vasabi, MEW и всяких других. Тогда конфиденс сохранится.

Что до говености мунпей, то это однозначно  так и есть. Тут уж нельзя не соглашаться.

И вот кстати ещё новости :
Trezor добавит в кошельки инструмент для микширования биткоин-транзакций
Производитель аппаратных кошельков Trezor объявил о партнерстве с командой Wasabi Wallet. Цель сотрудничества — интеграция в устройства инструмента для микширования биткоин-транзакций CoinJoin.
Эта технология случайным образом группирует транзакции, чтобы скрыть происхождение средств. Доступ к новой опции откроется в 2023 году.
Переговоры с Trezor начались в 2019 году.
В команде Wasabi добавили, что работа над технологией анонимизации является ответом на усиление надзора со стороны властей. Финансовые транзакции в конечном итоге могут использовать для слежки за гражданами, отметили они.

ещё про это

Просто не могу не придраться, покупать криптовалюту можно будет не в аппаратном кошельке, а в программном обеспечении Trezor Suite, которое разрабатывается той же компанией и идет как "официальный" интерфейс к этому аппаратному кошельку. Стоит ли говорить, что использовать такой софт небезопасно с точки зрения конфиденциальности, особенно если вы пользуетесь нодой Трезора для поиска транзакций и покупаете при этом криптовалюту на свою карту.  Moonpay просто ужасна если говорить о приватности, достаточно почитать их Privacy Policy. Тут вам и обязательная верификация, и шпионство за вашими транзакциями и сотрудничество с правоохранительными органами, все в одном флаконе. Все конечно дэисключительно ради успешной борьбы с отмыванием денег и прочего, они считают всех преступниками заранее, а вы доказываете обратное, предрставляя свое полное досье. Очень хорошая бизнес-модель: они зарабатывают на комиссиях и продаже данных, а вы получаете "удобный" сервис.

Ещё стоит добавить, что  Мунпей предоставляет услуги  в Грузии, Армении и Азербайджане.  И в Израиле.
Так что есть где кой кому кой чем затариться

Аппаратный кошелек Trezor позволяет напрямую покупать криптовалюту с помощью MoonPay

Новая интеграция с платформой Invity, основанной MoonPay и SatoshiLabs, обеспечивает функции покупки, продажи и обмена непосредственно в кошельке Trezor.

Согласно сообщению, опубликованному в среду, Trezor, поставщик аппаратных кошельков из Чехии, заключил партнерские отношения с MoonPay, чтобы позволить своим клиентам покупать криптовалюту непосредственно в своем аппаратном кошельке.

На момент написания статьи Trezor поддерживает более 1000 криптовалют, включая BTC, ETH, USDT, BNB, ADA....
и другие.

На самом деле взломов не так много как кажется. Да, многие криптовалютные компании пострадали и с радостью сообщили своим клиентам, что теперь их мыло будут атаковать мошенники разного сорта, но во многих случаях это даже была не их вина. Проблема как всегда в централизации: данные клиентов контролирует одна или несколько больших компаний, они обеспечивают безопасность и предоставляют свои услуги десяткам и сотням компаний. Те десятки и сотни компаний рады таким предложениям: во-первых не надо самим заниматься безопасностью и защитой данных, а во-вторых есть кого винить в случае взлома. Хакерам облегчили работу по сути: теперь взломав одну компанию, он получает доступ ко всем сразу, в некоторых там будет не только электронные адреса, но и что-то более конкретное, например данные о финансовой привлекательности жертвы.

Предположим, что в этот раз у пользователей трезора скомпрометировали только e-mail адреса. Однако, проблема в том, что подобные "взломы" стали происходить все чаще и чаще за последние года. А что касается леджер, то в 2020 году они действительно очень сильно облажались из-за утечки персональных данных. Тогда в реддите даже появлялась информация о том, что некоторые пользователи получали реальные угрозы по адресу проживания.

Согласен, Леджер знатно всех подставил. Там спёрли все данные покупателей и адрес и телефон ФИО и мыло мильона челов.
Если у Трезора только мыло, то это вообще ни о чем.
Вообще это хорошо придумали затирать базу, если конечно не врут.

Если логически подумать, то для маркетинговых рассылок используется только адрес электронной почты. Никакой дополнительной информации там обычно не требуется. Единственное, что если в самом адресе электронной почты пользователи зачастую пишут свое реальное имя и дату рождения типа [email protected] Некоторые еще умудряются указать адрес проживания или регион. Такие персонажи самые первые попадаются на фишинговые атаки, для них забота о приватности и анонимности своих данных не значатся в повестке дня.

Что касается самого Трезора, то как они утверждают, они собирают только самую необходимую информацию для доставки посылок и удаляют ее после 90 дней, так что вся защита баз данных заключается в отсутствии базы данных. Это хорошее решение, особенно если законы вашей юрисдикции это позволяют и вы не планируете продавать данные о клиентах как это делают в том же Леджере. Подробнее можно почитать здесь:

https://blog.trezor.io/trezor-e-shop-breach-is-a-hoax-d943ce267b66
https://blog.trezor.io/the-only-way-to-protect-your-data-is-to-never-provide-it-ea2335388db6

Команда аппаратного кошелька Trezor сообщила об утечке личных данных клиентов, произошедшей на стороне платформы MailChimp, через которую компания проводит маркетинговые рассылки. Злоумышленники использовали информацию о пользователях в фишинговой атаке.
В Trezor отказались от маркетинговых рассылок до «разрешения ситуации». Пользователям советовали не открывать письма, якобы отправленные от лица компании.
Какие именно данные были скомпрометированы — неизвестно. Фишинговая рассылка проводилась со стороннего домена trezor.us (официальный домен — trezor.io). Пользователей просили скачать «последнюю» версию приложения Trezor Suit, предназначенного для управления кошельком.
Ранее в злоумышленники загрузили в App Store фейковое приложение Trezor. У пользователей похитили как минимум $1,6 млн в криптовалютах.

В этом я сомневаюсь, открытый исходный код практически сразу их выдаст, и даже неважно сразу это произойдет или не сразу. Сам факт вранья пользователям пагубно скажется на репутации и продажах, это может отпугнуть больше пользователей, чем встраивание сомнительных регуляторных требований. Послушайте, все вокруг кричат, что для адопшена криптовалют нужно четкое регулирование. Большинство все равно съедят любые попытки атак на приватность и свободу. Так что любые негативные изменения будут происходить открыто, внезапно и неизбежно.

Соглашусь, раз петух прокукарекал, то так тому и быть. Они ж могут и скрытые от юзеров закладки сделать, а сообщить, что вот мол исключили в новом релизе. Когда ещё и кто из кодеров проверит, спецов то не слишком много.

Ох уж этот гугл-транслейт...

Разработчики аппаратных кошельков в последнее время не радуют. То Coldcard врет про то, что их программное обеспечение имеет open-source статус и обвиняет всех и вся в коммерциализации их "открытого" кода. Теперь Трезор решили, что это хорошая идея пойти на поводу регулятора и внедрить сомнительнве протоколы, убивающие идею крипты. Тот факт, что они отменили решение ни о чем не говорит. Если они прогнулись раз, прогнуться и второй. Вопрос только когда. Такими темпами самым безопасным методом хранения и пересылки крипты будут свои собственные разработки или ПО от анонимных разрабов, которые не бояться регуляций. Это все грустно, конечно. Хотя надеяться, что регуляторы не будут вести борьбу против крипты было глупо.

P.S. А чем плох метод подтверждения владением адреса через подпись приватным ключом?

Трезор 2 года игнорил  требования швейцарских регуляторов, но вот сломался, однако был оплеван юзерами, и справедливо оплеван!
Но они молодцы, все таки вспомнили об основной фиче крипты - анонимности!  

Trezor удаляет спорный протокол проверки адреса, другие кошельки следуют его примеру

 Через неделю после введения протокола подтверждения владения адресом, или AOPP, компания-производитель аппаратного кошелька отказалась от своего решения из-за проблем с конфиденциальностью клиентов.
 С 2019 года швейцарские финансовые криптопосредники требуют подтверждения владения адресом внешнего кошелька для снятия биткойнов и внесения их на кошельки своих клиентов, не связанные с тюремным заключением.  Одним из автоматических механизмов, используемых для этого, является протокол подтверждения владения адресом или AOPP.

 В аппаратном кошельке Trezor появилась возможность подписи AOPP в рамках последнего январского обновления на прошлой неделе, что позволяет пользователям генерировать подписи, соответствующие стандарту AOPP, используемому в определенных юрисдикциях.  
28 января компания Trezor объявила, что удалит этот протокол в следующем обновлении Trezor Suite «после тщательного изучения недавних отзывов».

 Недавние отзывы относятся к пользователям Reddit и Twitter, которые были обеспокоены тем, что использование AOPP свидетельствует о поддержке Trezor более строгого регулирования и игнорировании потенциальной потери конфиденциальности.

Купить BTC без KYC

Я в курсе. Я о том, что BIP32 скорее появился как предложение (полагаю не было уверенности что его поддержат), поэтому и информационный БИП. А БИП39 ясное дело уже был изменением кода в самой готовой архитектуре.

Возможно еще что в BIP32 просто еще основы иерархического кошелька объясняются, поэтому тоже информационный.

Блокчейн состоит из блоков, блоки состоят из транзакций, а транзакции формируются при помощи приватных ключей. То есть, без приватных ключей нет транзакций, значит нет и биткойнов, как носителей ценности. Вот вам и шмурдяк.


Исходя из определения BIP:
в нём может содержаться предложение обо всём, что касается Биткойна или его окружения.

Ладно, сформулируем более аккуратно.
Биткоина не существует.
Биткоин - это ценность, владение которой определяется содержанием блокчейна.

Весь остальной шмурдяк, он не содержит и не определяет Биткоины, а только проводит вычисления.
И между протоколом Блокчейна и алгоритмами кошельков нет и не может быть какой-либо связи.

Принятие системных BIP-ов - прерогатива исключительно майнеров, которым не должно быть дела до кошельков.
А разработчики кошельков не могут влиять на BIP-ы. Их дело только соглашаться и согласовывать форматы транзакций, подписей и скриптов с теми, которые готовы принимать майнеры.

Таким образом BIP39 и например BIP102 не должны быть в одном списке или в одной категории.