URGENTE: NÃO ATUALIZE SEU LEDGER! - page 2.

Paredao

legendary

Activity: 3304

Merit: 1617

Quote from: joker_josue on May 21, 2023, 01:40:55 AM

Basicamente é o que vou fazer.

Eu já não usava o Ledger Live. Então basicamente é continuar o que tenho vindo a fazer, usar o Electrum para aceder ao hw quando preciso.
Não faço intensões de levar a hw para lado nenhum, e quando achar por bem gastar mais uns euros numa nova hw logo trado disso.

Vou te dar uma ideia. Cria um canal no Youtube. Depois pega sua Ledger e passa com o Automóvel em cima dela. Não sendo suficiente, tu dá umas marretadas nela. Destruindo por completo. Filma tudo isso. Depois coloca no Youtube. Garanto que terá umas 300 mil visualizações com o seu vídeo. Monetiza ele. Com essas visualizações dá para arrecadar uns 200 dólares. Daí você compra uma Trezor Modelo T direto de fabrica. Hoje ela está 185 doletas. E ainda sobra 15 doletas para comprar um lanche. Lembrando que em Portugal não tem taxa de importação.
Gostou da ideia Huh

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: rdluffy on May 20, 2023, 03:24:03 PM

Edit: Um exemplo que pensei, se caso não confiar mais na Ledger, pode usar a hardwallet para somente gerar seeds e usar com softwares terceiros, tipo a Electrum, e não usar mais a Ledger Live ou atualizar qualquer coisa na Ledger. E sempre ficar de olho nas notícias pra ver se não teve nenhum exploit etc

Basicamente é o que vou fazer.

Eu já não usava o Ledger Live. Então basicamente é continuar o que tenho vindo a fazer, usar o Electrum para aceder ao hw quando preciso.
Não faço intensões de levar a hw para lado nenhum, e quando achar por bem gastar mais uns euros numa nova hw logo trado disso.

rdluffy

legendary

Activity: 2366

Merit: 1408

Quote from: joker_josue on May 20, 2023, 02:28:10 PM

Acho que isso depois entra na onda do radicalismo.
Mas, pronto cada um sabe de si, e gere as coisas da sua maneira.

[Pergunta de noob] Já agora, a pessoa com a seed consegue abrir a carteira em qualquer software de carteira, correto?

É a revolta dos usuários por terem mentido

Sobre a seed, sim, você pode usar a sua seed da Ledger em um software de carteira que use a BIP 39, Electrum por exemplo

https://worldcoin.org/articles/what-is-seed-phrase

Edit: Um exemplo que pensei, se caso não confiar mais na Ledger, pode usar a hardwallet para somente gerar seeds e usar com softwares terceiros, tipo a Electrum, e não usar mais a Ledger Live ou atualizar qualquer coisa na Ledger. E sempre ficar de olho nas notícias pra ver se não teve nenhum exploit etc

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: rdluffy on May 20, 2023, 07:13:54 AM

Já tem vários vídeos no Twitter das pessoas destruindo as ledgers Cheesy

Acho que isso depois entra na onda do radicalismo.
Mas, pronto cada um sabe de si, e gere as coisas da sua maneira.

[Pergunta de noob] Já agora, a pessoa com a seed consegue abrir a carteira em qualquer software de carteira, correto?

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: TryNinja on May 19, 2023, 07:35:29 PM

De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1

Cara, eu até acredito que seja possível fazer um monte de bloqueios e verificações a nivel de hardware que sejam facilmente verificáveis através de um software. Mas ainda assim eu fico na dúvida se não há sempre algum hacker que consiga utilizar de mecanismos originais da Trezor, por exemplo, ou então fazer um clone idêntico do componente e suas assinaturas e depois simplesmente adicionar algo intermediário apenas para ler o tráfego e eventualmente capturar oque lhe é interessante para injetar códigos mal intencionados.

Sei lá... mas hoje um simples "pendrive" de pessoas comuns carrega muito mais valor do que muitas contas bancárias de gente rica/famosa.
Não duvido nada que tenha empresas especialistas com muito dinheiro e fnucionários de mentes brilhantes trabalhando para bolar esquemas em cima dessas hardware wallets.

A única vez que comprei uma hardware wallet foi direto do fbricante, e ainda tomei todos os cuidados para me certificiar de que a embalagem não estava violada, de que ela aparentemente era original por fora e por dentro e ainda demorou para eu ter a confiança de passar meus míseros satoshis da walletpapper para a Nano S.

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: rdluffy on May 20, 2023, 07:13:54 AM

Confesso aqui que eu fui um paranóico, não resisti e abri minha Ledger depois de uns dias após ter comprado.
Deu tudo certo, mas eu fiquei com a pulga atrás da orelha e achei melhor abrir. O processo foi bem simples até, mas bateu tudo certo com as fotos da versão da minha Nano S, pelo menos me deu tranquilidade (até agora rs)

Também recomendo abrir a Nano S quem tem, pois é bastante simples, risco quase zero de estragar.

Acho que está ai uma coisa que muita gente vai passar a fazer e talvez se torne um dos princípios de segurança a ser seguido. Foi tranquilo para abrir? vi ali no relatório da Kaspersky que a Trezor é bem chata pra abrir pois possui umas colas bem fortes unindo as partes.

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: non fungible anxiety on May 20, 2023, 10:45:43 AM

Os meliantes conseguiram burlar a verificação de segurança, você poderia instalar e atualizar o firmware que não seria acusado a alteração do aparelho.

Então... problema na arquitetura do dispositivo. Ainda que nada seja 100% infalível, há formas de dificultar esse tipo de adulteração. No caso que linkei, o desenvolvedor da HW assina e verifica mensagens assinadas com uma key própria do chip SE. Se ocorrer uma adulteração no chip, a mensagem já não bate mais. Aí só (também) com um software adulterado (que ninguem mais salva Tongue

).

non fungible anxiety

member

Activity: 118

Merit: 21

Quote from: TryNinja on May 19, 2023, 07:35:29 PM

Quote from: tg88 on May 19, 2023, 07:27:23 PM

Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança.

Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet

Parece ser um problema no mecanismo da Trezor. Será que a Ledger é tão suscetível quanto ela?

De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1

Outras hardware wallets parecem ter pensado melhor em resolver esse problema. Espero que as proximas versões sejam mais bem pensadas: https://shiftcrypto.ch/blog/supply-chain-attacks/

Os meliantes conseguiram burlar a verificação de segurança, você poderia instalar e atualizar o firmware que não seria acusado a alteração do aparelho.

rdluffy

legendary

Activity: 2366

Merit: 1408

Quote from: TryNinja on May 19, 2023, 07:17:42 PM

Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity

Confesso aqui que eu fui um paranóico, não resisti e abri minha Ledger depois de uns dias após ter comprado.
Deu tudo certo, mas eu fiquei com a pulga atrás da orelha e achei melhor abrir. O processo foi bem simples até, mas bateu tudo certo com as fotos da versão da minha Nano S, pelo menos me deu tranquilidade (até agora rs)

Também recomendo abrir a Nano S quem tem, pois é bastante simples, risco quase zero de estragar.

Já tem vários vídeos no Twitter das pessoas destruindo as ledgers Cheesy

Fonte

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: tg88 on May 19, 2023, 07:27:23 PM

Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança.

Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet

Parece ser um problema no mecanismo da Trezor. Será que a Ledger é tão suscetível quanto ela?

De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1

Outras hardware wallets parecem ter pensado melhor em resolver esse problema. Espero que as proximas versões sejam mais bem pensadas: https://shiftcrypto.ch/blog/supply-chain-attacks/

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: TryNinja on May 19, 2023, 07:17:42 PM

Mas a wallet é lida pelo software da Trezor e dada como original? Interessante a diferença entre os componentes. Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity

Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança.

Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: tg88 on May 18, 2023, 05:27:05 PM

Sobre a Trezor também teve noticia polemica essa semana, nada de responsabilidade direta a eles mas a Kaspersky publicou um relatório sobre o aparecimento de HardWallets falsas da Trezor sendo vendidas por lojas não oficiais. Com a troca de componentes internos os invasores conseguiam roubar as chaves privadas. Normalmente a venda é feita por "bons" vendedores em termos de reputação dentro dos marketplaces e isso passa uma sensação de confiabilidade

Mas a wallet é lida pelo software da Trezor e dada como original? Interessante a diferença entre os componentes. Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: alegotardo on May 18, 2023, 07:45:38 PM

Sorte a minha que não comprei a Nano S, vou escolher outro fabricante para minha próxima aquisição.

Eu comprei a minha primeiroa HW wallet (Nano S Plus) há uns 3-4 meses... Angry

Enfim, agora, para já aguenta facilmente. Não vou fazer qualquer atualização e para o meu uso é tranquilo.
Mas, daqui a uns tempos, talvez tenha de pensar em adquirir outra. Veremos.

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: joker_josue on May 18, 2023, 01:40:11 AM

Qualquer das formas, eu continuo com a sensação que eles falharam na comunicação e as coisas não são bem como aparentam ser. Mas, agora o mal já está feito e dificilmente conseguem dar a volta. De certeza que as vendas baixaram nos últimos dias...

Com certeza, e o pior é que a concorrência parece estar querendo aprovietar esse momento para abocanhar os clientes da Ledger com várias promoções de 10 á 20% ou mais de desconto.

E o problema não foi só comunicação não, eles tentaram inventar algo para ser inovador (é assim que se destaca da concorrência) mas acho que a ideia da vez foi do estagiário Tongue

Vendas perdidas agora, certamente, mas também milhares de futura vendas que nunca mais serão concretizadas pois a Ledger manchou sua reputação e pelas últimos anúncios que andei lendo, parece que não vão voltar atrás.

Sorte a minha que não comprei a Nano S, vou escolher outro fabricante para minha próxima aquisição.

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: Paredao on May 16, 2023, 02:16:40 PM

Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor. Shocked

Sobre a Trezor também teve noticia polemica essa semana, nada de responsabilidade direta a eles mas a Kaspersky publicou um relatório sobre o aparecimento de HardWallets falsas da Trezor sendo vendidas por lojas não oficiais. Com a troca de componentes internos os invasores conseguiam roubar as chaves privadas. Normalmente a venda é feita por "bons" vendedores em termos de reputação dentro dos marketplaces e isso passa uma sensação de confiabilidade:

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: guid8 on May 18, 2023, 02:49:51 PM

Embora seja sempre recomendado entender o máximo possível sobre os produtos e serviços que utilizamos, reconheço que nem todos têm a capacidade de compreender 100% dos detalhes técnicos de uma hardware wallet. É uma questão de reconhecer nossas próprias limitações e tomar medidas para minimizar os riscos.

Entender o máximo possível é sempre muito subjetivo.

Eu tenho de carro, e não percebo de mecânica. Ok, tenho uma ideia de como as coisas funcionam, e consigo perceber algumas coisas, mas nunca me iria aventurar a mexer naquilo. Cool

Acho que uma coisa é entendermos como as coisas funcionam, até por uma questão de cultura geral. Mas entender como funciona, não significa que se tem a capacidade de criar, manter, gerir, explorar a fundo, etc., isso que entendemos.

Mas, claro que concordo que devemos ter uma ideia de como as coisas funcionam, para entendermos minimamente os riscos que podemos passar e tomar as medidas adequadas ao conhecimento que se tem. E no mercado cripto isso é muito importante, principalmente a nível dos riscos.

rdluffy

legendary

Activity: 2366

Merit: 1408

Quote from: Disruptivas on May 18, 2023, 02:32:35 PM

Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares

Não é uma boa solução, é uma ótima solução
Usando essa técnica do PC off-line você fica protegida tanto quando uma hardware wallet, só é incoveniente e mais trabalhosa se você tiver que movimentar muito a sua conta, mas ainda assim dá pra ter uma hotwallet pra movimentar no dia a dia e outras cold wallet só pra guardar mesmo.

Eu tenho uma ledger nano s, mas eu sempre dividi meus satoshis, e inclusive tenho um laptop super antigo que coloquei linux + electrum, deixei off-line depois de baixar a electrum, e gerei vários endereços de BTC, anotei tudo e está off-line até hoje.

Quote from: joker_josue on May 18, 2023, 01:00:01 PM

Por isso, eu continuou achar que isto tudo foi uma enorme falha de comunicação, que dificilmente vão conseguir corrigir.

Pelo que estou lendo nos comentários da Ledger, é preocupante e vai mais além de falha de comunicação. Como eu disse, eles estão cientes do que estão fazendo, mas parece que tem uma postura da empresa que pode estar mudando.

rdluffy

legendary

Activity: 2366

Merit: 1408

Quote from: Disruptivas on May 18, 2023, 02:32:35 PM

Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares

Não é uma boa solução, é uma ótima solução
Usando essa técnica do PC off-line você fica protegida tanto quando uma hardware wallet, só é incoveniente e mais trabalhosa se você tiver que movimentar muito a sua conta, mas ainda assim dá pra ter uma hotwallet pra movimentar no dia a dia e outras cold wallet só pra guardar mesmo.

Eu tenho uma ledger nano s, mas eu sempre dividi meus satoshis, e inclusive tenho um laptop super antigo que coloquei linux + electrum, deixei off-line depois de baixar a electrum, e gerei vários endereços de BTC, anotei tudo e está off-line até hoje.

guid8

member

Activity: 105

Merit: 70

Quote from: Disruptivas on May 18, 2023, 02:32:35 PM

Sempre tem aquela frase do não confie verifique né. Mas cara, quantas pessoas teria capacidade de entender 100% do funcionamento de uma hardwallet? Talvez seja um defit meu, mas mesmo se eu estudasse muuuito, eu não acho que seria capa de dizer CTz absoluta que eles não tem como ficar com a chave ou de fazer esse processos de abrir e entender lá dentro tudo. Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares

Embora seja sempre recomendado entender o máximo possível sobre os produtos e serviços que utilizamos, reconheço que nem todos têm a capacidade de compreender 100% dos detalhes técnicos de uma hardware wallet. É uma questão de reconhecer nossas próprias limitações e tomar medidas para minimizar os riscos.

No final das contas, o importante é adotar as medidas de segurança que você considera adequadas, levando em consideração o seu nível de conhecimento e conforto. Seja usando uma hardwallet, uma solução offline ou qualquer outra abordagem, o fundamental é tomar precauções para proteger suas criptomoedas e realizar transações de forma segura.

Paredao

legendary

Activity: 3304

Merit: 1617

Continuo com minhas Trezors, Nunca confiei na Ledger mesmo. Se aparecer algo que desabone as Trezors, daí sim abandonarei as hardwallets. Shocked

Topic: URGENTE: NÃO ATUALIZE SEU LEDGER! - page 2. (Read 393 times)