Vulnerabilità wallet Electrum | Bitcointalksearch.org

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: jack0m on July 01, 2021, 01:20:15 PM

Quindi era uno scam?? Huh

Chi può dirlo?
Apparentemente si è trattato di una “leggerezza” di chi ha compilato il codice.
D’altra parte, queste sono cose serie. Affideresti i tuoi bitcoin a qualcuno che non sa neanche compilare un codice in sicurezza? Se non sa rispettare le basi, come può contrastare efficientemente minacce ben più gravi?

jack0m

legendary

Activity: 3570

Merit: 1985

Quindi era uno scam?? Huh

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: fillippone on April 15, 2021, 05:30:29 AM

Quote from: babo on April 15, 2021, 03:05:52 AM

ma cos ha di speciale sto wallet?
magari facciamo un thread apposito e lo provo pure io (come ho fatto per wasabi per esempio)

in ogni caso, mi stava venendo in mente una ipotesi bizzarra, la provo e poi vi faccio sapere

Diciamo che un buon punto di partenza è questo:

SPECTER WALLET RELEASES VERSION 1.3.0

Nel weekend lo provo, magari metto a cucinare il download della blockchain.

Alla fine non ho fatto nulla.
Se invece qualcuno lo avesse installato, attenzione!

https://twitter.com/k9ert/status/1410539042496823300?s=21

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on April 15, 2021, 03:05:52 AM

ma cos ha di speciale sto wallet?
magari facciamo un thread apposito e lo provo pure io (come ho fatto per wasabi per esempio)

in ogni caso, mi stava venendo in mente una ipotesi bizzarra, la provo e poi vi faccio sapere

Diciamo che un buon punto di partenza è questo:

SPECTER WALLET RELEASES VERSION 1.3.0

Nel weekend lo provo, magari metto a cucinare il download della blockchain.

babo

legendary

Activity: 3528

Merit: 4042

ma cos ha di speciale sto wallet?
magari facciamo un thread apposito e lo provo pure io (come ho fatto per wasabi per esempio)

in ogni caso, mi stava venendo in mente una ipotesi bizzarra, la provo e poi vi faccio sapere

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: cobalto on April 12, 2021, 05:14:23 AM

Quote from: fillippone on April 09, 2021, 06:41:44 PM

Quote from: babo on April 09, 2021, 02:15:37 AM

mitnick e' stato il primo in assoluto ingegnere sociale a livelli pro
se hai na backdoor entri fin quando lo 0day non viene sistemato
se invece, sai come exploitare le persone.. entri dove quando e sempre

perche il problema, o meglio, l'anello debole e' l'uomo

fidatatevi, ancora oggi vedo password appuntate nei postit

Colgo l'occasione per segnalare il wallet desktop Specter. Credo possa essere oramai considerato un'ottima alternativa ad Electrum.

Non l'avevo mai sentito ma sembra interessante. Come mai se ne parla pochissimo di questo software?

é un wallet nuovo, per ora limitato all'ambiente dei thinkerer.
Per la "mass adoption" à la Electrum servono tempi più lunghi.
Prometto che appena riesco farò una sorta di "report" su questo wallet.

babo

legendary

Activity: 3528

Merit: 4042

tutto questo perche in italia il legislatore si fa le pugnette con cose assurde piuttosto con le cose serie che servono
italia e' lo stato con piu avvocati e piu leggi in % alla popolazione.. ci sara un motivo?

io onestametne ho la gola secca a furia di dirlo in questi anni, non serve a niente..quindi tanto vale invece "sfruttare" la cosa a proprio favore

duesoldi

legendary

Activity: 2534

Merit: 2624

Quote from: alexrossi on April 12, 2021, 05:00:17 AM

Quote from: babo on April 12, 2021, 02:29:43 AM

il tipo ha dato la notizia in modo anonimo
non ha detto chi era e chi non era
non avrebbe senso dire di aver perso dei soldi in modo anonimo se non fosse vero

Vero... se la notizia è anonima, molto probabile sia vera... Non penso possa andare dall'ADE di turno a dire "ho fatto una public disclosure"

In queste cose il punto è che non hai possibilità di dimostrare che non hai più le chiavi quindi non puoi dimostrare di aver perso quei Btc.
Il problema vero è che se denunci questa perdita, poi NON puoi più movimentare quei Btc almeno fino a che un eventuale quantum computer possa "forzare" quella chiave (ma passerebbero anni). Se invece "qualcuno" movimentasse prima quei fondi beh….. per l'AdE di turno quel qualcuno saresti tu, e sarebbero dolori.

A quel punto sarebbe molto più efficace denunciare il furto delle chiavi, non di averle perse, perché così potresti sostenere che quei Btc siano poi stati spostati dal ladro. (occhio a non spenderli in modo che siano riconducibili a te)

cobalto

member

Activity: 313

Merit: 30

Quote from: fillippone on April 09, 2021, 06:41:44 PM

Quote from: babo on April 09, 2021, 02:15:37 AM

mitnick e' stato il primo in assoluto ingegnere sociale a livelli pro
se hai na backdoor entri fin quando lo 0day non viene sistemato
se invece, sai come exploitare le persone.. entri dove quando e sempre

perche il problema, o meglio, l'anello debole e' l'uomo

fidatatevi, ancora oggi vedo password appuntate nei postit

Colgo l'occasione per segnalare il wallet desktop Specter. Credo possa essere oramai considerato un'ottima alternativa ad Electrum.

Non l'avevo mai sentito ma sembra interessante. Come mai se ne parla pochissimo di questo software?

alexrossi

legendary

Activity: 3724

Merit: 1738

Join the world-leading crypto sportsbook NOW!

Quote from: babo on April 12, 2021, 02:29:43 AM

il tipo ha dato la notizia in modo anonimo
non ha detto chi era e chi non era
non avrebbe senso dire di aver perso dei soldi in modo anonimo se non fosse vero

Vero... se la notizia è anonima, molto probabile sia vera... Non penso possa andare dall'ADE di turno a dire "ho fatto una public disclosure"

babo

legendary

Activity: 3528

Merit: 4042

Quote from: alexrossi on April 10, 2021, 10:07:27 AM

Quote from: babo on April 08, 2021, 02:30:55 AM

senno si finisce come il tipo che ha perso 1440 btc

Volevo solo aggiungere: queste notizie le prendo molto con i piedi di piombo, perché potrebbe semplicemente essere uno che voleva dichiarare una perdita (fisco, etc...) ma in realtà non ha perso nulla.

il tipo ha dato la notizia in modo anonimo
non ha detto chi era e chi non era
non avrebbe senso dire di aver perso dei soldi in modo anonimo se non fosse vero

in ogni caso non sono esempi lontani, hanno sfruttato il bug delle comuincazioni di electrum vecchio buggato, quindi lui ha aperto un link malevolo con una versione taroccata

alexrossi

legendary

Activity: 3724

Merit: 1738

Join the world-leading crypto sportsbook NOW!

Quote from: babo on April 08, 2021, 02:30:55 AM

senno si finisce come il tipo che ha perso 1440 btc

Volevo solo aggiungere: queste notizie le prendo molto con i piedi di piombo, perché potrebbe semplicemente essere uno che voleva dichiarare una perdita (fisco, etc...) ma in realtà non ha perso nulla.

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on April 09, 2021, 02:15:37 AM

mitnick e' stato il primo in assoluto ingegnere sociale a livelli pro
se hai na backdoor entri fin quando lo 0day non viene sistemato
se invece, sai come exploitare le persone.. entri dove quando e sempre

perche il problema, o meglio, l'anello debole e' l'uomo

fidatatevi, ancora oggi vedo password appuntate nei postit

Colgo l'occasione per segnalare il wallet desktop Specter. Credo possa essere oramai considerato un'ottima alternativa ad Electrum.

babo

legendary

Activity: 3528

Merit: 4042

mitnick e' stato il primo in assoluto ingegnere sociale a livelli pro
se hai na backdoor entri fin quando lo 0day non viene sistemato
se invece, sai come exploitare le persone.. entri dove quando e sempre

perche il problema, o meglio, l'anello debole e' l'uomo

fidatatevi, ancora oggi vedo password appuntate nei postit

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: babo on April 08, 2021, 02:30:55 AM

kevin mitnick dice proprio questo (conosciuto come il condor)
l'anello debole della catena di sicurezza e' lo humanware e quindi basta fare leva su quello

qualsiasi soluzione e' inefficace se siamo noi a fallire
dobbiamo sempre tenere alta la nostra attenzione

senno si finisce come il tipo che ha perso 1440 btc

L'arte dell'inganno.
L'avrò letto 15 anni fa, ed ogni volta che passo per un tornello mi viene in mente quel famoso episodio....

bitcoin-shark

hero member

Activity: 2828

Merit: 605

io sapevo di un problema su electrum ma era di molto tempo fa,valide alternative sono trust wallet,coinomi per piccole somme ed un ledger per i propri risparmi

babo

legendary

Activity: 3528

Merit: 4042

kevin mitnick dice proprio questo (conosciuto come il condor)
l'anello debole della catena di sicurezza e' lo humanware e quindi basta fare leva su quello

qualsiasi soluzione e' inefficace se siamo noi a fallire
dobbiamo sempre tenere alta la nostra attenzione

senno si finisce come il tipo che ha perso 1440 btc

fillippone

legendary

Activity: 2114

Merit: 15144

Fully fledged Merit Cycler - Golden Feather 22-23

Quote from: cobalto on April 07, 2021, 12:20:35 PM

Vabbé ragazzi mica è la prima volta che ci sono problemi di sicurezza per i wallet hardware.
La sicurezza è sempre relativa quindi indipendentemente dallo strumento usato occorre sempre rimanere aggiornati. C'è poco da fare.
L'importante secondo me è non crearsi un proprio mondo dove si ritiene che quello che si sta usando sia l'unica cosa sicura.

Tanta saggezza in queste parole.
Il nemico numero uno della sicurezza è difatti proprio la (errata) convinzione di essere al sicuro.
È li che si commettono gli errori gravi.
Perché all’inizio, quando sappiamo-di-non-sapere allora stiamo attenti, valutiamo, studiamo.
Poi ci si abitua, ci si rilassa e Zac! Si resta fegati.
Ma non perché fallisce l’HW, perché falliamo noi facendo stupidate!

cobalto

member

Activity: 313

Merit: 30

Vabbé ragazzi mica è la prima volta che ci sono problemi di sicurezza per i wallet hardware.
La sicurezza è sempre relativa quindi indipendentemente dallo strumento usato occorre sempre rimanere aggiornati. C'è poco da fare.
L'importante secondo me è non crearsi un proprio mondo dove si ritiene che quello che si sta usando sia l'unica cosa sicura.

ZuonKing

sr. member

Activity: 521

Merit: 306

Quote from: gbianchi on April 06, 2021, 05:24:18 AM

Quote from: ZuonKing on April 06, 2021, 03:20:53 AM

Ma il core si può usare solo come wallet oppure bisogna mettersi in pancia tutta la blockchain?

Se usi l'opzione prune te ne registra solo una parte (anche se la sincro iniziale e' davvero lunga).

Altra precauzione che uso e' che lo tengo su una macchina virtuale NORMALMENTE SPENTA.
Ogni tanto la accendo per far sincronizzare (diciamo una volta al mese)

In passato avevo anche pensato di usare i wallet HW, ma dopo che un mio collega
si e' trovato presente nella lista dei dati rubati da ledger sono piu' contento della mia soluzione.
(https://www.cybersecurity360.it/nuove-minacce/il-leak-di-ledger-a-nudo-i-dati-di-migliaia-di-italiani-possessori-di-bitcoin/)

Questa storia non la conoscevo. E' spaventosa!
Alla faccia dell'anonimo!

gbianchi

legendary

Activity: 3066

Merit: 2595

Quote from: babo on April 06, 2021, 05:58:41 AM

il fatto di essere presente nella lista e' facilmente bypassabile
conoscendo il problema

io mi sono salvato (e con me i miei colleghi) perche me la sono fatta recapitare in ufficio
quindi, mi pare una soluzione intelligente

Beh nel mio caso non sposterei piu' di tanto il problema... la ditta e' mia

Inoltre non mi farebbe certo piacere se la MIA ditta finisse in una lista del genere perche'
qualche mio dipendente (senza chiedere autorizzazione) si facesse recapitare la roba qui.

babo

legendary

Activity: 3528

Merit: 4042

il fatto di essere presente nella lista e' facilmente bypassabile
conoscendo il problema

io mi sono salvato (e con me i miei colleghi) perche me la sono fatta recapitare in ufficio
quindi, mi pare una soluzione intelligente

gbianchi

legendary

Activity: 3066

Merit: 2595

Quote from: ZuonKing on April 06, 2021, 03:20:53 AM

Ma il core si può usare solo come wallet oppure bisogna mettersi in pancia tutta la blockchain?

Se usi l'opzione prune te ne registra solo una parte (anche se la sincro iniziale e' davvero lunga).

Altra precauzione che uso e' che lo tengo su una macchina virtuale NORMALMENTE SPENTA.
Ogni tanto la accendo per far sincronizzare (diciamo una volta al mese)

In passato avevo anche pensato di usare i wallet HW, ma dopo che un mio collega
si e' trovato presente nella lista dei dati rubati da ledger sono piu' contento della mia soluzione.
(https://www.cybersecurity360.it/nuove-minacce/il-leak-di-ledger-a-nudo-i-dati-di-migliaia-di-italiani-possessori-di-bitcoin/)

babo

legendary

Activity: 3528

Merit: 4042

bel bug senza dubbio
nel dubbio il mio consiglio e' di non avere 1010100 programmi da tenere aggiornati (per non vivere col patemi)
comprati un hw wallet a tua scelta

te lo straconsiglio (poi se vuoi fatti il mio corso di sicurezza per trader)

ZuonKing

sr. member

Activity: 521

Merit: 306

Quote from: gbianchi on April 04, 2021, 05:16:34 AM

Quote from: ZuonKing on April 04, 2021, 04:26:24 AM

Solo ora vengo a scoprire di questa vulnerabilità:

https://www.securityinfo.it/2020/10/13/attacchi-ai-wallet-electrum-bitcoin-fruttano-22-milioni-di-dollari-ai-pirati/

https://it.cointelegraph.com/news/binance-may-know-who-is-behind-the-1-400-btc-electrum-wallet-hack

Purtroppo, sebbene io sia abbastanza sicuro di non aver avuto comportamenti "a rischio", un po' d'ansia per i miei BTC mi è venuta ed ora mi sto chiedendo se ad oggi Electrum sia ancora la soluzione migliore.

Voi che ne pensate?
Suggerimenti su altri wallet?
Voi sapevate di questo problema su Electrum?

ZK

Io ho sempre usato bitcoin core come "cassaforte", proprio per evitare di dover anche correre dietro a tutti i bug del mondo.
Presumo che ogni bug serio di core diventi noto e venga patchato velocemente.
Ovviamente poi gli spiccioli in wallet piu' "comodi", ma il nocciolo su core.

Ma il core si può usare solo come wallet oppure bisogna mettersi in pancia tutta la blockchain?

gbianchi

legendary

Activity: 3066

Merit: 2595

Quote from: ZuonKing on April 04, 2021, 04:26:24 AM

Solo ora vengo a scoprire di questa vulnerabilità:

https://www.securityinfo.it/2020/10/13/attacchi-ai-wallet-electrum-bitcoin-fruttano-22-milioni-di-dollari-ai-pirati/

https://it.cointelegraph.com/news/binance-may-know-who-is-behind-the-1-400-btc-electrum-wallet-hack

Purtroppo, sebbene io sia abbastanza sicuro di non aver avuto comportamenti "a rischio", un po' d'ansia per i miei BTC mi è venuta ed ora mi sto chiedendo se ad oggi Electrum sia ancora la soluzione migliore.

Voi che ne pensate?
Suggerimenti su altri wallet?
Voi sapevate di questo problema su Electrum?

ZK

Io ho sempre usato bitcoin core come "cassaforte", proprio per evitare di dover anche correre dietro a tutti i bug del mondo.

Presumo che ogni bug serio di core diventi noto e venga patchato velocemente.

Ovviamente poi gli spiccioli in wallet piu' "comodi", ma il nocciolo su core.

ZuonKing

sr. member

Activity: 521

Merit: 306

Solo ora vengo a scoprire di questa vulnerabilità:

https://www.securityinfo.it/2020/10/13/attacchi-ai-wallet-electrum-bitcoin-fruttano-22-milioni-di-dollari-ai-pirati/

https://it.cointelegraph.com/news/binance-may-know-who-is-behind-the-1-400-btc-electrum-wallet-hack

Purtroppo, sebbene io sia abbastanza sicuro di non aver avuto comportamenti "a rischio", un po' d'ansia per i miei BTC mi è venuta ed ora mi sto chiedendo se ad oggi Electrum sia ancora la soluzione migliore.

Voi che ne pensate?
Suggerimenti su altri wallet?
Voi sapevate di questo problema su Electrum?

ZK

Topic: Vulnerabilità wallet Electrum (Read 303 times)