Author

Topic: URGENTE: NÃO ATUALIZE SEU LEDGER! (Read 393 times)

legendary
Activity: 3304
Merit: 1617
September 04, 2023, 02:54:38 PM
#56

Obrigado pela menção, já são mais de 6 anos nesse mercado, com + 200 mil clientes em 32 países.

Até que enfim você apareceu por aqui. O pessoal vive precisando de dicas sobre hardwallet. Nem o João que trabalha contigo tem aparecido ultimamente por aqui. Quem sabe você não manda umas promoções aqui para o pessoal. Cara, um abraço para ti e para todo o pessoal da Kriptobr.
newbie
Activity: 6
Merit: 4
September 04, 2023, 12:47:15 PM
#55

Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Trezor não entrega pro Brasil, comprou onde?

Uma comprei fora do Brasil e a outra comprei do Jefferson da Kriptobr. O cara é antigo na venda de hardwallets e na comunidade de bitcoins no Brasil. Conheço ele há vários anos. Antes mesmo dele se mudar para os Estados Unidos. Lembro quando ele começou. Vendia numa banquinha dentro das primeiras Bitcoinf.  Cheesy Cheesy

Obrigado pela menção, já são mais de 6 anos nesse mercado, com + 200 mil clientes em 32 países.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
June 01, 2023, 09:22:26 AM
#54
essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Porque é que essa informação mudaria tudo? Passa a ser um serviço viável? Ou tornava tudo mais seguro?

seria menos preocupante, só usar passphrase e vc teria uma camada extra de segurança forte

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Não tenho certeza, mas a passphrase da wallet Trezor não tem como quebra-la. Perdeu a frase, perdeu os valores. Mesmo tendo a seed completa você não consegue recuperar noutra wallet sem a passphrase. Não tenho certeza disso, pois nunca tentei fazê-lo.  Cheesy Cheesy Cheesy

pesquisei e não tem como
mesmo que desse para ver as contas em algum dispositivo (não daria) você precisaria da pasphrase para mover os fundos

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"
Mas nem as seeds são, mais fácil chegar o fim do sol do que a hora que você vai adivinhar a minha seed.

O sistema da Ledger é de backup das seeds. Qualquer coisa a mais é por fora (pin ou passphrase adicional).

O uso de "senha" no texto foi um erro de tradução da Portal do Bitcoin. Em nenhum momento eles falam em password/passphrase.

ah sim, acho que escrevi mal a mensagem original

mas já pensou que por mais improvável a chance de abrir uma carteira aleatória, por mais difícil que seja, não é impossivel
acho isso fascinante

a melhor analogia que ouvi é que acertar uma seed aleatória é como vc ir na praia de ipanema, escolher um grão de areia aleatório sem que eu saiba, depois eu ir à praia e escolher o mesmo grão de areia.

legendary
Activity: 2758
Merit: 6830
May 31, 2023, 02:18:50 PM
#53
esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"
Mas nem as seeds são, mais fácil chegar o fim do sol do que a hora que você vai adivinhar a minha seed.

O sistema da Ledger é de backup das seeds. Qualquer coisa a mais é por fora (pin ou passphrase adicional).

O uso de "senha" no texto foi um erro de tradução da Portal do Bitcoin. Em nenhum momento eles falam em password/passphrase.
legendary
Activity: 3304
Merit: 1617
May 31, 2023, 01:58:19 PM
#52
esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Não tenho certeza, mas a passphrase da wallet Trezor não tem como quebra-la. Perdeu a frase, perdeu os valores. Mesmo tendo a seed completa você não consegue recuperar noutra wallet sem a passphrase. Não tenho certeza disso, pois nunca tentei fazê-lo.  Cheesy Cheesy Cheesy
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 31, 2023, 01:42:44 PM
#51
essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Porque é que essa informação mudaria tudo? Passa a ser um serviço viável? Ou tornava tudo mais seguro?
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
May 31, 2023, 12:59:16 PM
#50
esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
May 30, 2023, 07:04:33 PM
#49
uma coisa curiosa é como a palavra "senha" fica limitada no contexto de hardware wallets
minha primeira reação ao ler a manchete foi pensar, "calma, por senha eles se referem à seed ou ao PIN?"
coisas diferentes

Cara!
Tu me pegou, mas acho que é a seed mesmo.

É a seed que nesse novo serviço seria dividida, criptografada e separada pela Ledger.
Seria possível fazer isso com o PIN ao invéz da seed? certamente sim, mas isso só seria útil caso você tivesse esquecido ele e precisasse recuperar sua wallet no mesmo dispositivo.
Se o dispositivo for roubado, perdido, formatado, der pane total ou algo do tipo... a recuperação do PIN não te ajudaria em nada.
legendary
Activity: 2758
Merit: 6830
May 30, 2023, 03:50:11 PM
#48
Por falar nisso... é impossível mudarmos a seed?
Sim, eu sei que é... mas as vezes podia haver alguma coisa que eu desconhecia.
A seed é a carteira. Se mudar ela, você tem algo completamente novo (carteira e endereços)... assim como se mudar suas coordenadas geográficas, não é mais o mesmo lugar.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 30, 2023, 01:15:19 PM
#47
uma coisa curiosa é como a palavra "senha" fica limitada no contexto de hardware wallets
minha primeira reação ao ler a manchete foi pensar, "calma, por senha eles se referem à seed ou ao PIN?"
coisas diferentes


Por falar nisso... é impossível mudarmos a seed?
Sim, eu sei que é... mas as vezes podia haver alguma coisa que eu desconhecia.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
May 30, 2023, 11:59:06 AM
#46
O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.

Aí que tá... eu sempre tive na cabeça que a seed era impossível de ser extraída devido à limitações físicas do hardware onde nem um update de firmware poderia ser capaz de ter acesso à essa informação.
Então, mesmo que eles voltem atrás agora e digam que não vão mais lançar, a confiança nos produtos da Ledger está permanentemente arruinada para mim.

E para complicar ainda mais a situação... vocês viram essa notícia aqui?
Ledger pode ser obrigada por governos a revelar senha de cold wallet, admite CEO [link]

Mesmo que eu esteja muito longe de ser considerado um ladrão, criminoso ou algo do tipo, dentre todos que eu gostaria de manter minhas chaves longe, o governo está no topo de minha lista.

doidera mesmo
uma coisa curiosa é como a palavra "senha" fica limitada no contexto de hardware wallets
minha primeira reação ao ler a manchete foi pensar, "calma, por senha eles se referem à seed ou ao PIN?"
coisas diferentes
legendary
Activity: 2366
Merit: 1408
May 26, 2023, 10:21:02 AM
#45
Agora levanto a questão:
Mesmo isso sendo possível. A pessoa irá precisar ter o PC infetado com um "bichinho" para que algum azar do género aconteça. No final, a pessoa deve continuar a usar tudo com cuidado.

Sim, isso é o básico do básico, sempre se precaver com todos seus dispositivos.
Mas o fato da empresa ter vendido seus dispositivos falando que era impossível extrair a seed, e agora muda tudo, falando que é possível extrair, é muito preocupante.
Não sabemos o que isso pode representar no futuro sobre possíveis exploits, pode ser que nunca tenha um, como pode ser que consigam de forma que ainda não imaginamos...

Um exemplo bem simples mas que já aconteceu com a Electrum, uma vez eles conseguiram colocar somente uma mensagem no aplicativo, mais nada, até aí tudo bem. Porém com essa mensagem eles fizeram algumas pessoas baixarem uma versão hackeada da carteira e aí retiraram seus fundos.
Imagina uma coisa dessa acontecendo com a Ledger Live e aí alguém clica, vai pra uma página e tem sua seed extraída...

São só ideias, mas podem acontecer
legendary
Activity: 3304
Merit: 1617
May 25, 2023, 03:20:42 PM
#44

Mesmo que eu esteja muito longe de ser considerado um ladrão, criminoso ou algo do tipo, dentre todos que eu gostaria de manter minhas chaves longe, o governo está no topo de minha lista.

Hahahaha. Está se escondendo do "Estado Malvadão". Fica tranquilo que tem advogado que cobra baratinho e ainda por cima aceita pagamento de honorários em Bitcoins. Mas pode ficar tranquilo. o "Estado Malvadão" está atrás de peixe grande. Custa muito caro ir atrás de sardinhas, além de ser improdutivo fazer isso.  Grin Grin
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 25, 2023, 01:53:32 AM
#43
Andam a tentar apagar o fogo que começaram, mas quanto mais falam, mais lenha metem na lareira.

Acho que é desde que vemos uma das empresas mais antigas e solidas do setor a "cair".
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
May 24, 2023, 07:06:51 PM
#42
O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.

Aí que tá... eu sempre tive na cabeça que a seed era impossível de ser extraída devido à limitações físicas do hardware onde nem um update de firmware poderia ser capaz de ter acesso à essa informação.
Então, mesmo que eles voltem atrás agora e digam que não vão mais lançar, a confiança nos produtos da Ledger está permanentemente arruinada para mim.

E para complicar ainda mais a situação... vocês viram essa notícia aqui?
Ledger pode ser obrigada por governos a revelar senha de cold wallet, admite CEO [link]

Mesmo que eu esteja muito longe de ser considerado um ladrão, criminoso ou algo do tipo, dentre todos que eu gostaria de manter minhas chaves longe, o governo está no topo de minha lista.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 24, 2023, 09:12:39 AM
#41
É exatamente isso que me preocupa mais
Mesmo tendo uma Ledger Nano S, que supostamente não vai ter esse recurso, mesmo não atualizando a firmware, e mesmo não aderindo ao recovery, todos donos de Ledger podem correr perigo por simplesmente existir essa forma de extrair a seed

Agora levanto a questão:
Mesmo isso sendo possível. A pessoa irá precisar ter o PC infetado com um "bichinho" para que algum azar do género aconteça. No final, a pessoa deve continuar a usar tudo com cuidado.

legendary
Activity: 2366
Merit: 1408
May 24, 2023, 07:19:18 AM
#40
O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.

É exatamente isso que me preocupa mais
Mesmo tendo uma Ledger Nano S, que supostamente não vai ter esse recurso, mesmo não atualizando a firmware, e mesmo não aderindo ao recovery, todos donos de Ledger podem correr perigo por simplesmente existir essa forma de extrair a seed

No momento que lançarem o recurso, pode ter certeza que vai ter pessoas ou grupos trabalhando 24h pra encontrar um exploit, afinal vai valer muito a pena caso consigam, a recompensa será enorme
legendary
Activity: 2758
Merit: 6830
May 24, 2023, 01:09:38 AM
#39
E a Ledger deu um passo pra trás depois de tanta repercussão negativa.
Eles adiaram o lançamento do nosso serviço de recovery e informaram que antes do lançamento vão oferecer o open source do serviço

Porém me parece que nem isso vai bastar pra melhorar a imagem da empresa nesse momento, pois ninguém está gostando da ideia mesmo assim
O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.
legendary
Activity: 2366
Merit: 1408
May 23, 2023, 08:20:05 PM
#38
E a Ledger deu um passo pra trás depois de tanta repercussão negativa.
Eles adiaram o lançamento do nosso serviço de recovery e informaram que antes do lançamento vão oferecer o open source do serviço

Porém me parece que nem isso vai bastar pra melhorar a imagem da empresa nesse momento, pois ninguém está gostando da ideia mesmo assim

Só achei a notícia em inglês por enquanto: https://www.coindesk.com/business/2023/05/23/crypto-wallet-provider-ledger-postpones-release-of-key-recovery-service-after-public-criticism/
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 22, 2023, 06:50:18 AM
#37
Vou te dar uma ideia. Cria um canal no Youtube. Depois pega sua Ledger e passa com o Automóvel em cima dela. Não sendo suficiente, tu dá umas marretadas nela. Destruindo por completo. Filma tudo isso. Depois coloca no Youtube. Garanto que terá umas 300 mil visualizações com o seu vídeo. Monetiza ele. Com essas visualizações dá para arrecadar uns 200 dólares. Daí você compra uma Trezor Modelo T direto de fabrica. Hoje ela está 185 doletas. E ainda sobra 15 doletas para comprar um lanche. Lembrando que em Portugal não tem taxa de importação.
Gostou da ideia Huh

Gostei da ideia! Mas tenho de ser ainda mais radical.
Tipo, atirar de um penhasco. Atirar do 10º andar. Enfim, fazer uma sequencias de peripécias para destruir a Ledger.  Roll Eyes

Já o que toca as taxa de importação, vou ter de pagar o IVA (23%) e ainda taxas administrativas +/-15€. O valor final deverá ficar perto dos 240€. Angry
legendary
Activity: 3304
Merit: 1617
May 21, 2023, 02:00:51 PM
#36

Basicamente é o que vou fazer.

Eu já não usava o Ledger Live. Então basicamente é continuar o que tenho vindo a fazer, usar o Electrum para aceder ao hw quando preciso.
Não faço intensões de levar a hw para lado nenhum, e quando achar por bem gastar mais uns euros numa nova hw logo trado disso.

Vou te dar uma ideia. Cria um canal no Youtube. Depois pega sua Ledger e passa com o Automóvel em cima dela. Não sendo suficiente, tu dá umas marretadas nela. Destruindo por completo. Filma tudo isso. Depois coloca no Youtube. Garanto que terá umas 300 mil visualizações com o seu vídeo. Monetiza ele. Com essas visualizações dá para arrecadar uns 200 dólares. Daí você compra uma Trezor Modelo T direto de fabrica. Hoje ela está 185 doletas. E ainda sobra 15 doletas para comprar um lanche. Lembrando que em Portugal não tem taxa de importação.
Gostou da ideia Huh
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 21, 2023, 01:40:55 AM
#35
Edit: Um exemplo que pensei, se caso não confiar mais na Ledger, pode usar a hardwallet para somente gerar seeds e usar com softwares terceiros, tipo a Electrum, e não usar mais a Ledger Live ou atualizar qualquer coisa na Ledger. E sempre ficar de olho nas notícias pra ver se não teve nenhum exploit etc

Basicamente é o que vou fazer.

Eu já não usava o Ledger Live. Então basicamente é continuar o que tenho vindo a fazer, usar o Electrum para aceder ao hw quando preciso.
Não faço intensões de levar a hw para lado nenhum, e quando achar por bem gastar mais uns euros numa nova hw logo trado disso.
legendary
Activity: 2366
Merit: 1408
May 20, 2023, 03:24:03 PM
#34
Acho que isso depois entra na onda do radicalismo.
Mas, pronto cada um sabe de si, e gere as coisas da sua maneira.

[Pergunta de noob] Já agora, a pessoa com a seed consegue abrir a carteira em qualquer software de carteira, correto?

É a revolta dos usuários por terem mentido

Sobre a seed, sim, você pode usar a sua seed da Ledger em um software de carteira que use a BIP 39, Electrum por exemplo

https://worldcoin.org/articles/what-is-seed-phrase

Edit: Um exemplo que pensei, se caso não confiar mais na Ledger, pode usar a hardwallet para somente gerar seeds e usar com softwares terceiros, tipo a Electrum, e não usar mais a Ledger Live ou atualizar qualquer coisa na Ledger. E sempre ficar de olho nas notícias pra ver se não teve nenhum exploit etc
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 20, 2023, 02:28:10 PM
#33
Já tem vários vídeos no Twitter das pessoas destruindo as ledgers  Cheesy

Acho que isso depois entra na onda do radicalismo.
Mas, pronto cada um sabe de si, e gere as coisas da sua maneira.

[Pergunta de noob] Já agora, a pessoa com a seed consegue abrir a carteira em qualquer software de carteira, correto?
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
May 20, 2023, 12:32:49 PM
#32
De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1

Cara, eu até acredito que seja possível fazer um monte de bloqueios e verificações a nivel de hardware que sejam facilmente verificáveis através de um software. Mas ainda assim eu fico na dúvida se não há sempre algum hacker que consiga utilizar de mecanismos originais da Trezor, por exemplo, ou então fazer um clone idêntico do componente e suas assinaturas e depois simplesmente adicionar algo intermediário apenas para ler o tráfego e eventualmente capturar oque lhe é interessante para injetar códigos mal intencionados.

Sei lá... mas hoje um simples "pendrive" de pessoas comuns carrega muito mais valor do que muitas contas bancárias de gente rica/famosa.
Não duvido nada que tenha empresas especialistas com muito dinheiro e fnucionários de mentes brilhantes trabalhando para bolar esquemas em cima dessas hardware wallets.

A única vez que comprei uma hardware wallet foi direto do fbricante, e ainda tomei todos os cuidados para me certificiar de que a embalagem não estava violada, de que ela aparentemente era original por fora e por dentro e ainda demorou para eu ter a confiança de passar meus míseros satoshis da walletpapper para a Nano S.
legendary
Activity: 2492
Merit: 1429
Payment Gateway Allows Recurring Payments
May 20, 2023, 12:17:55 PM
#31
Confesso aqui que eu fui um paranóico, não resisti e abri minha Ledger depois de uns dias após ter comprado.
Deu tudo certo, mas eu fiquei com a pulga atrás da orelha e achei melhor abrir. O processo foi bem simples até, mas bateu tudo certo com as fotos da versão da minha Nano S, pelo menos me deu tranquilidade (até agora rs)

Também recomendo abrir a Nano S quem tem, pois é bastante simples, risco quase zero de estragar.

Acho que está ai uma coisa que muita gente vai passar a fazer e talvez se torne um dos princípios de segurança a ser seguido. Foi tranquilo para abrir? vi ali no relatório da Kaspersky que a Trezor é bem chata pra abrir pois possui umas colas bem fortes unindo as partes.
legendary
Activity: 2758
Merit: 6830
May 20, 2023, 10:53:36 AM
#30
Os meliantes conseguiram burlar a verificação de segurança, você poderia instalar e atualizar o firmware que não seria acusado a alteração do aparelho.
Então... problema na arquitetura do dispositivo. Ainda que nada seja 100% infalível, há formas de dificultar esse tipo de adulteração. No caso que linkei, o desenvolvedor da HW assina e verifica mensagens assinadas com uma key própria do chip SE. Se ocorrer uma adulteração no chip, a mensagem já não bate mais. Aí só (também) com um software adulterado (que ninguem mais salva Tongue).
member
Activity: 139
Merit: 25
May 20, 2023, 10:45:43 AM
#29
Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança.

Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet
Parece ser um problema no mecanismo da Trezor. Será que a Ledger é tão suscetível quanto ela?

De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1

Outras hardware wallets parecem ter pensado melhor em resolver esse problema. Espero que as proximas versões sejam mais bem pensadas: https://shiftcrypto.ch/blog/supply-chain-attacks/

Os meliantes conseguiram burlar a verificação de segurança, você poderia instalar e atualizar o firmware que não seria acusado a alteração do aparelho.
legendary
Activity: 2366
Merit: 1408
May 20, 2023, 07:13:54 AM
#28
Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity

Confesso aqui que eu fui um paranóico, não resisti e abri minha Ledger depois de uns dias após ter comprado.
Deu tudo certo, mas eu fiquei com a pulga atrás da orelha e achei melhor abrir. O processo foi bem simples até, mas bateu tudo certo com as fotos da versão da minha Nano S, pelo menos me deu tranquilidade (até agora rs)

Também recomendo abrir a Nano S quem tem, pois é bastante simples, risco quase zero de estragar.

Já tem vários vídeos no Twitter das pessoas destruindo as ledgers  Cheesy


Fonte

legendary
Activity: 2758
Merit: 6830
May 19, 2023, 07:35:29 PM
#27
Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança.

Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet
Parece ser um problema no mecanismo da Trezor. Será que a Ledger é tão suscetível quanto ela?

De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1

Outras hardware wallets parecem ter pensado melhor em resolver esse problema. Espero que as proximas versões sejam mais bem pensadas: https://shiftcrypto.ch/blog/supply-chain-attacks/
legendary
Activity: 2492
Merit: 1429
Payment Gateway Allows Recurring Payments
May 19, 2023, 07:27:23 PM
#26
Mas a wallet é lida pelo software da Trezor e dada como original? Interessante a diferença entre os componentes. Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity

Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança.

Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet




legendary
Activity: 2758
Merit: 6830
May 19, 2023, 07:17:42 PM
#25
Sobre a Trezor também teve noticia polemica essa semana, nada de responsabilidade direta a eles mas a Kaspersky publicou um relatório sobre o aparecimento de HardWallets falsas da Trezor sendo vendidas por lojas não oficiais. Com a troca de componentes internos os invasores conseguiam roubar as chaves privadas. Normalmente a venda é feita por "bons" vendedores em termos de reputação dentro dos marketplaces e isso passa uma sensação de confiabilidade
Mas a wallet é lida pelo software da Trezor e dada como original? Interessante a diferença entre os componentes. Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 19, 2023, 06:24:39 AM
#24
Sorte a minha que não comprei a Nano S, vou escolher outro fabricante para minha próxima aquisição.

Eu comprei a minha primeiroa HW wallet (Nano S Plus) há uns 3-4 meses... Angry

Enfim, agora, para já aguenta facilmente. Não vou fazer qualquer atualização e para o meu uso é tranquilo.
Mas, daqui a uns tempos, talvez tenha de pensar em adquirir outra. Veremos.
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
May 18, 2023, 07:45:38 PM
#23
Qualquer das formas, eu continuo com a sensação que eles falharam na comunicação e as coisas não são bem como aparentam ser. Mas, agora o mal já está feito e dificilmente conseguem dar a volta. De certeza que as vendas baixaram nos últimos dias...

Com certeza, e o pior é que a concorrência parece estar querendo aprovietar esse momento para abocanhar os clientes da Ledger com várias promoções de 10 á 20% ou mais de desconto.

E o problema não foi só comunicação não, eles tentaram inventar algo para ser inovador (é assim que se destaca da concorrência) mas acho que a ideia da vez foi do estagiário Tongue

Vendas perdidas agora, certamente, mas também milhares de futura vendas que nunca mais serão concretizadas pois a Ledger manchou sua reputação e pelas últimos anúncios que andei lendo, parece que não vão voltar atrás.

Sorte a minha que não comprei a Nano S, vou escolher outro fabricante para minha próxima aquisição.
legendary
Activity: 2492
Merit: 1429
Payment Gateway Allows Recurring Payments
May 18, 2023, 05:27:05 PM
#22
Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Sobre a Trezor também teve noticia polemica essa semana, nada de responsabilidade direta a eles mas a Kaspersky publicou um relatório sobre o aparecimento de HardWallets falsas da Trezor sendo vendidas por lojas não oficiais. Com a troca de componentes internos os invasores conseguiam roubar as chaves privadas. Normalmente a venda é feita por "bons" vendedores em termos de reputação dentro dos marketplaces e isso passa uma sensação de confiabilidade:

legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 18, 2023, 03:01:24 PM
#21
Embora seja sempre recomendado entender o máximo possível sobre os produtos e serviços que utilizamos, reconheço que nem todos têm a capacidade de compreender 100% dos detalhes técnicos de uma hardware wallet. É uma questão de reconhecer nossas próprias limitações e tomar medidas para minimizar os riscos.

Entender o máximo possível é sempre muito subjetivo.

Eu tenho de carro, e não percebo de mecânica. Ok, tenho uma ideia de como as coisas funcionam, e consigo perceber algumas coisas, mas nunca me iria aventurar a mexer naquilo.  Cool
Acho que uma coisa é entendermos como as coisas funcionam, até por uma questão de cultura geral. Mas entender como funciona, não significa que se tem a capacidade de criar, manter, gerir, explorar a fundo, etc., isso que entendemos.

Mas, claro que concordo que devemos ter uma ideia de como as coisas funcionam, para entendermos minimamente os riscos que podemos passar e tomar as medidas adequadas ao conhecimento que se tem. E no mercado cripto isso é muito importante, principalmente a nível dos riscos.
legendary
Activity: 2366
Merit: 1408
May 18, 2023, 02:53:42 PM
#20
Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares

Não é uma boa solução, é uma ótima solução  Wink
Usando essa técnica do PC off-line você fica protegida tanto quando uma hardware wallet, só é incoveniente e mais trabalhosa se você tiver que movimentar muito a sua conta, mas ainda assim dá pra ter uma hotwallet pra movimentar no dia a dia e outras cold wallet só pra guardar mesmo.

Eu tenho uma ledger nano s, mas eu sempre dividi meus satoshis, e inclusive tenho um laptop super antigo que coloquei linux + electrum, deixei off-line depois de baixar a electrum, e gerei vários endereços de BTC, anotei tudo e está off-line até hoje.

Por isso, eu continuou achar que isto tudo foi uma enorme falha de comunicação, que dificilmente vão conseguir corrigir.

Pelo que estou lendo nos comentários da Ledger, é preocupante e vai mais além de falha de comunicação. Como eu disse, eles estão cientes do que estão fazendo, mas parece que tem uma postura da empresa que pode estar mudando.
legendary
Activity: 2366
Merit: 1408
May 18, 2023, 02:52:28 PM
#19
Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares

Não é uma boa solução, é uma ótima solução  Wink
Usando essa técnica do PC off-line você fica protegida tanto quando uma hardware wallet, só é incoveniente e mais trabalhosa se você tiver que movimentar muito a sua conta, mas ainda assim dá pra ter uma hotwallet pra movimentar no dia a dia e outras cold wallet só pra guardar mesmo.

Eu tenho uma ledger nano s, mas eu sempre dividi meus satoshis, e inclusive tenho um laptop super antigo que coloquei linux + electrum, deixei off-line depois de baixar a electrum, e gerei vários endereços de BTC, anotei tudo e está off-line até hoje.

member
Activity: 105
Merit: 70
May 18, 2023, 02:49:51 PM
#18
Sempre tem aquela frase do não confie verifique né. Mas cara, quantas pessoas teria capacidade de entender 100% do funcionamento de uma hardwallet? Talvez seja um defit meu, mas mesmo se eu estudasse muuuito, eu não acho que seria capa de dizer CTz absoluta que eles não tem como ficar com a chave ou de fazer esse processos de abrir e entender lá dentro tudo. Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares

Embora seja sempre recomendado entender o máximo possível sobre os produtos e serviços que utilizamos, reconheço que nem todos têm a capacidade de compreender 100% dos detalhes técnicos de uma hardware wallet. É uma questão de reconhecer nossas próprias limitações e tomar medidas para minimizar os riscos.

No final das contas, o importante é adotar as medidas de segurança que você considera adequadas, levando em consideração o seu nível de conhecimento e conforto. Seja usando uma hardwallet, uma solução offline ou qualquer outra abordagem, o fundamental é tomar precauções para proteger suas criptomoedas e realizar transações de forma segura.
legendary
Activity: 3304
Merit: 1617
May 18, 2023, 02:39:58 PM
#17
Continuo com minhas Trezors, Nunca confiei na Ledger mesmo. Se aparecer algo que desabone as Trezors, daí sim abandonarei as hardwallets.  Shocked
legendary
Activity: 1428
Merit: 1568
May 18, 2023, 02:32:35 PM
#16
Sempre tem aquela frase do não confie verifique né. Mas cara, quantas pessoas teria capacidade de entender 100% do funcionamento de uma hardwallet? Talvez seja um defit meu, mas mesmo se eu estudasse muuuito, eu não acho que seria capa de dizer CTz absoluta que eles não tem como ficar com a chave ou de fazer esse processos de abrir e entender lá dentro tudo. Me parece bem mais simples confiar e verificar o simples, como isso de ter um PC velho a parte, formatado, criar as chaves offline e seguie o baile.

Claro que não dito que é uma boa solução, mas digo que é uma solução na qual eu tenho menos confiança em confiar decido minhas próprias limitações de compreensão de hardwares
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 18, 2023, 01:00:01 PM
#15
Nesse ponto eu acho que seria melhor ela assumir logo que errou feio e não lançar nenhum desses serviços. Agora se ficar batendo nessa tecla, a comunidade já está desacreditando no projeto.

A questão é que nesta fase, mesmo que assuma o erro, e digam que não vão lançar o serviço. Irá ficar sempre a sombra de uma eventual atualização irá abrir essa porta.
Alem disso, ficou passada a mensagem de que os hackers se procurarem bem vão encontrar a porta.

Por isso, eu continuou achar que isto tudo foi uma enorme falha de comunicação, que dificilmente vão conseguir corrigir.
legendary
Activity: 2366
Merit: 1408
May 18, 2023, 11:32:58 AM
#14
Eu vi num tweet antigo da Ledger onde ela afirmava que um update de firmware não conseguiria extrair as chaves privadas, e alguns meses depois (ontem dia 17) ela mesmo fala que:
Sempre foi possível tecnicamente fazer um update para a firmware, para facilitar a extração das chaves  Huh

Bem contraditório o que ela está fazendo.
Nesse ponto eu acho que seria melhor ela assumir logo que errou feio e não lançar nenhum desses serviços. Agora se ficar batendo nessa tecla, a comunidade já está desacreditando no projeto.
E como eu já disse, nunca é bom quando acontece essas coisas pois pode escalar para problemas maiores ainda.

O tweet seria esses: https://twitter.com/zackvoell/status/1659013010864603136
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 18, 2023, 08:00:38 AM
#13
to acompanhando as discussões no twitter e aparentemente toda hardware wallet teria essa questão com um update de firmware, me parece que a diferença principal seria o sistema ser open source ou não por isso trezor > ledger, apesar de que a trezor já teve exploits tbm

Agora, todo o mundo, esta a ficar contra tudo o que é hardware wallet. Entra-se numa onda bem radical...

Enfim, o melhor é mesmo arranjar um PC velho, montar lá uma wallet e pronto.  Roll Eyes
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
May 18, 2023, 07:33:37 AM
#12
Cara é bem preocupante, e pelo visto já gerou um barulho imenso pela internet.
Acho que eles devem voltar atrás com a repercussão que está tendo, e que ainda vai ter.

Eu não entendi bem se a proposta é fazer o usuário escrever a seed para ela ser guardada por eles, ou se eles vão extrair da hard wallet.
Se for a segunda opção, eu achei bem preocupante

O pessoal está discutindo aqui também: https://bitcointalksearch.org/topic/ledger-recovery-send-your-encrypted-recovery-phrase-to-3rd-parties-entities-5452900

Então, apesar de ambas as opções serem ruim, a segunda é imensamente pior orque contradiz tudo oque a Ledger tem falando até então de que a seed seria tão protegida a nível de hardware que nem mesmo um upgrade de firmware seria capaz de "arrancar" ela de dentro do equipamento.

Sempre gotei da Ledger, até porque volta e meia fazem umas promoções que compensam muito mais em relação à Trezor, mas confesso que também fiquei bem preocupado apesar de ainda ter uma NANO S, pois se a mentalidade dos cara hegaram à esse nível... complicado. Todos os produtos que carregam a marca Ledger acabam perdendo a credibilidade.

Por que será que fizeram isso? acharam realmente que seria um recurso "bacana" que os usuários aceitariam só porque a seed estaria criptografada em diferentes provedores? Tongue

to acompanhando as discussões no twitter e aparentemente toda hardware wallet teria essa questão com um update de firmware, me parece que a diferença principal seria o sistema ser open source ou não por isso trezor > ledger, apesar de que a trezor já teve exploits tbm

rola também muita emoção e drama de users decepcionados pela ledger ter vazado seus dados pessoais naquele vazamento com o shopify alguns anos atrás, tem gente que recebe phishing e ameaças até hoje.

o 0xfoobar tem alguns tweets legais sobre o assunto (mas bem enviesados contra a ledger)
https://twitter.com/0xfoobar/status/1658460603831263232?s=20
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 18, 2023, 01:40:11 AM
#11
Por que será que fizeram isso? acharam realmente que seria um recurso "bacana" que os usuários aceitariam só porque a seed estaria criptografada em diferentes provedores? Tongue

Acho que eles devem ter tanta pessoa a "reclamar" que perdeu a seed, que eles lembraram-se em criar algo para ajudar.

Qualquer das formas, eu continuo com a sensação que eles falharam na comunicação e as coisas não são bem como aparentam ser. Mas, agora o mal já está feito e dificilmente conseguem dar a volta. De certeza que as vendas baixaram nos últimos dias...
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
May 17, 2023, 07:50:10 PM
#10
Cara é bem preocupante, e pelo visto já gerou um barulho imenso pela internet.
Acho que eles devem voltar atrás com a repercussão que está tendo, e que ainda vai ter.

Eu não entendi bem se a proposta é fazer o usuário escrever a seed para ela ser guardada por eles, ou se eles vão extrair da hard wallet.
Se for a segunda opção, eu achei bem preocupante

O pessoal está discutindo aqui também: https://bitcointalksearch.org/topic/ledger-recovery-send-your-encrypted-recovery-phrase-to-3rd-parties-entities-5452900

Então, apesar de ambas as opções serem ruim, a segunda é imensamente pior orque contradiz tudo oque a Ledger tem falando até então de que a seed seria tão protegida a nível de hardware que nem mesmo um upgrade de firmware seria capaz de "arrancar" ela de dentro do equipamento.

Sempre gotei da Ledger, até porque volta e meia fazem umas promoções que compensam muito mais em relação à Trezor, mas confesso que também fiquei bem preocupado apesar de ainda ter uma NANO S, pois se a mentalidade dos cara hegaram à esse nível... complicado. Todos os produtos que carregam a marca Ledger acabam perdendo a credibilidade.

Por que será que fizeram isso? acharam realmente que seria um recurso "bacana" que os usuários aceitariam só porque a seed estaria criptografada em diferentes provedores? Tongue
legendary
Activity: 3304
Merit: 1617
May 17, 2023, 03:29:01 PM
#9

Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Trezor não entrega pro Brasil, comprou onde?

Uma comprei fora do Brasil e a outra comprei do Jefferson da Kriptobr. O cara é antigo na venda de hardwallets e na comunidade de bitcoins no Brasil. Conheço ele há vários anos. Antes mesmo dele se mudar para os Estados Unidos. Lembro quando ele começou. Vendia numa banquinha dentro das primeiras Bitcoinf.  Cheesy Cheesy
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 17, 2023, 09:35:07 AM
#8
Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Por acaso o meu modelo é o Nano S Plus.
Mas, é a mesma coisa, só uso o Electrum. Basta apenas não fazer nenhuma atualização.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
May 17, 2023, 08:08:33 AM
#7


No meu caso, estou tranquilo:


Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Trezor não entrega pro Brasil, comprou onde?

tem revendedores autorizados da trezor no Brasil
normalmente a galera compra na https://kriptobr.com/

conheço gente que já comprou por lá e é bem fácil, também dão descontos para quem paga direto em BTC.



Pra mim o comentário do mocaccino diz tudo:

I guess they have released this info on the wrong day... This should have been released on april 1st, since it has to be an april fool's joke.
If this is true, i'll never point people towards ledger hardware ever again... FFS, if this is true, they're completely demolishing everything a hardware wallet stands for...

Polêmico o update mesmo e apesar de achar uma burrada da parte deles fico curioso para saber como seria o processo, imagino que vc digitaria a seed no computador, o que por si só já é inseguro, e enviaria encriptada para eles, mas não sei.

por sorte eu não tenho criptomoedas mas se tivesse a Trezor me parece a melhor opção mesmo.



legendary
Activity: 2352
Merit: 6089
bitcoindata.science
May 16, 2023, 04:54:24 PM
#6


No meu caso, estou tranquilo:


Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Trezor não entrega pro Brasil, comprou onde?

A verdade é que nenhuma delas é fácil.comprar do Brasil, mas da.

A minha ledger comprei com um grupo de amigos e um estava indo pro exterior e trouxe.
Soube de pessoas q compraram trezor com revendedores locais, assim como a ledger.

A ledger entrega pro brasil mas as vezes não dá certo,  fica na receita..
member
Activity: 139
Merit: 25
May 16, 2023, 04:19:57 PM
#5


No meu caso, estou tranquilo:


Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked

Trezor não entrega pro Brasil, comprou onde?
legendary
Activity: 2366
Merit: 1408
May 16, 2023, 02:58:07 PM
#4
Cara é bem preocupante, e pelo visto já gerou um barulho imenso pela internet.
Acho que eles devem voltar atrás com a repercussão que está tendo, e que ainda vai ter.

Eu não entendi bem se a proposta é fazer o usuário escrever a seed para ela ser guardada por eles, ou se eles vão extrair da hard wallet.
Se for a segunda opção, eu achei bem preocupante

O pessoal está discutindo aqui também: https://bitcointalksearch.org/topic/ledger-recovery-send-your-encrypted-recovery-phrase-to-3rd-parties-entities-5452900
legendary
Activity: 3304
Merit: 1617
May 16, 2023, 02:16:40 PM
#3


No meu caso, estou tranquilo:


Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  Shocked
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
May 16, 2023, 02:12:59 PM
#2
Realmente é estranho uma empresa como a Ledger lançar este tipo de serviço. Ou então ele foi mal explicado o que causou este pânico, algo justificado.

No meu caso, estou tranquilo:
- O serviço não funciona Ledger Nano S, que é o que eu tenho.
- Só uso a o Ledger no Electrum.
member
Activity: 139
Merit: 25
May 16, 2023, 11:18:43 AM
#1
Está rolando um drama na comunidade crypto depois de lançaram um update do firmware da Ledger onde eles oferecem um serviço de recuperação de seed phrase, o problema é que isso significa que existe a coleta e portanto um risco de vazamento da chave privada.

Aparentemente a repercussão foi tanta que cancelaram o update.

Fontes: https://www.reddit.com/r/Bitcoin/comments/13iyous/do_not_update_your_ledger_and_consider_moving_to/
https://support.ledger.com/hc/en-us/articles/9579368109597-Ledger-Recover-FAQs?docs=true
Jump to: