Bitcoin Forum

Bitcoin TREZOR это аппаратный Биткоин кошелек, который позволяет совершенно безопасно совершать транзакции и хранить ваши монеты.

Представляет собой небольшое устройство с двумя кнопками, подключаемое к компьютеру по USB интерфейсу:


http://doc.satoshilabs.com/trezor-faq/_images/trezor_transparent.png


С его помощью ваши биткойны будут в полной сохранности, так как приватные ключи от адресов хранятся в самом устройстве и никогда не предаются на компьютер или в сеть.
Таким образом, можно не бояться вирусов, кейлоггеров или компрометации компьютера злоумышленником (как в случае с обычными программными кошельками) - ваши монетки будут надежно защищены от всех этих бед.

Не буду сильно вдаваться в описание девайса, всю эту информацию можно прочитать на официальном сайте (http://www.bitcointrezor.com) разработчика или в официальной ветке (https://bitcointalk.org/index.php?topic=122438.0) на форуме.

После длительных процессов разработки, предзаказа и производства, TREZOR наконец появился (https://www.buytrezor.com) 2 августа в свободной продаже по цене $119, с оплатой биткойнами по курсу Bitstamp. Доставка по всему миру уже включена в эту стоимость.

Собственно, заказал ли уже кто-нибудь этот чудо-девайс? Или быть может среди нас есть счастливчики, обладатели устройств “First Edition”?  :)

В настоящий момент к покупке предлагается устройство в следующем (https://www.buytrezor.com/product_sheet/8) исполнении:

http://i004.radikal.ru/1408/01/69024814b2a8.png

И зачем он нужен. Флешки вполне достаточно

если будет флешка и компьютер будет заражён, то хакеры легко украдут кошелёк. А с trezor вроде как гарантируется защита закрытых ключей даже в заражённом компьютере

Флешка нужна для бекапов файлов программного кошелька, того же Bitcoin Core.

Тут же речь идет о полноправном биткоин-кошельке в аппаратном исполнении, где бекапы отпадают за ненадобностью. При поломке или утере устройства, все ваши данные, включая адреса, приватные ключи и историю транзакций, могут быть легко восстановлены из семени (secret seed) - случайного набора слов, известного только вам. Как это реализовано в кошельке Electrum, например.

Вещичка, конечно, интересная, но многие для удобства пользуются интернет-кошельками, для таких людей гаджет бесполезный...

Покупаете 2-3 флешки. На каждую записываете бекап кошелька в архиве с паролем. Вот и все. И вирус не страшен и дешево.

Согласен, таким людям TREZOR действительно не нужен :) Причина проста - если ты пользуешься интернет-кошельком, значит и терять тебе толком не чего.
Устройство же будет интересно в первую очередь тем людям, у которых криптосбережения превышают хотя бы пару-тройку биткойнов и которые не хотят лишиться своих монет. Трезор идеально подходит как для ежедневного использования, так и для хранения любого большого количества BTC с гарантией их полной сохранности и не доступности третьим лицам.

Так же думали те, кто уже лишились своих битков, став жертвой вредоноса или в результате атаки.
Вирус страшен - он может снять копию вашего программного кошелька и пароль к нему еще до того, как вы положите файл-кошелек в архив под пароль и размножите по куче флешек. Да и после резервного копирования, если подцепить вирус, ничто не помешает злоумышленнику забрать себе все ваши кровные.

Разработчики рассказывают о гаджете: http://youtu.be/xObssnQwVgg

Видео безопасного ввода пин-кода и совершение транзакции: http://youtu.be/E6lEIlH6MR8

Теперь, помимо белого, для заказа доступны гаджеты в сером и черном исполнении:

http://s017.radikal.ru/i419/1501/54/3b2740826b63.jpg

Сравнительная таблица впечатляет  8)

Интересно какой гарантийный срок эксплуатации данного девайса, кто знает?

его можно починить недорого, и даже собрать самостоятельно (https://bitcointalk.org/index.php?topic=939990.0) при желании

главное не профукать сид - 24 слова.

Интересная вещь. Правда для тех, кому есть что в кошельке хранить.

Вещица и в самом деле крутая, но не для того кто хранит пол-битка, это так скажем вещь для относительно крупных сумм, и для того кто заботится о своей безопасности намного более чем средний юзер. И срок экплуатации особого значения не имеет  потому как все битки даже в случае утери, повреждения или кражи девайса восстанавливаются при наличии нового устройства благодаря seed-фразе за пять минут. И напоследок - в трезоре не так давно реализована функция менеджера паролей - удобнейшая вещь в сочетании со всеми достоинствами и плюсами безопасности трезора - делает штукенцию просто незаменимой для любого криптопараноика. Юзаю уже года два всем доволен. Удивляет что о нем знают так мало людей.

А приватные ключи можно для себя записать на всякий случай или он их никому не показывает ?

А кто-ниюудь юзал трезор для нескольких кошельков? К примеру к моему прикреплен MEW, еще хочу прицепить Electrum. Это вообще возможно или надо брать под разные кошельки разные трезоры?

Точно знаю что не надо несколько,electrum можно погугли Electrum Trezor,насчет других не знаю

Спасибо, тоже его рекомендовали. Сначала надо накопить нужную сумму в биткоинах и положить в запас, а пока деньги в работе

Хороший аппарат но исполнение хромает видимо разработчики его в подвале собирали. Подожду пока они разбогатеют и выпустят что-то по приличнее за такие деньги.

Да, спасибо, погуглил, оказалось, что можно и электрум прицепить и электрум LTC. Их плагин для браузера в тч поддерживает несколько валют + он же синхронькает с миу, оч удобно.

Хм, а мне наоборот нравится такая неприметность девайса. Он выглядит как дешевая китайская флеха. То есть к примеру для аутентификаторов разных - просто зебест. Телефон могут стащить, а эта хрень точно нафик никому не нужна  ;D

Столкнулся с проблемой. Есть кошелек TREZOR. На него (1MHNVBZW8pqtQs2zJPNMHso6aNGNYuE7L5) перевел с онлайн кошелька 1 биток.
Захотел халявной раздачи байтбеллов. В итоге, номер этот привязал к кошельку байтбеловскому. А бот ихний пишит, что НОЛЬ у вас биточков то.
Я пошел в блокчейн посмотреть, что да как. В итоге и там баланс нулевой. Я в трезор, там все четко - висит один, родимый. Ничего понять не могу. Ну, думаю, если действительно хакнули, то и перевести я его не смогу на онлайн кошелек. В итоге перевел, 6 подтверждений пришло, я выдохнул. Теперь вопрос: что произошло, какой все таки номер я должен указать боту, чтобы он смог зафиксировать битки в TREZORE и начислить мне байтбэллов?
 
 

У байтболлов в их вики есть отличный мануал на эту тему, сейчас нет ссылки под рукой, но постараюсь объяснить без всякой непонятной технической ереси "на пальцах":
для крипты характерна периодическая смена адреса. То есть если изначально у тебя был 1 биток, затем спустя сколько-то транз ты перевел себе еще битка (трезор тебе адрес обязательно несколько раз сменил), бот не увидит все битки, тк для него они как бы на разных кошельках. А бот смотрит именно тот адрес, на котором битки по факту осели. Самое простое решение, когда ты вывел с биржи себе на кошель на адрес ххх сколько-то битков. Затем этот же адрес суёшь боту. Тогда бот точно увидит именно эти битки на этом конкретном адресе. Я еще делал так: у меня на кошельке скопилось битков от нескольких транз, я просто взял сгенерил себе новый адрес у трезора, перевел себе же свои битки, таким образом они оказались ВСЕ сразу на одном адресе. Поучаствовал в айрдропе и спокойно пользовался дальше без заморочек.

Спасибо, реально помог!!!

Кто покупал Трезор - какие трудности с заказом и доставкой?

Как мне не потерять мои 89 евро, преобретая Трезор?

У меня никаких проблем не было, пришел за две недели, заьрал на почте (ДХЛ для России не работал). Там нормально всё на их стороне, ожидать подвоха разве что от русской почты можно.

Сообщаю о моём процессе покупки Трезора.

Мелкий пакет из Чешской Республики

По состоянию на 15.08.2017 с помощью трекера я не получил больше никаких сведений о моей посылке.

Почта России
Выпущено таможней
13 августа 2017, я скрыл запись 102976, Шарапово

Прием на таможню
13 августа 2017, я скрыл запись 102976, Шарапово

Прошло регистрацию
13 августа 2017, я скрыл запись 102976, Шарапово

Прибыло на территорию России
12 августа 2017, я скрыл запись 102976, Шарапово

Почта Чешской Республики
Ожидает отправки из Чешской Республики
10 августа 2017, я скрыл запись Чешская Республика

Принято в отделении связи
10 августа 2017, я скрыл запись Чешская Республика

8 августа я успешно оплатил покупку через интернет-магазин Трезора по рублёвой банковской карте.

Мелкий пакет 37 г.

Кому: я скрыл запись

Ну как? Доехал ваш трезор?

17.08.2017 не мог получить доступ к настоящему форуму. Получал сообщение, что неверная каптча.

18.08.2017 мне удалось войти в настоящий форум при тех же настройках компьютера, что и 17.08.2017.

Я успешно получил посылку с Трезором на моей почте
Покинуло сортировочный центр
17 августа 2017, мой посёлок
Прибыло в сортировочный центр
17 августа 2017, мой посёлок
Покинуло сортировочный центр
16 августа 2017, мой областной сортировочный пункт
Прибыло в сортировочный центр
16 августа 2017, мой областной сортировочный пункт

17.08.2017 успешно получил купленный Трезор, а на следующий день прочёл убойную новость про этот кошелёк.
 
18.08.2017 в Телеграмм я обнаружил ссылку на статью

https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8

В этой статье пишется, что Трезор легко взламывается.

Trezor — security glitches reveal your private keys!
As we all know, a few weeks ago there was a presentation about Trezor “glitches cause stitches” attacks at DEFCON 25. These attacks are possible because Trezor is using non-secure chips made by STMicroelectronics. The most important question everyone should ask is:
“Is the ST32F05 vulnerable to fault injection?”
“Absolutely, yes!” — that’s the answer we got at DEFCON 25. So, the ST32F05 chip is really doomed.

There is absolutely nothing that Trezor can do about it. They can’t replace all existing hardware. And the really bad news is that this also applies to Keepkey and to the upcoming Trezor v2 — it also uses similar STMicroelectronics chip!
A simple version of the hack revealed here also works without fault injection and is demonstrated below.
Trezor so far greatly downplays the importance of this hack. There is no long-term access needed to copy all your secret information from Trezor using this hack, it can be done just in 15 seconds. If your Trezor is stolen, you don’t even have time to transfer you funds to a new address.

Government authorities can access all your Bitcoins and other crypto currencies without even asking for your consent. If you are crossing an international border, TSA can easily check your balances, etc. IRL, Trezor is as safe as leaving your cash or wallet on the table. On top of all that, your Trezor can be restored to its original state or replaced with identical Trezor with the same configuration, you wouldn’t even notice any difference until it is too late.

The Hack
This is one of the hacks that was discovered more than six months ago. A proof-of-concept version of this hack was developed on March 29th, 2017. Since Trezor has finally provided the hot-fix for this particular hack we can also fully disclose how it works.
Here we demonstrate how the hack works without even needing “fault injection”.
Your seed words are never supposed to be accessible outside of the Trezor device. This should be the most well-kept secret — but it’s not! This is the only reason why Trezor should exist.

Not only extracts this hack your 24-word seed but also your PIN code and Device Label! WTF!! With this information, you could make exact copy of the Trezor device!

And now, without knowing the PIN or anything about the device, just in 15 seconds it can be hacked and all private information can be extracted! This is a combination vulnerabilities of both in hardware and software design that can’t be fixed without replacing the devices. After hacking, the device can be left in it’s original state, all data intact. You will never know that it was hacked!

The key to performing this hack is simply connecting two pins inside the Trezor device at the right time, even paperclip is suitable for this.
Only a simple version of this hack requires the disassembly of Trezor. A more advanced version also exists. No disassembly is required!
Why this hack works? As soon as you connect your Trezor to a power source such as a computer, without entering any PIN codes or opening any websites, the Trezor device firmware by itself fills the SRAM with all your sensitive secret information. How stupid is that? Even more troublesome is the fact that during the firmware update, the bootloader is doing exactly the same thing! This goes against all security best practices that we know about.

Кто может что-либо сказать об этом?

Насколько я понял, они устранили этот хак последней обновой. Но вообще уверен, что будут и другие дырки. К сожалению ничто не вечно под луной и крупные суммы на хардварных всё равно хранить не стоит. Крипта пока только развивается, тут каждый день кого-то да хакают  >:(
"Радует" только, что ледгер еще дырявее... Трезор, хоть и выглядит ущербно, надёжней, ну и хоть не сопрут в метро.

Баловство все эти аппаратные кошельки. Создать свою энтропию, из нее 12 сеед фразу. Энтропию запомнить. Все.

Не спорю, очень хорошее решение для холодного хранения. Но когда речь об одной валюте, иначе очень много пришлось бы запоминать сидов. А аппаратные кошельки позволяют удобно оперировать несколькими кошельками с разными валютами. Это очень удобно, если говорить о трейдинге и краткосрочных сделках. Про долгосрок - бесспорно надо иметь холодное хранилище и держать сиды в надежных местах либо запоминать.

По состоянию на сегодня, 28.08.2017, в сети Биткоина заработал Сегвит. Как изменить адреса в Трезоре, чтобы они соответствовали Сегвит?

Что-то на сайте Трезора ничего не нашёл.

Но при этом уже есть статья

http://forklog.com/komanda-trezor-zayavila-o-svoej-gotovnosti-k-aktivatsii-segregated-witness/

Кто что думает об этом?

для безопасности єта штука надёжная ,но можно не париться и ,как написано выше, 2-3 флешки и запоролить архив

задум хороший , но надо над ним ищо работать, а вот какраз флешка не надьожна

...Всем привет.... Такой вопросец.... последнее время на трезоре ничего не держал, все битки были на биржах, соответственно - баланс был нулевой....  приходили смски насчет обновлений прошивки - все вовремя обновлял как послушный и как-то совсем не обратил внимание а сейчас смотрю - истории транзакций нету ! Все исчезло и как будто новый девайс ! Смотрел и так и эдак - не вижу хоть ты тресни. Неприятная херня если честно - там куча нужных данных было которые терять ой как не хотелось бы.... и как бы я не пойму почему она пропала ? Из-за обновлений прошивки что-ли ? Если да то какого хрена об этом не было нигде никаких предупреждений ???? Или может я что-то сделал не так ???  Прошу компетентных ответов от тех кто юзает девайс или от тех кто способен внятно обьяснить в чем собственно проблема и возможно ли восстановить историю транзакций ????!!!!      

UPD

Отбой тревоги. Разобрался с ситуацией - там два типа аккаунтов оказывается в преддверии активации Сегвита. Сообщение пусть висит - мало ли кому поможет)

>для безопасности єта штука надёжная ,но можно не париться и ,как написано выше, 2-3 флешки и запоролить архив

А есть где то инструкция, как это запилить?

А что тут не понятного? Если ты знаешь как скачать кошель - просто скидываешь его на флшку в архив и пароль. все

Нужен он для того, даже если твой комп заражен троянами, ты смоетесь покойно подключить его и подписать транзакцию, не боясь что твои бабки угонит трой.

спасибо) это лучший кошелек что я знаю

Кент, скажи пожалуйста, какой кошель лучше качать, где хранить и как удобней все это реалзовать? Буду благодарен, т.к. я и многие тут новички, и хотят разобраться с инновацией сией;)

Интересно какой гарантийный срок

Трезор предоставил возможность получить Bitcoin Gold.

Я прочёл инструкцию. И не понял - как будут храниться BTG?
Какой-то новый бета-кошелёк заводится. Бета - значит нестабильный!
Боюсь потерять свои BTC.
Кто-нибудь разбирался с этим процессом? Давайте пообщаемся.

Я бы не назвал это "взломом" или "хаком" вообще. Тут вся уязвимость начинается с того, что для начала нужно у вас украсть само устройство (физически). И после этого производить с ним некоторые манипуляции - либо "замораживать", либо вскрывать корпус и закоротить определенные контакты на процессоре параллельно перепрошивая устройство специально подготовленной прошивкой.

От "специалиста" сочетающего в себе качества вора-домушника способного найти и выкрасть устройство и хакера (ну или хотя бы приличного IT-специалиста) вообще мало что поможет. Монеты с тех же "бумажных" биткоин кошельков считающихся эталоном надежности если их физически найти и спереть уводятся еще легче - вору не нужно быть хакером, достаточно иметь общие представления что такое биткоин и как примерно все работает (чтобы осилить импорт ключей/сид фразы в другой кошелек с украденной бумажки). Тут все зависит от того, насколько хорошо их спрятали.

А предназначение подобных устройств - надежная защита от вирусов, троянов и удаленных (через интернет) попыток взлома хакерами. С которыми они справляются на отлично - никаких уязвимостей, позволяющих что-то украсть удаленно насколько знаю до сих пор найдено не было.

Конкретную уязвимость вроде как закрыли, но подобного плана уязвимости могут быть еще. Вся безопасность подобных решений базируются на том, что злоумышленники не имеют физического доступа к ключам/устройству, а действуют удаленно. Так то можно и флешку выпаивать из украденного устройства и подключать к другому специально спроектированному где все с нее считать.

Приватные ключи он никому не показывает, транзакции подписываются внутри устройства, наружу пересылается только уже подписанная транзакция. В этом смысл и суть подобных устройств.

Но при начальной настройке устройства можно (и нужно) записать и сохранить в каком-нибудь надежном месте длинную seed фразу из которой потом устройство генерируют все приватные ключи для используемых кошельков. Имея эту фразу потом можно заново сгенерировать все приватные ключи на любом другом совместимом с этим стандартном устройстве(не обязательно Трезор) или программном кошельке. Это на случай если с самим устройством что-нибудь случится.

Где можно почитать про алгоритм работы seed фразы.
Каким образом устройство на основе ее генерирует приватные ключи?

Вот тут про то как сид-фразы и иерархические (HD) кошельки работают довольно неплохо написано:

https://bitnovosti.com/2017/07/16/sozdayom-bekap-vashih-bitcoinov/

Bkb в оригинале:

https://blog.trezor.io/seed-pin-passphrase-e15d14a0b546

http://doc.satoshilabs.com/trezor-tech/cryptography.html#mnemonic-recovery-seed-bip39


Или гуглить по названиям стандартов - BIP32 (описывает как из одного очень длинного пароля/ключа генерируется произвольное количество пар открытый/закрытый ключ для работы с монетами и достаточно знать только первый "мастер" ключ, чтобы восстановить/заново сгенерировать все последующие)

И BIP39 - описывает стандарт, как длинный мастер ключ (для BIP32) записать/сохранить в виде фразы из набора простых слов (12 или 24 обычно) которые легче запоминать/записывать (включая контроль ошибок - защита от опечаток/пропущенных букв), которые и называют сидом или сид-фразой.

Разработчики Трезор в этом смысле ничего нового вообще не изобретали(если только не участвовали в создании самих стандартов - не в курсе), а просто реализовали эти стандарты не в виде программы на компьютере, а в виде полностью отдельного устройства.

Которое даже не совсем правильно аппаратным кошельком называть. Это аппаратный генератор ключей и устройство для подписи транзакций этими включами. А для всех остальные функции кошелька (интерфейс пользователя, хранение истории транзакций и комментариев к ним, записная книжка адресов и т.д.) в качестве кошелька используется внешняя программа на компьютере или смартфоне или по умолчанию онлайн (в браузере на сайте самого трезора).

Можно ли сменить на своем кошельке сид-фразу? Или просмотреть снова? Записал давненько сид в блокнот, но не уверен он ли это

что у нас с трезор Т ? -


https://www.google.ru/ trezor T - Cortex-M4 (https://www.google.ru/search?&q=%22trezor+T%22+%2BCortex-M4)

https://bitcointalk.org/index.php?topic=2098930.0

, https://www.google.ru/trezor +ST32F05 (https://www.google.ru/search?ie=UTF-8&hl=ru&q=trezor%20%2BST32F05)

и очень безопасно и приятно, но, возможно, для меня и слишком дорого, я думаю, что с USB-флешкой с паролем проблема безопасности будет решена одинаково хорошо...

Hero Member мог бы и знать, что аппаратный кошелек и USB-флешка имеют совершенно разные уровни защиты и совершенно по-разному решают проблемы безопасности. Если аппаратные кошельки являются наиболее защищенным способом на данный момент, то USB-флешка+пароль - крайне не надежна: как физически (флэшка в любой момент может выйти из строя и пропали ваши денежки), так программно (относительно легко подобрать пароль).

Поэтому, USB-флешка+пароль не идет ни в какое сравнение с Trezor (или другим аппаратным кошельком).

Сейчас в программном обеспечении кошелька Trezor есть опция "Check recovery seed" (Проверить сид-фразу). С помощью этой опции можно проверить, та ли фраза записана у Вас в блокноте. Есть ещё опция для параноиков более безопасная - Advanced Recovery, это занимает больше времени, но на компьютере не нужно вводить отдельные слова, все буковки видны только на экране устройства.

Сменить сид-фразу, конечно, можно. Кошелёк можно сколько угодно раз сбрасывать, он сгенерирует новый сид. Только не сбрасывайте, если есть средства на кошельке, а фраза не записана.

Ещё есть крутая фишка Passphrase (дополнительное слово), позволяет создавать новые кошельки на основе сид-фразы + дополнительное слово. Очень рекомендовано по ряду причин, включая невозможность взлома такого кошелька даже при физическом доступе. Об этом лучше поглядеть в ютубе, есть хорошие мануалы по теме.

Все таки аппаратный кошелек это не так безопасно и надежно выходит. Если из за обновления могут быть заблокированы средства случайно, то о чем можно говорить если кто то из производителей решит соскамиться и своровать средства своих клиентов, это провернут и никто не поймет что произошло.

Почему вы решили, что это не так безопасно и надежно? Достаточно соблюдать меры предосторожности и избегать ошибок в пользовании. Здесь https://hub.forklog.com/trezor-model-t-podrobnyj-obzor-apparatnogo-koshelka-trezor/ можно узнать нюансы по пользованию трезором. Ваши опасения по поводу заблокированных средств из-за обновления кажутся чрезмерными. Чтобы не попасть в подобную ситуацию достаточно подождать некоторое время с новым обновлением устройства, выдержать пауза, пока другие пользователи не протестируют все. Теоретически, производители могут соскамиться, но вероятность этого ничтожно мала.

А где чертежи, схемы и алгоритмы, которые в него встроены.

Любые USB ключи для криптографии - совершенный развод.

Такое устройство должно иметь надёжный ГСЧ, и пока это не доказано, имеем потенциальный вектор для атаки.

Так же нет доверия производителю и уверенности в том, что алгоритм генерации ключей не содержит закладок.

На гитхабе и схемы, и алгоритмы.

Это конечно хорошо, что на гитхабе...
Вопрос по тем, кто это паяет и программирует - а они точно ничего в алгоритмах там не подшаманили?

Трезоровцы ничего не подшаманили 100%. Исходники открыты, если бы там что-то такое было, уже давно бы обнаружили (особенно конкуренты). Если уж пытаться искать там "закладку", то только в аппаратной части, то есть в микроконтроллере. Но я не верю, что это возможно.

Ну тут ведь криптография - не ромашка. Верю-неверю значения не имеет. На конкурентов тоже полагаться нельзя.

Если устройство заказывается на сайте, то у заказчика есть IP. При наличии доступа к статистике посещения других сайтов и информации о компьютере пользователя, можно сделать вывод о квалификации.

Если это пользователь Виндуза, не замечен в посещении Хабров, а при покупке задавал тупые вопрос - значит можно ему подсунуть с закладкой.

Есть риски покупки подделки. Можно оформить процедуру продажи таким образом, что при выявлении проблем, у производителя будут возможности заявить об обмане продавцом.

Для проверки, было бы полезно иметь программную реализацию подобных устройств. Например в виде приложения HTML-JS.
Тогда заурядный и неквалифицированный владелец мог бы сымитировать своё устройство на компьютере и сравнить результаты.
А само приложение, было бы доступно для проверки как пользователями, так и специалистами типа антивирусописателей ДрВеб и прочими.

Да, если вы не можете поверить, что код читают как минимум десятки независимых энтузиастов, то вам придется научиться делать это самостоятельно. Но у вас такая возможность есть, и уже одно это достаточная причина, чтобы производитель не рисковал успешным бизнесом, пытаясь что-то там "подшаманивать".Пользуйтесь тором или другими прокси.Закладка должна быть реализована в железе. Такие чипы в подвале не сделаешь, это не транзисторы подделывать.Каким образом можно подделать, вы представляете? Прошивка криптографически защищена, в случае подделки это сразу обнаруживается. Железо, как я сказал, подделать практически нереально. Да и я не представляю себе алгоритм работы такого железа без поддержки из прошивки.Эмулятор, что ли? Есть у них на гитхабе. Не понимаю, правда, что это вам докажет...

Трезоровцы то точно нет, потому что они только эти чипы программируют, а покупают их у STMicroelectronics, вроде бы STM32 серия, если память не изменяет. Это обычный чип управления, на него открыта полная документация у самого производителя. Но если уж ударяться в ядренную конспирологию, то как раз таки единственный кто может что то подшаманить это компания STM. В теме "Аппаратные кошельки" (чуть позже найду) было сообщение от знающего человека, что закладки на уровне создания чипа есть вероятность не обнаружить даже при обратной инженерии (тоесть травле чипа, снимая слой за слоем).

Но если в такое верить, то в пору и бояться облучения из розеток . По крайней мере, в случае если закладки кладет сам STM, то уже ничего и не поделаешь. Только не хранить всю сумму на архитектуре STM, а это собственно и Трезер и Леджер и Колдкей и все остальные. Типа чтобы если высадятся рептилоиды и прикажут своей шестерке STM снимать биткоины с этих аппаратников, можно было смеясь тыкнуть им фак

Бояться не надо, но слово "верить", применительно к криптографическим инструментам, неуместно.
Если ключи получать хешированием сиида, то смысла в этих Полканах и Тобиках нету.

 Trezors - неспособность поддержать предстоящий форк  BCH (https://cointelegraph.com/news/trezor-s-failure-to-support-upcoming-bch-fork-comes-under-fire)

Производитель аппаратных кошельков Trezor вызвал критику после того, как объявил обладателям Bitcoin Cash (BCH), надеющимся получить новые монеты с хардфорка, ожидаемого 15 ноября, придется перевести свои монеты в другое место.

В объявлении от 5 ноября материнская компания Trezors, SatoshiLabs, заявила, что будет ждать, пока сообщество определит, какая реализация Bitcoin Cash будет доминировать в сети, двигаясь вперед:

"SatoshiLabs не будет участвовать в форке, пока решение не будет принято сообществом. Если вы хотите принять участие в нем, вы должны передать свой баланс BCH на другой кошелек, который поддерживает разделение монеты, чтобы убедиться, что вы получаете любые монеты в результате хардфорка "

На одном из форумов за биткоины выставлена на продажу база (https://t.me/forklog/17698) данных 342 000 пользователей аппаратных кошельков Trezor, которая содержит ФИО, электронные адреса, номера телефонов и указанные фактические адреса проживания.

Обновлено: на данный момент Forklog не удалось подтвердить ее подлинность.

может это база леджера ;D

Апдейт (https://t.me/forklog/17699): в комментарии Forklog глава Satoshi Labs Павол Руснак заявил, что никакой базы Trezor нет в продаже, только база Ledger.

Ясное дело что нет. Тот кто покупал Трезор и оформлял доставку - в курсе почему. Например, Трезор не просит никакого мыла и никакой рассылки по нему не проводит. Поэтому про имейлы уже вранье было так то.

https://www.youtube.com/watch?v=6pKuHYwrGkU
Никому нельзя верить в наше время, если у вашего трезора нет парольной фразы( 25 слова), то ваши монеты легко украсть.
Я думаю что такие zero day существуют для многих кошельков, толь мы об этом не знаем

Основная ошибка при оценке рисков - неприятие мысли о поломке устройства.
А для подавляющего большинства, думаю, это составляет 95% всех возможных рисков.

Так что, рациональнее не пользовать подобные устройства.

"рациональнее не пользовать" только, если так и не уразумел, как с достаточным уровнем безопасности сохранить все данные для восстановления и, в случае поломки\отказа аппаратника, без проблем, оперативно вернуть полный контроль над всеми средствами

компутеры зло и могут поломаться? - юзать лучину и абак
https://sites.google.com/site/otabakadokomputera11/_/rsrc/1519985744011/abak-1/%D0%90%D0%91%D0%90%D0%9A%201.jpg

-Ну и чушь...
Если можно сохранять дамп Трезора, а потом его загружать на другое устройство, то никакого смысла в этом нет.
Практически, это повторяет функциональность шифрованного диска.

Никакой чуши там нет.А вот это чушь. Диск обслуживается внешней системой (виндой с троянами), а в аппаратниках своя операционка.

-Гениально!
Что-же тогда вы резервируете!!!???

Мнемоническую фразу. Её, ведь, и на бумажку можно резервировать.

-Чудесно!
То есть, при поломке одного Трезора, берём следующего и вводим в него "зарезервированную" фразу!
И что тогда в этой Шаурме храниться?
Выводить все ключи из одной фразы можно и на компьютере, это никак не скажется на безопасности.

Поздравляю всех владельцев сего девайса - Вы заплатили тысячи рублей за Крипто-Тамагочи.

Можно. Но для тех, кто опасается хранить приватные ключи на компьютере, были придуманы аппаратные кошельки. При использовании аппаратного кошелька приватные ключи в компьютер не попадают.

Кстати. В банкоматах стоят обычные компьютеры. Но вводимые пользователями PIN-коды в эти компьютеры не попадают: они не выходят за пределы PIN-клавиатуры. Схожий принцип организации безопасности с аппаратными кошельками, не так ли? Почему-то производителям банкоматов не приходит в голову выкинуть PIN-клавиатуру и всю криптографию делать на компе.

ах-ха-ха
шутка года, сЫпасиба, деду привейт передавай
https://i.ytimg.com/vi/83eSiatg1vY/hqdefault.jpg

претензия в чем заключается? или насильно ктот в крипту затащил и заставил юзать только через аппаратник, а ты решил всех редисок на чистую воду вывести?

бери код с гитхаба и создавай любое ПО под биток и другую крипту, хоть на калькуляторе пусть чекает чейны и подписывает транзакции - всем пох, если сеть одобрит
храни коды\пароли\сиды, как душа пожелает, т.к. скорее всего нах никому не нужно именно тебя ломать (но это не точно)

если прикуют голым к батарее и включат паяльник, уже ниче не спасет
не каждый пепелац с сигнализацией угоняют, и не каждую хату с охранной системой выставляют
100% защиты нет, а вот частичная и затрудняющая доступ к данным есть и аппаратник лишь один из видов такой защиты

нет 50-70-100 эвров (дешевле блядской комсы в дефях) на "тамагочи"? тогда к чему гундос

пы.сы. промо-код -10% от трезор HODL_BITCOIN_8sORtYrJIN
валидный в теч. 2-х месяцев

-Ну-Блин-В-Кампот-Вам!!!
Зачем ХРАНИТЬ приватные ключи!!!???
Вывели ключ, подписали что хотели, и не-сохраняем приватный ключ.

Если мошенник получил физический доступ к устройству, имея при этом необходимое оборудование для извлечения секретной информации, то можно лишиться средств в мгновение ока. Парольная фраза увеличивает время для взлома, но он всё ещё возможен, если мошенник готов затратить неограниченное число ресурсов. Это справедливо для любого аппаратного кошелька, независимо от их уровня безопасности, если на кону большие деньги, то будьте готовы, что средства могут пропасть. Вообще, аппаратник не создан для защиты от физических атак, это не Форт Нокс. Так что если вы потеряете аппаратный кошелек, то безопаснее будет перевести все средства а другое место, а не надеяться, что ваш кошелек "безопаснее" того же Трезора.

Подписали где? На онлайн-компе с троянами?

...до очень большого, слишком большого (при фразе хотя бы из 10 случайных цифробукв)
Да, но их у него нет и быть не может. Что такое "неограниченное число ресурсов"? Миллионы лет?

Как только вы вводите приватный ключ в комп: либо с клавиатуры, либо путём сканирования QR-кода, либо при помощи хеширования фразы "мама мыла раму" - в любом из этих случаев приватный ключ хранится в RAM какое-то время. Факт нахождения приватного ключа в RAM компьютера является потенциальным каналом утечки приватного ключа.

-Во-первых, возможность компрометации системы является основанием для отказа от системы, но никак не может быть скомпенсирована использованием другого устройства.
-Во-вторых, нет возможности обойти клавиатуру и память компьютера, если потребуется как-то сохранить и восстановить содержимое криптографических устройств.

Реальная польза и надёжность электронных кошельков будет только, если инициализирующая фразу можно вводить через клавиатуру самого кошелька МК-85Б (https://ru.wikipedia.org/wiki/%D0%AD%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%B8%D0%BA%D0%B0_%D0%9C%D0%9A-85%23%D0%9C%D0%9A-85%D0%91%5B2%5D)

---

Кстати, внезапно,  мой провайдер https://plsspb.ru/ заблокировал Bitcointalk.org.

А как, по-вашему, она вводится на леджерах-трезорах?

-С клавиатуры компьютера. 24 слова с рандомизированым порядком ввода даёт 79 bit. Для большинства нищебродов достаточно, но говорить о надёжности - нельзя. Плюс, риски со слабостью ГСЧ кошелька.

Нет. В трезорах есть такая опция, но никто не мешает ввести с девайса.
Опять мимо ). 24 слова дают 256 бит, 12 слов - 128.
Никто не мешает ввести свои слова, в случайности генерации которых вы уверены.

Это Вы посчитали разрядность фразы из 24 "десятибитных" слов.
А мы полагаем, что наш компьютер прям-таки набит червями да троянами.
Следовательно, слова инициализирующей фразы скомпрометированы, и остаётся одна надежда на порядок ввода, который показывает валлет. Он действительно остаётся секретным для системы, но это 24!=24*23*22*21*20*19*18*17*16*15*14*13*12*11*10*9*8*7*6*5*4*3*2=620448401733239439360000≈2^79
Так что надо требовать сиид из 50 слов, тогда получим более адекватные 215 бит.

"Одинадцатибитных".
При чем тут компьютер? 24 слова компьютер не может знать, они туда не вводятся.Не понял. Если уж слова скомпрометированы, то и порядок скомпрометирован.

Во-первых, Trezor T имеет тачскрин, который позволяет ввести фразу прямо в устройство (https://wiki.trezor.io/User_manual:Recovery).

Во-вторых, Trezor One, который не имеет тачскрина, и не позволяет ввести фразу без использования компьютера, имеет посимвольный режим ввода фразы (https://wiki.trezor.io/User_manual:Advanced_Recovery), где фраза вводится по буквам, а не по словам, и расположение букв на экранной клавиатуре знает только устройство.

Фраза вводится пословно в программе на компьютере, но очерёдность слов определяется валлетом, он показывает номер слова, которое надо ввести.

abcdefghik - Допустим, это пароль
143792865 - а это порядок ввода элементов пароля, который отображается на экране кошелька
Аналогично, можно вводить пинкод.

-О-у, ну это меняет дело, спасибо! Хотя Тамагочи  всё равно неадекватно дорогой  ;D

Осталась пара ключевых сомнений
1) Возможность чтения дампа микросхемы памяти.
2) Гарантия доступности совместимых устройств в неопределённом будущем.

Ок, я вас понял. Да, при таком способе ввода вы правы, число комбинаций можно считать как 24!. Но, еще раз, есть более безопасный способ ввода слов. Вот видео, например: https://www.youtube.com/watch?v=Xogtx4IPVSQ
Так кажется в том ролике от Kraken как раз дамп и сохраняли, нет?

Нет, там только "рековери".

И всё равно - дурка это, пока на JavaScript не будет эмулятора, сурьёзно пользоваться весьма стрёмно. Может получиться так, что сломаешь, а новый будет не купить.

Если другое устройство не обладает такими уязвимостями, это не повод перейти на него?


В Трезоре ты считай вводишь через клавиатуру самого кошелька. Там каждый раз генерируется новая клавиатура, и ты должен ввести свой пин. Чтобы такое взломать, надо залезть "внутрь" трезора и перехватить считай эту сессию. От таких атак как я помню STM32 вполне защищен.

Если ты об изначальном наборе энтропии, то как я помню, Трезор использует внешний источник энтропии, в Линуксе например urandom (но здесь могу ошибаться, возможно в нем встроенный)

Я имел ввиду, работу с доверенным устройством через скомпрометированную систему.

Проблема в том, что Trezor One не имеет клавиатуры. Ключевая фраза вводится с компьютера и сами слова доступны, а секретом остаётся последовательность ввода слов, а это принципиально снижает мощность секрета до 24!=2^79, что совершенно неадекватно.

Во-первых, неправильно используете термин энтропия (https://ru.wikipedia.org/wiki/Информационная_энтропия).
Во-вторых, кошелькам не требуется что-то случайное для шифрования, иначе будет не восстановить.
В третьих, брать внешний /dev/urandom нельзя, так как он, мы полагаем, скомпрометирован.

Random можно использовать только для начального блока при шифровании или для подписи. Но в подписи на эллиптических кривых, это практически не используется, так как появление одинаковых сообщений с разными подписями ослабляет приватный ключ.

Я ж вам видео давал. Ну вот еще одно, на сей раз на русском языке https://www.youtube.com/watch?v=KnECfZeCEfM
Фраза вводится на устройстве, а не на компьютере.

Любая криптосистема строится на предположении того, что система/канал через которую происходит обмен информацией - скомпроментирован. Для этого собственно оно и нужно. На абсолютно доверительной системе никакое шифрование и ухищрения не нужны.


Ну вам выше скинули ссылку на видео, где вводится с экрана Трезора. Это раз
Во вторых, и на устройстве можно вводить с виртуальной клавиатуры, как встроенной так и любой другой. Кейлогер здесь не поможет, максимум можно фотографировать экран и/или считывать координаты мышки. Но координаты помогут только если знаешь как выглядит клавиатура.

А третий момент, что изначальная мнемоника отображается на экране Трезора, собственно для бэкапа. Поэтому момент "ввода сид фразы" не совсем понятен. Если вы хотите восстановить кошелек, всегда ведь можно подготовить систему, чтобы уменьшить вероятность неприятных ситуаций.


Вполне правильно я его использую. Я правда не совсем понял термин "изначальная фраза", вот это да. Поэтому мог не к тому месту написать. Возможно так оно и есть, потому что далее вы пишете о шифровании, а я имел ввиду изначальную "затравку" сида.

1:34 - автор вводит инициализирующую фразу на компьютере в "продвинутом" режиме.
Да, это кажется супернадёжным, так как указываются не слова, а позиция слова на экране кошелька.

НО!!! Это не ввод с клавиатуры кошелька. То, что слова появляются в случайном порядке, это только вам кажется.
Порядок слов на экране кошелька может определяться внутренним состоянием или браться как "/dev/urandom" из компьютера.

Проблема остаётся. При целенаправленной атаке - логер на компьютере и последующее похищение или подмена приведут к раскрытию вашей фразы.

Кстати, можно было бы сделать проще ввод и защититься от логера: вводить фразу в бинарном виде - каждое слово десять цифр 01, двумя кнопками вполне можно ввести, а с компьютера отправлять только команды и backspace.

1. Вы фантазируете, проблемы нет. Неубедительно.
2. При целенаправленной атаке подменяется устройство и достается сид из дампа.
3. Не доверяете этому способу ввода - в новой модели трезора есть сенсорный экран.
Это называется "проще ввод"?) Тогда уж лучше сделать, как в леджерах - там просто кнопками листаются и выбираются символы. Но ввод, как в видео выше, эффективнее.

Думаю, да.
Ввод одного слова происходил бы за десять нажатий на клавиатуре из двух кнопок. Мне кажется, это проще, чем три клика по полю из 9 квадратов и ещё один клик по полю из 6 прямоугольников, да ещё перед каждым кликом искать на Трезоре положение этого поля.

Что касается кражи и чтения дампа, тут надо ещё выяснять как он хранится и что за микросхема.
Если банальная флеш-память, то сиид должен быть зашифрован пинкодом, но пин из девяти цифр кажется чепухой.

Выяснять ничего не нужно. Микроконтроллер семейства STM32F2 (https://www.st.com/en/microcontrollers-microprocessors/stm32-32-bit-arm-cortex-mcus.html) в Trezor One и ее улучшенная версия STM32F4 в Trezor T. Вот инфа на самом сайте Трезора - https://wiki.trezor.io/Microcontroller

Да, сид там хранится во флешпамяти, и защищен пином.
Но вектор атаки довольно специфический, так как это предполагается при краже/потере Трезора, что легко можно обнаружить и успеть вывести свои средства. А в случае если человека захватили силой, то никто даже пин взламывать не будет. Будут "взламывать" сразу владельца Трезора  ;)

Во-первых, тем, кто не способен обойтись без аппаратного ключа, очень тяжело будет "успеть".

Во-вторых, могут подменить... и большинство людей, привычное к сбоям во всяком электронном шмурдяке, начнёт восстанавливать и, думаю, 95% даже в голову не придёт, что им подменили. А могут подменить и на сломанный, который не включается, тут уже 99% начнёт покупать новый. Так что этот вариант - без шансов.

Там дается только 16 попыток подбора пина с возрастающей в геометрической прогрессии задержкой между попытками.
Но это несколько потеряло смысл, так как все равно сид нужно усложнять пассфразой. а там даже известный пин не поможет.

Пароль и пин д.б. одно и тоже. Невозможно иметь отдельный пароль для шифрования и включать устройство по пинкоду. Если сиид зашифрован паролем, а он во флешпамяти, то пароль тоже должен быть зашифрован, иначе в нём нет смысла, так как микросхема памяти читается специалистами аналогично чтению флешкарт и дисков рядовым юзером.

Получаем замкнутый круг абсурда и бессмысленности.

То есть шифроваться сиид должен ключом выводимым из пинкода, а он 9 символов... писец...

Вам бы надо разобраться в элементарных вещах, что такое сид-фраза, что такое пассфраза. Пассфраза не шифрует сид, она часть сида (ее еще в народе называют 25-м словом), без знания пассфразы знание 24-х слов не имеет смысла. Пассфраза в трезорах нигде в флеш-памяти не сохраняется, она вводится пользователем после каждого подключения.

Ознакомился мельком с топиком. Для создателей продажа аппаратных кошельков прежде всего бизнес. Эксплуатирует потребность пользователя в материальном подтверждении наличия крипты.
Предоставляет удобство использования.

Если включить paranoid mode на деле аппаратник представляет собой лишнее звено в цепочке и потенциальную уязвимость. При условии если вы сгенерировали качественную сид фразу, ничего не мешает подписывать транзакции на отключенном от сети устройстве.

-А смысл в 25-ом слове этого сиида?
Как только есть 24 слова и публичный ключ, 25-е слово получается за тысячу итераций перебирающих словарь.

С терминологией полный швах. Каждый гонит пургу, не исключая апологетов, и хрен поймёшь, что значит: пин, пароль, ключ, адрес, кошелёк, монета.

25-е слово - произвольный набор символов, типа ;oiug;od9reodjap09e8r;'lvlk
А вы читайте BIP-ы, тогда все будете понимать, даже пургу апологетов.

К великому раздражению, в этих BIP-ах какая-то хрень систематически ввергающая меня в ступор.

Вот кто-бы объяснил следующий феномен: какого овоща, Отцы Основатели, поставили "Type: Standards Track" для BIP-39 https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki , когда он не имеет отношения к формату Блокчейна.

"A Standards Track BIP describes any change that affects most or all Bitcoin implementations, such as a change to the network protocol, a change in block or transaction validity rules, or any change or addition that affects the interoperability of applications using Bitcoin." - https://en.bitcoin.it/wiki/BIP_0001

BIP39 как раз таки основополагающее изменение в Биткоине (в той его части которая относится к приватным ключам и сидам)


С одной стороны уязвимость, с другой - усиление. Это считай твоя же холодная система только намного дешевле. И миниатюрнее, в чем свои плюсы (в случае чего легче спрятать)

Я бы так не сказал ). BIP32 гораздо серьезнее, а у него "Type: Informational" ).

Не соглашусь, все довольно логично. BIP32 был изначально "предложением", что попадает под Informational. А далее оно так и осталось. BIP39 же вносит изменения в уже готовый код и архитектуру. Его как раз в "информационный" никак было не впихнуть.

Про какие код и архитектуру вы говорите? В Bitcoin Core BIP39 нету (и не планируется).

-Чушня в сферическом вакууме!

Биткоин - это генезис блок https://www.blockchain.com/ru/btc/block/000000000019d6689c085ae165831e934ff763ae46a2a6c172b3f1b60a8ce26f и цепочка с самой большой сложностью, которая признаётся всеми участниками.
Блок - список транзакций и заголовок согласующийся с предыдущим блоком.
Транзакция - список входов, список выходов и цифровая подпись соответствующая адресу входов.

-Где, по-вашему, в этой структуре находится какое-либо определение способа создания приватных ключей?

BIP32 (https://github.com/bitcoin/bips/blob/master/bip-0032.mediawiki)- определяет алгоритм получения из сида иерархического дерева ключей:
https://raw.githubusercontent.com/bitcoin/bips/master/bip-0032/derivation.png

А BIP39 (https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki) - это всего-лишь пристройка к BIP32, которая определяет способ получения сида из мнемонической фразы.  

Это не Биткойн. Это - блокчейн Биткойна. Биткойн состоит из нескольких подсистем, одна из них - кошелёк, который работает с ключами.

Ранжирование BIP согласно BIP0002: стандартные,, информационные и обрабатывающие


Стандартные  в этой иерархии стоят на первой ступени - они описывают любые изменения  биткоина, информационные следуют за ними -  им следовать не обязательно -"users and implementors are free to ignore Informational BIPs or follow their advice."

  BIP 39 - стандартный,  BIP 32 - информационный

https://en.bitcoin.it/wiki/BIP_0123

Ладно, сформулируем более аккуратно.
Биткоина не существует.
Биткоин - это ценность, владение которой определяется содержанием блокчейна.

Весь остальной шмурдяк, он не содержит и не определяет Биткоины, а только проводит вычисления.
И между протоколом Блокчейна и алгоритмами кошельков нет и не может быть какой-либо связи.

Принятие системных BIP-ов - прерогатива исключительно майнеров, которым не должно быть дела до кошельков.
А разработчики кошельков не могут влиять на BIP-ы. Их дело только соглашаться и согласовывать форматы транзакций, подписей и скриптов с теми, которые готовы принимать майнеры.

Таким образом BIP39 и например BIP102 не должны быть в одном списке или в одной категории.

Блокчейн состоит из блоков, блоки состоят из транзакций, а транзакции формируются при помощи приватных ключей. То есть, без приватных ключей нет транзакций, значит нет и биткойнов, как носителей ценности. Вот вам и шмурдяк.


Исходя из определения BIP: (https://github.com/bitcoin/bips/blob/master/bip-0002.mediawiki)
в нём может содержаться предложение обо всём, что касается Биткойна или его окружения.

Я в курсе. Я о том, что BIP32 скорее появился как предложение (полагаю не было уверенности что его поддержат), поэтому и информационный БИП. А БИП39 ясное дело уже был изменением кода в самой готовой архитектуре.

Возможно еще что в BIP32 просто еще основы иерархического кошелька объясняются, поэтому тоже информационный.

Трезор 2 года игнорил  требования швейцарских регуляторов, но вот сломался, однако был оплеван юзерами, и справедливо оплеван!
Но они молодцы, все таки вспомнили об основной фиче крипты - анонимности!  :)

Trezor удаляет спорный протокол проверки адреса, другие кошельки следуют его примеру (https://cointelegraph.com/news/trezor-removes-controversial-address-verification-protocol-other-wallets-follow-suit)

 Через неделю после введения протокола подтверждения владения адресом, или AOPP, компания-производитель аппаратного кошелька отказалась от своего решения из-за проблем с конфиденциальностью клиентов.
 С 2019 года швейцарские финансовые криптопосредники требуют подтверждения владения адресом внешнего кошелька для снятия биткойнов и внесения их на кошельки своих клиентов, не связанные с тюремным заключением.  Одним из автоматических механизмов, используемых для этого, является протокол подтверждения владения адресом или AOPP.

 В аппаратном кошельке Trezor появилась возможность подписи AOPP в рамках последнего январского обновления на прошлой неделе, что позволяет пользователям генерировать подписи, соответствующие стандарту AOPP, используемому в определенных юрисдикциях.  
28 января компания Trezor объявила, что удалит этот протокол в следующем обновлении Trezor Suite «после тщательного изучения недавних отзывов».

 Недавние отзывы относятся к пользователям Reddit и Twitter, которые были обеспокоены тем, что использование AOPP свидетельствует о поддержке Trezor более строгого регулирования и игнорировании потенциальной потери конфиденциальности.

Купить BTC без KYC (https://blog.trezor.io/buy-bitcoin-without-kyc-33b883029ff1)

Ох уж этот гугл-транслейт...

Разработчики аппаратных кошельков в последнее время не радуют. То Coldcard врет про то, что их программное обеспечение имеет open-source статус и обвиняет всех и вся в коммерциализации их "открытого" кода. Теперь Трезор решили, что это хорошая идея пойти на поводу регулятора и внедрить сомнительнве протоколы, убивающие идею крипты. Тот факт, что они отменили решение ни о чем не говорит. Если они прогнулись раз, прогнуться и второй. Вопрос только когда. Такими темпами самым безопасным методом хранения и пересылки крипты будут свои собственные разработки или ПО от анонимных разрабов, которые не бояться регуляций. Это все грустно, конечно. Хотя надеяться, что регуляторы не будут вести борьбу против крипты было глупо.

P.S. А чем плох метод подтверждения владением адреса через подпись приватным ключом?

Соглашусь, раз петух прокукарекал, то так тому и быть. Они ж могут и скрытые от юзеров закладки сделать, а сообщить, что вот мол исключили в новом релизе. Когда ещё и кто из кодеров проверит, спецов то не слишком много.

В этом я сомневаюсь, открытый исходный код практически сразу их выдаст, и даже неважно сразу это произойдет или не сразу. Сам факт вранья пользователям пагубно скажется на репутации и продажах, это может отпугнуть больше пользователей, чем встраивание сомнительных регуляторных требований. Послушайте, все вокруг кричат, что для адопшена криптовалют нужно четкое регулирование. Большинство все равно съедят любые попытки атак на приватность и свободу. Так что любые негативные изменения будут происходить открыто, внезапно и неизбежно.

Команда аппаратного кошелька Trezor сообщила об утечке личных данных клиентов,  (https://forklog.com/komanda-trezor-soobshhila-ob-utechke-polzovatelskih-dannyh/) произошедшей на стороне платформы MailChimp, через которую компания проводит маркетинговые рассылки. Злоумышленники использовали информацию о пользователях в фишинговой атаке.
В Trezor отказались от маркетинговых рассылок до «разрешения ситуации». Пользователям советовали не открывать письма, якобы отправленные от лица компании.
Какие именно данные были скомпрометированы — неизвестно. Фишинговая рассылка проводилась со стороннего домена trezor.us (официальный домен — trezor.io). Пользователей просили скачать «последнюю» версию приложения Trezor Suit, предназначенного для управления кошельком.
Ранее в злоумышленники загрузили в App Store фейковое приложение Trezor. У пользователей похитили как минимум $1,6 млн в криптовалютах.

Если логически подумать, то для маркетинговых рассылок используется только адрес электронной почты. Никакой дополнительной информации там обычно не требуется. Единственное, что если в самом адресе электронной почты пользователи зачастую пишут свое реальное имя и дату рождения типа vasyapupkin2007@mail.ru Некоторые еще умудряются указать адрес проживания или регион. Такие персонажи самые первые попадаются на фишинговые атаки, для них забота о приватности и анонимности своих данных не значатся в повестке дня.

Что касается самого Трезора, то как они утверждают, они собирают только самую необходимую информацию для доставки посылок и удаляют ее после 90 дней, так что вся защита баз данных заключается в отсутствии базы данных. Это хорошее решение, особенно если законы вашей юрисдикции это позволяют и вы не планируете продавать данные о клиентах как это делают в том же Леджере. Подробнее можно почитать здесь:

https://blog.trezor.io/trezor-e-shop-breach-is-a-hoax-d943ce267b66
https://blog.trezor.io/the-only-way-to-protect-your-data-is-to-never-provide-it-ea2335388db6

Согласен, Леджер знатно всех подставил. Там спёрли все данные покупателей и адрес и телефон ФИО и мыло мильона челов.
Если у Трезора только мыло, то это вообще ни о чем.
Вообще это хорошо придумали затирать базу, если конечно не врут.

Предположим, что в этот раз у пользователей трезора скомпрометировали только e-mail адреса. Однако, проблема в том, что подобные "взломы" стали происходить все чаще и чаще за последние года. А что касается леджер, то в 2020 году они действительно очень сильно облажались из-за утечки персональных данных. Тогда в реддите даже появлялась информация о том, что некоторые пользователи получали реальные угрозы по адресу проживания.

На самом деле взломов не так много как кажется. Да, многие криптовалютные компании пострадали и с радостью сообщили своим клиентам, что теперь их мыло будут атаковать мошенники разного сорта, но во многих случаях это даже была не их вина. Проблема как всегда в централизации: данные клиентов контролирует одна или несколько больших компаний, они обеспечивают безопасность и предоставляют свои услуги десяткам и сотням компаний. Те десятки и сотни компаний рады таким предложениям: во-первых не надо самим заниматься безопасностью и защитой данных, а во-вторых есть кого винить в случае взлома. Хакерам облегчили работу по сути: теперь взломав одну компанию, он получает доступ ко всем сразу, в некоторых там будет не только электронные адреса, но и что-то более конкретное, например данные о финансовой привлекательности жертвы.

 Аппаратный кошелек Trezor позволяет напрямую покупать криптовалюту с помощью MoonPay
(https://cointelegraph.com/news/hardware-wallet-trezor-enables-direct-crypto-purchases-with-moonpay)
Новая интеграция с платформой Invity, основанной MoonPay и SatoshiLabs, обеспечивает функции покупки, продажи и обмена непосредственно в кошельке Trezor.

Согласно сообщению, опубликованному в среду, Trezor, поставщик аппаратных кошельков из Чехии, заключил партнерские отношения с MoonPay, чтобы позволить своим клиентам покупать криптовалюту непосредственно в своем аппаратном кошельке.

На момент написания статьи Trezor поддерживает более 1000 криптовалют, включая BTC, ETH, USDT, BNB, ADA....
и другие.

Ещё стоит добавить, что  Мунпей предоставляет услуги  в Грузии, Армении и Азербайджане.  И в Израиле.
Так что есть где кой кому кой чем затариться

Просто не могу не придраться, покупать криптовалюту можно будет не в аппаратном кошельке, а в программном обеспечении Trezor Suite, которое разрабатывается той же компанией и идет как "официальный" интерфейс к этому аппаратному кошельку. Стоит ли говорить, что использовать такой софт небезопасно с точки зрения конфиденциальности, особенно если вы пользуетесь нодой Трезора для поиска транзакций и покупаете при этом криптовалюту на свою карту.  Moonpay просто ужасна если говорить о приватности, достаточно почитать их Privacy Policy (https://www.moonpay.com/legal/aml_kyc_policy). Тут вам и обязательная верификация, и шпионство за вашими транзакциями и сотрудничество с правоохранительными органами, все в одном флаконе. Все конечно дэисключительно ради успешной борьбы с отмыванием денег и прочего, они считают всех преступниками заранее, а вы доказываете обратное, предрставляя свое полное досье. Очень хорошая бизнес-модель: они зарабатывают на комиссиях и продаже данных, а вы получаете "удобный" сервис.

Ну Трезором как кстати Леджером можно пользоваться и из других некастодиальных кошельков типа Coinomi, Vasabi, MEW и всяких других. Тогда конфиденс сохранится.

Что до говености мунпей, то это однозначно  так и есть. Тут уж нельзя не соглашаться.

И вот кстати ещё новости :
Trezor добавит в кошельки инструмент для микширования биткоин-транзакций (https://forklog.com/trezor-dobavit-v-koshelki-instrument-dlya-mikshirovaniya-bitkoin-tranzaktsij/)
Производитель аппаратных кошельков Trezor объявил о партнерстве с командой Wasabi Wallet. Цель сотрудничества — интеграция в устройства инструмента для микширования биткоин-транзакций CoinJoin.
Эта технология случайным образом группирует транзакции, чтобы скрыть происхождение средств. Доступ к новой опции откроется в 2023 году.
Переговоры с Trezor начались в 2019 году.
В команде Wasabi добавили, что работа над технологией анонимизации является ответом на усиление надзора со стороны властей. Финансовые транзакции в конечном итоге могут использовать для слежки за гражданами, отметили они.

 ещё про это
 (https://decrypt.co/109019/trezor-and-wasabi-join-forces-to-make-bitcoin-more-private)

Честно говоря, эта новость до сих пор несет завесу таинственности, так как непонятно, в чем же конкретно цель данного сотрудничества. Trezor пытаются сделать Trezor Suite таким же популярным как Ledger Live и добавляют туда фичи абсолютно для всех категорий пользователей? Встроенный CoinJoin привлечет определенную категорию пользователей, а возможно и подтолкнет текущих пользователей присоединиться к пулу микшированных транзакций. Типа к ликвидности Wasabi Wallet добавится еще и ликвидность от пользователей аппаратного кошелька. Или они готовят что-то абсолютно новое, например возможность использования CoinJoin напрямую с аппаратных кошельков, без необходимости использовать горячие кошельки? С моей точки зрения, это гораздо интереснее, чем обычная интеграция Wasabi CoinJoin в их кошелек.

Kлассика жанра продолжается. Работают гаденыши
Да и лохи видно никак не переводятся ;D

Пользователи Trezor стали жертвами массовой фишинговой кампании
Начиная с 27 февраля, злоумышленники атакуют пользователей аппаратного криптокошелька Trezor под видом почтовой и SMS-рассылки о якобы произошедшей утечке данных. На это обратил внимание исследователь безопасности Mich. (https://twitter.com/dubstard/status/1630634978110259214?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1630634978110259214%7Ctwgr%5E897e17dcdd87de0155cf0f08f966280e347717eb%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fforklog.com%2Fnews%2Fperezagruzka-gadzheta-iz-za-youtube-rolika-ataka-na-trezor-i-drugie-sobytiya-kiberbezopasnosti)

Фишинговые сообщения от имени компании предлагают перейти по указанной ссылке для защиты устройства.
Поддельный сайт показывает предупреждение о том, что активы пользователей «могут быть в опасности». После нажатия кнопки Start у потенциальной жертвы запрашивают seed-фразу якобы для восстановления доступа к аккаунту. В реальности злоумышленники таким образом получают доступ к средствам на кошельке.

Разработчики Trezor осведомлены о фишинговой кампании и уже призвали пользователей соблюдать осторожность. Они также заявили, что не обнаружили никаких доказательств недавней утечки во внутренних системах.
Почтовые адреса и телефоны клиентов Trezor организаторы атаки предположительно получили через маркетинговый список, украденный при взломе сервиса MailChimp в марте 2022 года.

Forklog (https://forklog.com/news/perezagruzka-gadzheta-iz-za-youtube-rolika-ataka-na-trezor-i-drugie-sobytiya-kiberbezopasnosti)

Что-то подобное уже происходило год назад: https://www.bleepingcomputer.com/news/security/fake-trezor-data-breach-emails-used-to-steal-cryptocurrency-wallets/

Тогда произошла утечка адресов электронной почты после взлома сервиса массовой рассылки Mailchimp и многие стали получать письма с ссылками на фишинговые сайты, в том числе на копию трезоровского сайта с формой для сбора сид-фраз. Я думаю, что сейчас жертвами атаки стали те же люди: они продолжают пользоваться скомпрометированными адресами, которые давно находятся в базах спамеров. Многие сервисы используют мобильные телефоны для двухфакторной аутентификации и не исключено, что часть номеров тоже оказалась скомпрометированной и стала получать сообщения с вредоносными ссылками. Трезор утверждает, что удаляет данные клиентов через 90 дней, то есть если была утечка у них, то жертвами стали люди, недавно купившие аппаратный кошелек.

Круто конечно! И как всегда во всём виноваты маркетологи! Им уж точно плевать на соблюдение информационной безопасности.

Создают базы чтобы удобнее было рассылать всякую рекламную информацию. При этом так как всё это постоянно в работе, то понятно и защищено слабо.

А хакеры в начале свистнули базу. А потом уже продумали хакерскую атаку. У них там наверное аналог генерального штаба есть, всё продумано, всё по плану, всё по этапам ....

И что характерно снова фишинг.

Тут мне кажется нужно прокачивать стратегическое мышление. Стратегическое мышление отличается от оперативно-тактического, тем, что при наличии такого стратегического мышления человек не сразу предпринимает действие.

Он какое-то время задумывается, отвечая на вопрос, а нужно ли это действие вообще делать и если его нужно делать, то должен ли делать его именно я. Если взять себе такую привычку, то ты уже не будешь сразу жамкать на кнопку. Подумаешь перед этим а надо ли оно тебе?

Trezor добавил CoinJoin для BTC

Хотя биткойн может обеспечить определенную степень анонимности, он по своей сути не является приватным. Во многом это связано с тем, что транзакции и балансы публикуются в блокчейне, что делает их отслеживаемыми. Более того, если пользователь покупает биткойн на бирже, требующей документации KYC (знай своего клиента), средства напрямую связаны с его личностью.

Coinjoin — это инструмент, который повышает конфиденциальность транзакций биткойнов: когда пользователи биткойнов проводят транзакции друг с другом, используя совместное соединение (процесс, также известный как «смешивание»), они скрывают происхождение и назначение средств, значительно повышая свою конфиденциальность.
 
Как это работает?

Проще говоря, coinjoin объединяет несколько монет (UTXO) от нескольких пользователей в одну транзакцию. Результат этой транзакции дает то же значение биткойна, но адреса теперь смешаны. Из-за этого внешним сторонам чрезвычайно сложно вывести взаимосвязь между входами и выходами транзакции coinjoin, поскольку источники UTXO запутаны.
 
«Уровень анонимности», которого можно достичь, зависит от количества других участников с неразличимыми выходами.
 
Если вы отправляете смешанные монеты со своей учетной записи coinjoin, принимающая сторона не будет знать, как вы получили средства.
Если вы получите биткойн на свой счет coinjoin и анонимизируете его, отправитель ничего не узнает о том, как вы тратите средства.

Coinjoin не гарантирует 100% конфиденциальность, так как почти всегда есть передовые методы, которые «заинтересованные» внешние стороны могут использовать в качестве вектора атаки. Однако coinjoin значительно улучшает конфиденциальность пользователей биткойнов по сравнению с транзакциями, совершенными без этого протокола.
 
Узнайте, как вернуть контроль над своей конфиденциальностью, следуя нашему пошаговому руководству Coinjoin в Trezor Suite ( https://trezor.io/learn/a/coinjoin-in-trezor-suite )

Источник
https://trezor.io/learn/a/what-is-coinjoin

Прежде чем бросаться пользоваться этой новой функциональностью прочитайте FAQ https://trezor.io/learn/a/coinjoin-in-trezor-suite#FAQs.

Пара моментов, на которые стоит обратить внимание:
1) Во время CoinJoin раундов ваш аппаратный кошелек должен быть подключен к компьютеру через USB-кабель. Они говорят, что это полностью безопасно, но по-моему это дает хакеру больше времени найти лазейку к кошельку, если ваш компьютер окажется заражен вредоносными программами. Если такого не случалось раньше, это не значит, что это не может случится в будущем.
2) Вы не контролируете какие монеты смешиваете, так как выбор монет происходит в автоматическом режиме и некоторые монеты могут никогда не участвовать в раундах. Вы можете этого не заметить, если надеетесь на софт и часть монет может быть случайно смешана с уже замикшированными что приведет к деанонимизации источника транзакции. Критерии по которым определяется может ли те или иные монеты участвовать в CoinJoinабсодютно непрозрачны, вам никогдамне скажут почему часть монет так и остается незамикшированными.
3) Ну и самое главное: координатор CoinJoin от Wasabi Wallet открыто сотрудничает с компаниями, занимающимися анализом блокчейна и деанонимизацией пользователей сети. Все ваши UTXO проходят тщательную проверку на предмет связи с нелегальными транзакциями и основываясь на результате этого анализа могут быть недопущены к CoinJoin. Что является нелегальным решают сами эти компании, это может быть абсолютно любое "преступление". Если не хотите рисковать или не уверены, что все ваши UTXO имеют кристально чистую историю, то стоит воздержаться от испольщования Wasabi и Trezor CoinJoin.

https://www.kaspersky.ru/blog/fake-trezor-hardware-crypto-wallet/35272/
Случай из практики: фальшивый аппаратный криптокошелек
10 мая 2023
Истории больше года, зачем Касперский поднимает старое?

Ну что наступила очередь и Трезора. Не только ж одному Леджеру быть в опале :) Тут товарищ из компании по кибербезопасности Unciphered обнаружил уязвимость в кошельке и заявил что ему удалось взломать кошелек Trezor T. "В ролике на YouTube продемонстрировано извлечение мнемонической фразы кошелька или приватного ключа с использованием уязвимости, связанной с физическим владением устройством."

https://www.talkimg.com/images/2023/05/25/a1Q87f4a3c5def97179a.png (https://www.youtube.com/watch?v=50eiA-75NMY)

Тут можно больше прочитать https://happycoin.club/firma-po-kiberbezopasnosti-vzlomala-apparatnyj-koshelyok-trezor-t/

Да ничего он не обнаружил, это известно всем уже четыре года и в этой ветке, кажется, обсуждалось. Хорошая пассфраза делает такой взлом бессмысленным.

Ответы SatoshiLabs на подобные эксперименты:
https://blog.trezor.io/our-response-to-the-read-protection-downgrade-attack-28d23f8949c6
https://blog.trezor.io/our-response-to-the-donjon-team-seed-extraction-attack-dd8417749664

Ну новость сегодняшним числом вышла вот и запостил. Не все ж следят за такими новостями как вы. А всю тему перелопачивать чтобы найти подобное как то нет желания. Так что не надо сильно пинать. Извините что побеспокоил баяном.

С вашей стороны баяна не было - видео свежее. Это человек в ролике баянит. Просто нужно было кому-то отреагировать на вашу "сенсацию", чтобы новички не пугались.

Trezor и без того в опале после внедрения аналитики блокчейна прямо в свой кошелек Trezor Suite, теперь они напрямую спонсируют такие фирмы как Chainalysis и помогают им ловить "плохих" парней. Так что если ваша цель сохранить впшу финансовую информацию в секрете, то Trezor нужно избегать. По поводу видео, это действительно старая уязвимость, но Trezor вывозил на опенсорсном коде и рекомендациях установить пассфразу. Важным выводом здесь будет то, что если хакер получает физический доступ к аппаратному кошелтку, то гораздо безопаснее переместить средства в другое место, не надеясь на надежность кошелька. Каким бы безопасным тот не казался, он должен всегда быть ограничен от доступа третьим лицам. Это касается и кошельков с защищенным элементом и без.

Человек в ролике видимо просто пытается раскрутить свой не очень популярный канал на ютубе, и хоть в этой новости не ничего нового, но новостные паблики так же подхватывают эту новость, хотя справедливости ради стоит отметить, что они упоминают о том, что данная уязвимость существует с 2019 года когда была обнаружена Kraken Security Labs, так что по сути это новость ради новости.

https://forum.trezor.io/t/trezor-wasabi-cooperation-with-chainalysis/12224/2
Трезор заявляет что не ловить, а не допускать для смешивания "UTXO, о которых известно, что они связаны с серьезной преступной деятельностью"
Мы все делаем вид что верим, как леджеру.

Они напрямую заявляют, что биткоин не является деньгами, потому что взаимозаменяемость - это одно из основных свойств денег. У них получается, что какие-то монеты более чистые, чем другие и следовательно должны иметь другую цену. Ну и как доверять биткоин аппаратному кошельку, если знаешь, что его создатели ведут антибиткоиновую деятельность?

Они напрямую заявляют, что ваша приватность нарушается и что все UTXO из вашего кошелька передаются сторонним компаниям для анализа. Возможно что ассоциирировать личность с транзакциями таким способом сложно, но они получают достаточно информации: каким UTXO хотят участвовать в CoinJoin, какой процент "грязных" монет хранится на Trezor и многое другое.

Я лично им верю, они действительно настолько скатились.

Такими фразами они еще больше себя закапывают. Никакой "risk score" в блокчейне биткоина не существует, это выдуманная метрика от компаний-анализаторов блокчейна и регуляторов, использующих сомнительные формулировки для атаки на биткоин. А трезор их поддерживпет и финансирует.

Тут Трезор заявил, что продажи его аппаратных кошелей подскочили аж на 900% из за того что Леджер сейчас в опале. Так в Трезоре сказали, что мол удаленное извлечение сид фраз в их кошельках невозможно и что это никогда не будет реализовано.

https://cryptoslate.com/trezor-sales-soar-900-amid-ledgers-seed-recovery-controversy/

Возможно это видео о старой проблеме трезора со взломом было запущено с той целью, чтобы как то выровнять ситуацию с ляпом леджера. По сути леджер и трезор это два основных игрока по аппаратным кошелькам, конкуренция есть и это хорошо, может на фоне роста продаж трезора, команду леджера это заставит задуматься и они пересмотрят ситуацию с этим Recovery. 

Почему? Не надо верить трезору, все проверяется. Если не нравится coinjoin от трезора (как мне), им можно просто не пользоваться.

Этот кошелек из тех немногих аппаратных, где доверие не требуется.
Давайте уточним. Не все utxo, а лишь те, которые будут на coinjoin-аккаунте, который можно вообще не заводить.Опять же, не на трезоре, а на этом коинджоин-аккаунте.

В общем, с некоторой критикой я могу согласиться, но, как мне кажется, вы немного передергиваете.

Безусловно, такое понятие, как risk score и соответствующие критерии для оценки были придуманы компаниями, которые непосредственно занимаются анализом данных в блокчейнах. Кстати, а с чего вообще началась история сотрудничества трезора с такой компанией, как chainalysis? Давление со стороны регуляторов?


Вполне возможно, что такой рост продаж соответствует действительности, ведь их главный конкурент знатно облажался. Люди просто выбирают меньшее из двух зол.

Не думаю, что пересмотрят.
Ведь трактовка этого идиотского с точки зрения нормальных криптанов  решения основана на том, что возникла массовая  потребность возможности восстановления потерянных ключей при глобальном масс адопшене.

Леджерцы считают, что все равно с проблемой потери сид придётся столкнуться  и  простой народ потеряв бабло пойдёт на баррикады.
Может оно отчасти и правда, но конечно  для настоящих криптанов дичь, а не решение.
Погнались они за ростом продаж своей железки, бабла видно им не хватает,  вот и замудрили первыми эту хрень.

Но все равно не они, так кто то другой был бы первым из производителей аппаратников. А так они решили, что крутые и решили - мы будем первыми   ;D

Боюсь тенденцию не остановить!

А где трезор Т в Рф купить сейчас?
Уговорили что с дополнительным паролем он надежен.
На авито много продают по 7,8,10 тысяч, наверно мошенничество через подмену или предоплату. Не думаю что там чип перепаян.
Прям оригинальный продают за 50, дорого.

Как владелец Трезора Т, я бы не торопился бежать покупать его за дорого. Чтобы безопасно его использовать с парольной фразой фразой, нужно знать определенные нюансы.
Тем более Трезор Т модель 2018 года и следующая модель у них должна выйти с встроенным чипом безопасности собственной разработки, так что лучше подождать.

Если причина перехода на Трезор из за Леджер, то я написал (https://bitcointalk.org/index.php?topic=2915055.msg62298021#msg62298021) инструкцию как безопасно использовать Леджер вместе с парольной фразой.
Если кроме биткоина нужно хранить еще и другие монеты на Леджере, например Эфир или USDT(TRC-20), то вместо кошелька Электрум можно использовать: MyEtherWallet и Tronscan соответственно.

Покупать аппаратный кошелек на авито - слишком рискованная затея. Да и стоит отметить, что Model T на официальном сайте стоит 219 баксов (17,5k рублей), т.ч. трезор за 7-10k - это может быть что угодно, но только не аппаратный кошелек.
На твоем бы месте я бы рассматривал два варианта покупки трезора:
1) Покупка на официальном сайте через сервисы-посредники (pochtoy, qwintry и т.д.), в таком случае кошелек обойдется примерно в 22k рублей (17,5k сам кошелек + 50-60 баксов за доставку).
2) Покупку через официального реселлера, но проблема в том, что ближайший находится в Беларуси и продают там model T примерно за 32k рублей. Иными словами, этот вариант актуален только в том случае, если у вас есть возможность/желание съездить в Беларусь.

Все что касается аспекта взаимодействия и сотрудничества с chainalysis остается довольно туманным. Wasabi до последнего скрывал с кем именно они сотрудничают, пока кто-то из разрабов не умудрился включить имя компании в юнит тесты кошелька. Пока мне не покажут отрывок кода где подверждается что тольеко CoinJoin UTXO могут отправляться, я не поверю что это не происходит со всеми UTXO. Пока моя логика как с Ledger: если определенные UTXO можно отправлять на аналих, то это можно провернуть и со всеми остальными. Но здесь важен не сам процесс, а направленность компании в сторону сотрудничества с врагами блокчейна биткоина. Только одно это должно оттолкнуть от покупки такого аппаратника.

Этого никто не знает, прямой атаки на CoinJoin провайдеров не было. Возможно, что они ожидают подобного регулирования и превентивно вводят такие ограничения. Однако, одна из причин была названа: они ориентируются на институциональных инвесторов, а не на розничных, поэтому ограничивают взаимодействие с потенциально "грязными" битками.

Ну это естественно что они при желании могут направлять на анализ любые UTXO, так как код, который отвечает за это находится на ихнем сервере. И даже если они продемонстрируют такой код это ничего не докажет, так как код который «реально» крутиться на ихнем сервере может отличаться и проверить это невозможно, так как доступа к серверу кроме их самих не у кого нет.

Практически на всех маркетплейсах есть в продаже, на Озоне ещё со скидкой серьёзной:
Озон (https://www.wildberries.ru/catalog/0/search.aspx?search=trezor%20thttps://www.ozon.ru/product/apparatnyy-kriptokoshelek-trezor-model-t-holodnyy-koshelek-dlya-kriptovalyuty-913105391/?asb=%252B5%252FkiYlBo6WTNGA1pjeBiT8RnLAQjlGMgI70TjlwbIU%253D&asb2=Z9fpaXNM2wDor1m3lj9nfwjFMRaYojXycXwqo7ybiIRthtjnO3ihG6ki0ONV3gzS&avtc=1&avte=2&avts=1685199176&keywords=trezor+t)
Яндекс маркет (https://market.yandex.ru/search?cvredirect=0&text=trezor%20t&allowCollapsing=1&local-offers-first=0)
Wildberries (https://www.wildberries.ru/catalog/0/search.aspx?search=trezor%20t)

Из за санкций не привезут
https://www.pochtoy.com/forbidden-items/

Под запретом для доставки в Россию из-за санкций:
ВСЯ техника и электроника, включая смартфоны, компьютеры, ноутбуки, смарт-часы и браслеты, игровые консоли, наушники, принтеры, калькуляторы, усилители, колонки и тд.


6900 рублей стоит на озоне у продавца с 1 отзывом
https://www.ozon.ru/product/apparatnyy-kriptokoshelek-trezor-model-t-holodnyy-koshelek-dlya-kriptovalyuty-913105391/
Это точно кошелек?

Так считай у всех продавцов такая ситуация, какие-то нонеймы пытаются торговать и никоим образом не занимаются продвижением.

Пока искал трезор, увидел Safepal S1 недорого у официального продавца. Он приватный ключ передавать не может и все соединения через камеру.
Если кто уже владеет, скажите удобный ли он?

Почему не может?Да, ну и что? Кстати, если правильно помню, прошивка апдейтится через кабель.
Не владею, но многих он устраивает, некоторым даже нравится. Код полностью закрыт: и прошивки, и приложения, и даже QR-кодов. Работает только с родным мобильным софтом, ко всяким метамаскам-электрумам не подключается. На мой взгляд, не стоит внимания.

Он вроде собирается идти по стопам Леджера и даже ещё хуже - размещать СИД "в облаках"  (https://bitcointalk.org/index.php?topic=5317884.msg62272955#msg62272955)

Соответственно и рекомендация комьюнити держаться от него подальше

А чего криптанам делать то теперь  с железяками?

Если так пойдёт дальше, то и другие производители вделают такие фичи в свои прошивки. Это ж леджер запустил эффект домино. Выходит вместо железяк придётся и правда старые компы и ноуты подрубать и на них качать все чейны, что тебе нужны. Иначе и никак получается.  ??
Какая то нездоровая антикриптанская тема прокачалась.
Как ни крути под благородным предлогом сохранности дядиных денег.  Если дядя такой тупой потерял  сид.

Я могу не обновлять прошивку, я могу сначала обновить прошивку, потом использовать. Для кошелька разработчики сделали утилиту браузерную, через которую можно работать с веб приложениями с помощью веб коннект. Я вчера видел как на этом кошельке торгуют на юнисвапе, но постоянно необходимо QR коды снимать с кошелька и телефона.
Скажите каким способом 12-24 слова могут быть похищены?
Также прочитал что там чип непонятный и защита от вскрытия не работает.

И перед каждым обновлением всё выводить, а после заводить обратно на новый сид? Дорого и хлопотно. Да и имеет ли смысл?Разработчиком? А какие препятствия для этого? Вместе с транзакцией через QR слова и передать, как по кабелю. Вы же не можете проконтролировать, что там передается. А если бы могли - в закрытой прошивке может быть бэкдор, постепенно незаметно передающий наружу сид. В теме о леджере только недавно об этом говорили.

Если кошельки с закрытым кодом могут воровать сид по воздуху, давайте не обсуждать прошивку.
Я много не понял в теме леджера.
Доказано что леджер ворует сид пользователей или это только предположение?

Официальный дилер кошельков  в Рф
https://walletz.ru/

Мне понравился этот кошелек с открытым кодом, который использует трезор
https://walletz.ru/apparatnye-koshelki/onekey/onekey-touch/

взломали
https://bitcointalk.org/index.php?topic=5439320.0
обзор
https://www.youtube.com/watch?v=j948RITSMTI

Парольная фраза защищает от взлома как у трезора?
Что можете посоветовать хорошего из списка доступности на сайте, елипал ломали, на форуме написано.


COLDCARD Q1 какие монеты поддерживает?

COLDCARD не поддерживает альты/токены. Так что не стоит рассматривать этот кошелек как многофункциональное устройство для хранения крипты.
И нужно ли такое устройство за 200 бакинских?

Давайте.Нет, конечно. И это даже не предположение, что воруют. Это предположение, что могут незаметно воровать, если захотят (или заставят трехбуквенные).Не знаю, сильно не вникал. Мало иметь открытый код, нужно, чтобы этот код как следует обкатали. Практически все кошельки поначалу имеют ошибки и уязвимости.Trezor (с пассфразой) и Bitbox02.

Чем хорош Bitbox02?

Всем хорош ). Я не вижу в нем недостатков, кроме, на мой взгляд, несколько завышенной цены и поддержки малого количества монет (если это вам важно). Ну и там, как в трезоре, нет ни air gap, ни блютуза (для меня это не недостатки).

Это сложно доказать: если средства пропадут с кошелька, то всегда можно предположить, что бэкап вашей сид фразы стал известен кому-то еще. Даже если вы воспользуетесь Ledger Recovery и затем удалите свою сид фразу, то опять же будет невозможно доказать, что вы действительно это сделали. Я думаю, что в компании Ledger сидят не совсем дураки и уже предусмотрели ситуации когда клиент их будет специально обвинять в краже сид-фразы. Клиенты почти всегда будут в проигрыше при потере сид-фразы, сумма в 50к евро в качестве компенсации за потерю даже сейчас выглядит смешно, так как биткоин может уже в ближайшее время вырасти больше 100к.

Но так как эта тема про Трезор, то вот стратегия для текущих и будущих клиентов:

1) Дождаться выхода кошелька с опенсорсным элементом безопасности
2) Импортировать туда заранее созданную сид-фразу и "расширить" ее дополнительной пасс-фразой
3) Все манипуляции нужно делать через сторонние опенсорсные кошельки типа Electrum или Sparrow, никаких официальных приложений со встроенной аналитикой
4) Положить кошелек в специальный огнестойкий/влагостойкий контейнер
5) Закопать кошелек в лесу под деревом и никогда не взаимодействовать с ним: никаких обновлений, никаких прошивок, ничего

Если оно действительно надежное и у вас несколько BTC и больше, покупка оправдана.

Всем доброго дня.

Я еще не приобрел себе сей девайс, но вот подумываю это сделать. Но вот возник у меня вопрос. Как работает криптовалютное движение активов от кошельку к кошельку и обратно?

1) у отправителя должен быть номер счета или публичный ключ?
2) крипту можно отправлять в кошелек только когда он включен?
3) если во втором вопросе нет, то где висит крипта пока кошелек не подключен?
4) можно ли украсть крипту пока она не достигла холодного кошелька?
5) я что-то упустил?

Если где то есть инструкция на русском, дающая ответы на мои вопросы, просто бросьте в меня ссылкой.

По вашим вопросам я понял что требуется небольшое прояснение: криптовалюта всегда находится и двигается внутри блокчейна, а кошельки используются для хранения ключей и манипуляций с транзакциями. Иными словами, кошельки не хранят саму криптовалюту, а обеспечивают возможность взаимодействовать с ней.

Отправитель должен знать адрес получателя для создания транзакции, но публичный ключ тоже может использоваться в редких случаях.

Так как криптовалюта находится на блокчейне, а не на кошельке, то для получателя быть "онлайн" не нужно. Он даже может не иметь никакого кошелька на момент получения, достаточно сгенерировать адрес заранее.

Для кражи крипты нужно знать приватный ключ к адресу отправителя или получателя, так что теоретически средства можно направить на другой адрес еще до подтверждения транзакции в блокчейне. Но такой вариант подразумевает, что вы не единственный владелец крипты, то есть у атакующего есть такое же "право" распоряжаться средствами. Лучший способ избежать такой атаки - бережно хранить свои приватные ключи в надежном месте и не рассказывать лишним людям, что вы владеете криптовалютой.

Аппаратный кошелек не отличается от программных кошельков, кроме интерфейса. Хотя они совместимы и подключаются ко многим известным программным кошелькам. Главное, что ваш seed хранится в security element кошелька и спасает от вирусов.
Я бы на вашем месте посмотрел несколько видео о том как работает блокчейн и посмотрел последние обзоры кошелька, который вы хотите купить. Покупайте только у официальных представителей.

Стоит напоминать что сид фразу не нужно использовать в мобильных приложениях?

Вредоносное приложение Trezor  (https://decrypt.co/145440/theres-a-fake-trezor-wallet-in-the-apple-app-store-draining-crypto)появилось в Apple App Store под поддельным названием "Trezor Wallet Suite".
Рафаэль Якоби, партВредоносное приложение Trezorнер Crypto Lawyers, вчера предупредил пользователей в Twitter, заявив, что фейковое приложение в Apple App Store “запросит вашу начальную фразу, что позволит мошенникам украсть всю вашу криптовалюту”. По словам криптоюриста, приложение доступно уже несколько недель, а это означает, что в конечном итоге жертвами могут стать сотни тысяч.

Приложение уже зарепортили и удалили, но это многое говорит о самой платформе: App Store такая же помойка как и Play Store, оба являются рассадниками скамеров и мошенников, которые только и ждут что бы поживиться чужими деньгами. Если что, то ссылка на официальное приложение можно найти здесь: https://trezor.io/trezor-suite, все остальное будет пытаться вытащить из вас информацию о сид-фразе.

Кстати, по запросу "Trezor" в поиске выдается еще одно интересное приложение "Crypto multiwallet":


Разработчиком указан "Trezor official", но это совсем не тот, что указан у официального приложения. Что интересно, в числе внутренних покупок приложения указаны "Trezor official wallet" и "Ledger official wallet". Либо разработчики Трезора начали подрабатывать в помощь конкурентам, либо это чистейший скам.

В принципе, это легко проверяется. На официальном сайте есть ссылка только на одно приложение в App store. Называется оно Trezor Suite Lite и это единственное приложение от разработчика Trezor Company s.r.o. Так что все остальные приложения с похожими названиями можно даже не рассматривать, очевидно, что это будет скам.

А вообще, ситуация с App store довольно-таки забавная. С одной стороны, модераторы Apple скрупулезно все проверяют, особенно те приложения, которые имеют внутренние платежи. Мало ли, разработчики этих приложений решили схитрить и обойти 30% комиссию Apple. С другой же стороны, твой пост - это наглядный пример того, что модераторы Apple ничего не замечают и могут пропускать откровенный скам в App store.

Trezor Suite Lite это не приложение для аппаратного кошелька Trezor, а сервис для просмотра баланса, транзакций, адресов. У него нет возможностей отправки транзакций, как с леджера.
Приложение для телефона не соединяется с кошельком и сид фраза без нужды.
Я не понял для чего это нужно, но на своем трезоре я им не буду пользоваться.

Очевидно это для более-менее опытных пользователей, особенно для знакомых с продукцией компании Trezor. Остальные могут пасть жертвой такого мошенничества из-за желания скачать мультивалютный кошелек на свой iPhone.

Тут опять же вопрос к опыту и профессионализму, но уже самих модераторов Apple. Какова вероятность, что многие из них даже и не подозревают как работает аппаратный кошелек и что нет необходимости вводить приватные ключи на мобильном устройстве?

Обычное портфолио приложение, но с ограниченной функциональностью и бедеым интерфейсом. Связь с кошельком есть только через публичный ключ, то есть теоретически его можно использовать вообще с любым кошельком, не обязательно с Трезор или вообще аппаратником.

Что-то скачивать не проверив первоисточник? Особенно когда кругом о истории о различных взломах, мошенничествах, и т.п.?


Вот именно, есть куда более трекеры, куда можно вбивать и транзакции, и с биржами подконнектиться.

Рад, что сквозь года моя тема в топе у Новичков.
Правда, Трезор уже не тот. Криптоветеран говорит, посмотрите в сторону Tangem сейчас.

Новым модераторам привет, я помню как вы мультиачили и флудили ради подписных кампаний. Я про xandry, второго мужчину не застал. В целом, всем радости и быть бдительными

Почему не тот?
Да ну, это ж черный ящик. Кто такой криптоветеран?

Что за бред?

https://cs11.pikabu.ru/post_img/2020/01/20/5/1579506383149169925.jpg

С этим не согласен.

Аппаратный кошелёк не завязан на операционную систему компьютера в отличие от програмных кошельков.

У аппартного кошелька есть чип безопасности в отличие от програмных кошельков.

Аппаратный кошелёк большую часть своего времени находится оффлайн (а безконтактный всегда) в отличие от програмных кошельков, файлы которого всегда онлайн.

Аппаратный кошелёк более транспортабелен и легче спрятать.

И ещй много отличий. Думаю другие пользователи меня дополнят.

Уверен, вы неправильно поняли коллегу ).
Что вы имеете в виду? Программный кошелек вообще не надо прятать - удалил и всё.

Да то имею ввиду, что апаратник удалять не надо когда выходишь из дому. Прятать нужно, удалять не нужно.;D

Вы считаете, что пользователи удаляют свои прграмные кошельки в случае, когда они  запирают за собой  выходную дверь снаружи?

Нет, зачем им его удалять? А если уж хочется спрятать, при пересечении некоторых границ, например, то удалить программный проще, чем скрыть наличие аппаратника.

Доказательства?) Сделай поиск в ЛС со мной, до того как стал модером)) Не хотел зацепить или что-то подобное. Респектую, что нашёл свою нишу. dzyk в строю ещё? Найма не объявлялся?) Извиняюсь за оффтоп

12 октября Трезор представит новую модель своего аппаратного кошелька:
https://content.trezor.io/new-products
По данным из разных источников новый кошелек будет иметь название model R (но это не точно).
Так же кошелек возможно будет оснащен открытым чипом безопасности собственной разработки.

Собственно, в различных источниках одна и та же информация, а именно спекуляции, слухи, полное отсутствие каких-либо интересных фактов и надежды, что Трезор решит проблему совместимости опенсорсных децентрализованных систем и систем безопасности банковского уровня. Но правильные мысли среди этих всех рассуждений тоже присутвуют: даже если они и выкатят свой чип от https://tropicsquare.com/ в новом анонсе, это совсем не повод бежать в первый же день и делать предзаказ. Такие сложные устройства как элементы безопасности требуют продолжительного тестирования и обкатки в "продакшене". Первые 1-2 года его следует использовать только с малыми суммами, внимательно отслеживать любые новости касательно обновлений безопасности, а лучше вообще такое не приобретать и учиться на опыте других.

Это именно та ситуация когда за новинками гнаться не следует. Отлично что разработчики работают и выдают новые продукты, возможно для кого-то они и будут полезными и интересными. Однако же для меня главное не совместимость кошелька с другими системами, а безопасность моих средств. Ради этого я готов совершать дополнительные манипуляции и "танцы с бубном". Уверен что я не одинок в своем мнении.

Trezor Model T аппаратный кошелек стоит 30К
https://sunscrypt.ru/catalog/trezor/trezor-model-t/
У вас есть проверенные продавцы дешевле?
А новый кошелек сколько будет стоить?
У трезора напрямую кошелек будет 22К по курсу.
А новый чип разумеется смогут если не взломать, то баги найти.

Если кошелёк не бесконтактного типа, сопрягающегося исключительно через оптический канал, то  он уже не соответствует требованиям сегодняшнего дня.

Чип собственной разработки от компании, которая никогда не занималась разработкой чипов, не даёт ему никакого преимущества, так как, чтобы понять насколько он хорош в смысле безопасности, потребуются годы "полевых" испытаний.

ИМХО.

А разве известны случаи взлома аппаратных кошельков через usb или bluetooth? Это скорее мода сегодняшнего дня, а не необходимость.

Да все сторонние разработки это прежде всего вопрос доверия. Даже решения с открытыми исходниками, которые можно изучить на предмет "не задокументированных возможностей", не дают 100% безопасности.
Поэтому было, есть и будет всегда верна истина - никому не доверять и не хранить все свои средства на одном кошельке.

Это кошелек для исследователей, пентестеров и всяких белых хакеров, потому что обычным пользователям важны не инновации, амбиции разработчиков и открытые элементы безопасности, а уверенность в сохранении своих кровных. На никому неизвестном куске хардверы это обеспечить не получится.

Надеюсь, что они посоветовались с маркетинговым отделом и не догадаются выпустить очередную модель Trezor в формате usb-only. Тут даже не безопасность, а банальное удобство для пользователей, которым будет проще навести камеру, чем покупать всякие переходники и возиться с кабелями.

Схоластика.

А разве нужно  ждать пока взломают кошельки, чтобы начать чесаться?

А разве сопряжение аппратного кошелька через QR не является более  защищённым, по сравнению с сопряжением через USB или NFC?

А разве можно на 100 % гарантировать, что хотя бы  в части произошедших похищений с аппаратных кошельков   не было замешано USB соединение?

А разве неверно  нижеследующее утверждение от keystone?


Таких схоластических вопросов можно задать множество.

Является. А, к примеру, сид-фраза из 24 слов не является надежнее, чем фраза из 12? Нужно ждать, пока взломают 12 слов, чтобы начать чесаться?А разве можно гарантировать, что из QR-кошелька утечка ключей невозможна? Теоретически же в закрытую прошивку можно заложить троян.

В целом я же не спорю, что лучше. Конечно эйргэп лучше. Я спорю с утверждением, что это "требование сегодняшнего дня". По-моему, нет такого требования.

Если все вокруг перейдут на кошельки с QR-кодами, то есть вероятность, что хакеры тоже начнут извращаться и пытаться всеми способами взломать такой способ коммуникации. Для USB есть фейковые кабели, перехватывающие информацию из ОС, для QR код будут манипуляторы, которые влияют на саму камеру и передают команды уже через нее (это я сам придумал, ничего подобного в реальности может и не быть). Тут в вопрос не в невозможности, а в экономической целесообразности. Это в том числе означает, что если вы не коллекционер аппаратных кошелек и опять же не исследователь инновационных сетапов в области безопасности, то не стоит бежать менять свой старенький Трезор на супер модели сегодняшнего дня. Эти современные кошельки работают пр маркетинговой модели альткоинов - они предлагают решение еще не актуальных проблем.

Это прежде всего означает, что если размер вашей заначки настолько ощутим, что её потеря с большой вероятностью может закончиться для вас инфарктом, то лучше поменять свой одряхлевший  с болтающимися шнурками кошелёк на более современное бесконтактное устройство типа Pаssport или ColdCard, а лучше на два сразу, чтобы организовать 2-2 мультиподпись.

Коллекционеров и исследователей достаточно мало, чтобы принимать во внимание   их интересы.


Ну да, есть и такие   старой закалки люди, которые до сих пор смотрят ламповые телевизоры и не понимают зачем нужны эти LED на Q-точках.

Trezor сегодня выпустил свою новую модель Trezor Safe 3, который напоминает ихнюю первую модель Trezor model one, но в обновленном корпусе и с чипом безопасности.
https://trezor.io/trezor-safe-3
Так же будет выпущена лимитированная серия этого кошелька только для хранения биткоина в количестве 2013 экземпляров.

Насколько я понимаю, Trezor наконец-то отошли от концепции полностью open-source кошелька и используют элемент безопасности от какой-то левой фирмы? Я в анонсе не увидел какой-то вразумительной информации, только то что чип имеет сертификат EAL6+, безопасен, бла-бла-бла... или это и есть тот самый https://tropicsquare.com/product ? Кто может прояснить этот момент? Так же стоит добавить, что это не единственный анонсированный продукт от Трезор, там еще целых два решения для хранения сид-фразы по стоимости превосходящих сам аппаратный кошелек. Одна версия расчитана на сид-фразу из 12 слов https://trezor.io/trezor-keep-metal, а вторая уже для Шамира: https://trezor.io/trezor-keep-metal-shamir Как я понял они представляют из себя некие защитные контейнеры (вода, огонь и прочее) с выгравированной сид-фразой внутри, самому процессу гравировки уделено много внимания, там и контейнер для закрепления при гравировке, карандаш для предварительного нанесения маркеров и собственно сам гравер (ну или что-то подобное).

Ну в их новую модель в качестве элемента безопасности  будет встроен OPTIGA Trust M , (https://twitter.com/Trezor/status/1712469783281848515) разработанный   infineon (https://www.infineon.com/cms/en/product/security-smart-card-solutions/optiga-embedded-security-solutions/optiga-trust/), довольно таки известным производителем разнообразных чипов, называть которого левой фирмой скорее всего некорректно.

Но да, это не многострадальный open-source Tropic Square  (https://blog.trezor.io/introducing-tropic-square-why-transparency-matters-a895dab12dd3), которого многие годы ждут от Trezor , а он никак не может им разродиться.

А что ещё можно ожидaть от компании, которая никогда до этого не занималась разработкой чипов.

Может дилетанский вопрос, просто сам никогда не пробовал, но все таки.
Вот посмотрел на эти их металлические капсулы типа огонь, вода и вопрос возник как то сам собой.

А можно вместо сид со словами вбить строку из только 4-х первых букв каждого слова, ну через пробел естественно?
Сработает такая модернизированная сид-фраза или нихрена не выйдет ?
Кто нибудь знает? Пробовал?

А в целом этот вариант металла мне показался неплохой, пожалуй лучше чем титановые пластины, или  шайбы, или еще какой то набор с молотком продавался.   :)

Ответ положительный. Четыре первые буквы слова из BIP39 мнемоники достаточны, чтобы восстановить само слово. Все кошельки, после ввода этих первых четырёх  букв показывают слово целиком. Я свою сид храню на стальных шайбах и на каждой выбиты с двух сторон по 4 первые буквы   двух следующих друг за другом слов. Шайбы пронумерованы по порядку следования этих пар в моей фразе.

А разве все кошельки дописывают слово сами?  Там правда есть слова и по три буквы, но по бльшей части больше 4-х.
В последнее время смотрю и правда атоматом предлагают слово целиком.
 Но а если вы набрали в ворде по 4 буквы и прбелы скопировали  и вставите на вход в кошелек, то сможет ли он сработать? Я конечно не призываю к такому безумному нарушению безопасности. Но я вообще то о таком варианте  хотел узнать и спрашивал.
Вот подозреваю, что такой может и не сработает ?

Не все. Если не дописывает, придется сверяться со словарем.Не сработает.

А зачем вам это?

Те кошельки, которыми я  пользовался дописывают слово после первых четырёх букв.

Не встречал ни одного кошелька кроме  кажется Электрум , в котором надо было вводить сразу всю сид фразу целиком одной строкой.

В большинстве моих кошельков надо было вводить по словам. Но, если у вас будет запись в строчку из первых четырёх букв с пробелами между ними, то вы всегда можете ею воспользоваться, вводя поочерёдно эти четыре буквы. Главное порядок четвёрок не перепутайте.

С течением времени UI/UX в криптовалютных кошельках улучшается и упрощается и поэтому сейчас практически все кошельки позволяют вводить сид-фразу быстрее с функцией автодозаполнения слов из сид фразы. Работает это примерно так: в кошельке хранится словарь из 2048 слов или соотвествующих бинарных чисел, при вводе первых букв слова предлагается набор слов из словаря, начинающихся на эти первые буквы. Тут даже никаких сложных алгоритмов предсказывания использовать не нужно, так как набор слов небольшой. Если вводить первые буквы слов через пробелы всей строкой, то кошелек вряд ли это распознает, так как это очень своеобразный способ хранить информацию. Но парсер таких фраз написать довольно просто, так что разработчики кошелька могут при желании ввести такой способ распознавания сид-фраз. Самый простой способ ускорить процесс: зайти на GitHub своего любимого кошелька и предложить новую фичу по масс-вставке короткой версии слов.

Кошельки Trezor Safe 3 лимитированной версии только для биткоина уже все раскупили и больше не доступны для заказа.
https://trezor.io/trezor-safe-3-bitcoin-only

Похоже что маркетинговый прием с лимитированной версией сработал на ура, достаточно было сделать заднюю панельку из оранжевого пластика, назвать это поделие "bitcoin only" и ценители сразу побежали отдавать свои кровные.  Но в компании уже подтвердили (https://twitter.com/Trezor/status/1712816332557648305), что кроме задней крышки там нет ничего особенного, bitcoin-only прошивка ставится на абсолютно все версии кошелька, позволяя криптанам-максималистам ограничить себя от использования альткоинов. А всякие финтифлюшки и украшательства только вредят владельцу кошелька: хвастаться аппаратником в любом случае небезопасно, он привлекает больше внимания у мошенников, хакеров, таможенников, и так далее и тому подобное.

А резонно ли брать такой дорогой кошелек только для биткоина? Сколько стоит этот кошелек на ивенте?
Мультивалютность кошелька просто увеличит количество обновлений но зато обеспечит также сохранность других криптовалют.
Я бы купил только с возможностью выбора прошивки.
 

Мультивалютный стоит 79 евро, а вот цену чисто биткоиновой версии не помню, но возможно столько же сколько и обычная. Брать ли или не брать это отдельный вопрос, коллекционеры не жалеют деньги на вещи, которые считают стоящими внимания, для них такая цена не будет отталкивающим фактором. В общем то быстро распроданная лимитированная версия тому доказательство. На мультивалютную версию можно поставить любую прошивку, в том числе версию эксклюзивную для первой криптовалюты. Это не то что уменьшит количество обновлений, но в теории сделает аппаратный кошелек более безопасным и надежным,  потому что банальнее будет меньше пространства для атаки. Ну и в самом протоколе Биткоина происходит очень мало изменений по сравнению с альткоинами. Что же касается сохранности альткоинов, то тут тоже все зависит от степени поддаваемости изменений: например в стейблкоинах типа USDT можно заблокировать счет удаленно и никакая прошивка не поможет, а во остальном это будет надежнее, чем софтверный кошелек.

Экслюзивно для биткоина можно найти менее дорогую альтернативу, например такую как Krux (https://selfcustody.github.io/krux/), которая позволяет заиметь полностью бесконтактное подписывающее устройство. (Трезор остаётся контактным).

От кошелька его отличает только то, что seed прийдётся вводить каждый раз при включении, но может быть это даже неплохо с точки зрения безопасности.

 Я посмотрел, что если реализовывать всё это дело на Maix Amigo, который имеет довольно приличный дисплей, то вся музыка обойдётся в 54 бакса, если заказывать через Амазон (https://www.amazon.com/youyeetoo-Development-paddlepaddlel-Framework-Recognition/dp/B08H865Q96).

Считала ledger безопасным способом хранения моих монет и даже не задумывалась о том, чтобы иметь два разных апаратника, но если сумма становится существенной то возможно об этом стоит задуматься.

Вижу что я уже отстала немного, кроме леджера и трезора больше ничего не рассматривала, о Pаssport или ColdCard совсем ничего не знаю, постараюсь восполнить этот пробел.

Я вижу вы очень хорошо разбираетесь в технических моментах по кошельках, не могли бы вы подсказать какие то ресурсы, или литературу где это можно подробно изучить?

Если речь о хранении биткоина, то на базе вашего леджера можно создать мультиподписной кошелек с программным (Electrum, Sparrow) - получите вполне надежное хранилище. И не придется ничего покупать.
В любом случае лучше, конечно, сделать несколько кошельков, чтобы не потерять всё в случае какой-то своей ошибки.

Думаю, что лучшего ресурса, чем bitcointalk.org вам не найти.

Здесь можно найти ответы на многие вопросы, связaнные с кошельками и поставленные  пользователями форума или задать свой вопрос и получить на него исчерпывающий ответ.

Остановитесь для начала  на том  кошельке, который вы используете, изучайте его,  задавайте вопросы,

Знание собирается по крупицам. Постепенно оно   придёт и к вам, если будете настойчивы. Я в этом уверен. ;)

Да, о хранении биткоина. Я так понимаю Sparrow, это аналог Electrum?

Вот сейчас всерьез задумалась о втором кошельке, так что в итоге может все таки паспорт возьму, и буду иметь ledger с Electrum, и Sparrow с Passport 2 два варианта мультиподписных кошелька 2-2.  :D


Согласна, информации на bitcointalk.org предостаточно. Как раз начала искать информацию о мультиподписи и попала на вашу инструкцию (https://bitcointalk.org/index.php?topic=5468983.msg62936827#msg62936827), я же говорю что у вас хорошие знания, раз вы создаете инструкции, значит не здесь их получили.   ;)

Сразу задумалась, какие есть подводные камни с 2-2 мультиподписью, насколько это сложнее чем просто леджер, тут же суть та же самое главное хорошо хранить сид-фразы и все будет в порядке?

Ту инструкцию вам можно легко адаптировать под ваш леджер, используя его в качестве второго подписанта вместо Passport как у меня.

Co Sparrow это сделать достаточно легко, в нём интефейс сам  ведёт к нужным шагам, но если что не понятно, спрашивайте (но только уже в той теме, чтобы не разводить здесь офтоп), я постараюсь помочь.

Потренируйтесь сначала создав мультисиг для работы в тестовой сети биткоина.  После того как создадите тестовый кошелёк, сможете получить тестовые монеты на одном из кранов.

Подводных камней с 2-2 мультиподписью я не замечал. Сид-фразы подписантов  естественно нужно хранить так же бережно, как и в случае одного кошелька леджер.


Думаю, что для вас он будет даже лучше, чем Electrum. В нём всё более явно (igor72 сейчас начнёт возражать  :) ).

https://sparrowwallet.com/


Если возьмёте passport , то леджер можно оставить разве только для коллекции. :)

Passport 2 это лучший кошелёк на сегодняшний день,  

Да, они во многом похожи. Я предпочитаю Electrum, хотя бы потому, что он намного старше. Но не только поэтому.
Мне такой подход не очень нравится, да и смысла в нем не вижу. Один аппаратник + программный в мультиподпись, либо два аппаратных в мультиподпись, если сумма большая. И сделать таких кошельков несколько, можно даже на тех же сид-фразах (добавив пассфразу). Это для холда. А для оборотных денег хватит и одноподписного на аппаратнике ради более дешевых транзакций.


Не буду ), для QR-кошельков он действительно удобнее.Лучше по этому выбору свое мнение для Lannakosa выскажу ). Ничего против Passport не имею (отзывы вроде хорошие, а сам не пользовался), просто за такие деньги можно купить несколько разных биткоин-кошельков, каждый из которых монеты сохранит не хуже (а если создать на них мультисиг, то получится вообще сейф для миллиардов )). Да, может они будут где-то менее удобны (не факт), менее красивы (тоже), но это же всего лишь криптокошелек, а не, например, смартфон, вы его и видеть будете, может, две минуты в месяц, а то и реже ). Ну а если ваша деятельность наоборот предполагает постоянную работу с кошельком, тогда другое дело.

Да, это не будет лишним, обязательно сначала разберусь как это сделать и потренеруюсь.


Установлю себе sparrow тоже, лишним не будет, заодно сравню с Electrum.



Эх посмотрела на цену Passport и Passport 2 и поняла, что пока что отложу эту затею, дорогое удовольствие.  ::)

Очередная утечка емейл адресов?

https://www.talkimg.com/images/2023/10/28/T4uMI.png


Как утверждает автор, то мыло было создано специально для покупки аппаратчика 6 месяцев назад и более ни для чего этот адрес не использовался.

Вечная история, которая никогда не закончится, не удивлюсь если сами компании делают такие базы данных, а так же не стоит исключать добросовестных сотрудников, которые хотят подзаработать и имеют доступ к такой информации. Trezor  кстати отреагировал хорошо, они напомнили, что никогда не запрашивают код во становления, пин или сид-фразу, но толку с того если кто то менее внимательный попадется на эту разводку...

С трезором еще так, расчет на невнимательность пользователя, а с каким то леджером могут придумать какой то прикол с сид-фразой, когда взломают часть фразы и пришлют пользователю как подтверждение, чтобы дописал недостающее. )

Да, что есть того не отнимешь, дороже  почти в три раза нового Trezor, поэтому  если дорого сейчас для вас, то  может и есть смысл отложить покупку,   тем более, что  они вот-вот выпустят, новую модель, а когда она выйдет , то возможно и цена на Passport 2  упадёт.

Я не думаю, что новая модель будет сильно от него отличаться по своим главным  свойствам, в том числе  и по безопасности хранения заначки.

11.11 может будет скидка 20-30%, но это не точно :)

Обычно этот процесс завязан на посредниках, вот от туда и идут сливы баз (это я общем, а не о Trezor, ибо не чекал инфу по ним). Радует, что такие примитивные схемы сходят на нет. Особенно среди юзеров аппаратных кошельков (чего не скажешь о пользователей различных браузерных расширение и т.п.).

В основном да, с опытным пользователем такой прокол не прокатит, но рассылка массовая и расчет идет на то, что кто то все таки клюнет. Согласен, среди юзеров аппаратных кошельков, труднее найти тех кто попадется на удочку, но там и куш может быть значительно выше, поэтому такие схемы будут пытаться применять, если хотя бы несколько юзеров попадутся...


Леджер всегда на 11.11 норм скидки делал, но не ясно как у них сейчас продажи пойдут. )

Мне кажется, что не особо пойдут. Все таки история с их восстановлением сид сильно негативно задела криптанское сообщество. А покупатели аппаратников, как я понимаю  в основном продвинутые и довольно опытные криптаны. Которые фразы в металле выбивают на шайбах и титановых пластинах   :)
Так что интереса у них поубавится. Ну и медвежка еще не закончилась  чтобы рост интереса к биткоину пошел и соответствующие продажи.

Однако топик про трезор, вопросик назрел : что чехи не додумались еще повторять так публично открыто подвиг французов по части задублировать ключики   ? 
Слышал я что вроде и у них планы такие нарисовались  ???    :)

Почти уверен, что основная аудитория у производителей Ledger - это либо зеленые новички, которые где-то услышали про надежность аппаратных кошелек и решили купить один из самых доступных, либо проженные альткоинеры, которым просто удобно иметь кошелек чуть ли не для всех монет сразу. Да, именно удобство приложения играет ключевую роль, иначе как объяснить, что криптаны готовы ради этого удобства вводить свои секретные слова при каждом запросе от левых приложений. Они этот мошеннический прием воспринимают как удобную фичу, ориентированность Ledger на массового клиента. У Trezor со всем этим гораздо хуже: и цена на аппаратник кусается сильно, да и ориентированы они больше не на чистых альткоинеров, а на колеблющихся между биткоин-максималистами и "я в крипте ради технологий, а не заработка". Эти категории гораздо меньше подвержены фишинговым атакам, поэтому историй о кражах криптовалют здесь поменьше.

P.S. Про планы Trezor ничего не нашел, откуда инфа?

Мне кажется, что как раз где-то здесь толи в этом топике, то ли в топике про аппаратные кошельки обсуждали как раз в то время, когда Паскаль Готье ошарашил всех криптанов своей инновацией. И на него все дружно наезжали.
Тогда как раз среди возмущенных заявлений юзеров аппаратников и звучало, что поскольку Леджер как бы котируется в передовиках по аппаратникам, то вслед на ним и остальные начнут делать такие инновации. Если память не изменяет, кто-то и из девов Трезора что-то говорил по этому поводу, типа нейтральное, типа, ну, да посмотрим...

Но уж теперь пруфов поточнее наверное не найду...

Теоретически, полный переход Трезора на "темную сторону" вполне возможен, потому что для этого уже было несколько предпосылок и сомнительных для пользователей решений. Взять хотя бы их заявление о том, что они не хранят никакие данные о покупателях аппаратных кошельков и потом начинают приходить фишинговые письма: https://www.reddit.com/r/ledgerwallet/comments/10l1uu7/apparent_trezor_client_database_breach_stay_away/ Это очень подозрительно, уж слишком много информации доступно хакерам, где-то определенно есть утечка. Далее их решение поддерживать AOPP,  сомнительный метод подтверждения владения адресом, придуманный регулирующими органами. Никто их не просил и не заставлял это делать, просто их мышление уже по-видимому направлено на взаимодействие с властями и передачу им данных о пользователях. Ну и конечно недавнее внедрение CoinJoin от Wasabi, там информация в открытую передается анализирующим компаниям и дальше по цепочке силовым структурам и правительствам.

Хакеры получили доступ к данным 66 000 пользователей Trezor (https://forklog.com/news/hakery-poluchili-dostup-k-dannym-66-000-polzovatelej-trezor).

Если раньше частенько ругали Ledger, то сегодня Trezor подмочил свою репутацию. Не смотря на то, что утекли лишь данные владельцев кошельком, а не сами сид фразы и средства, репутации это навредит.

В данной новости меня напрягает следующее - инцидент произошел со стороны "стороннего провайдера службы поддержки". Те покупаем продукцию у одной компании, а поддержку оказывает другая. Чем больше звеньев в цепи, тем больше шанс возникновения проблем...

Ну, сид-фразы утечь не могут, они там не хранятся, благодаря открытому коду мы это точно знаем. Да и с тем случаем с леджером этот не очень сравним - там реальные имена покупателей с их адресами утекли, а тут, как я понял, только емейлы. Но в целом согласен - с безопасностью данных похожий бардак, после нескольких таких случаев покупать кошельки на своё имя/адрес как-то не хочется уже ни у кого.

Так же можно сделать вывод, что идеального кошелька или способа хранения нет. Что кошелек дешевый, что дорогой аппаратный кошелек, оба одинаково подвержены вероятности поиметь проблемы. Разница между кошельками лишь в дополнительных функциях. (Этот комментарий написал как конртагргумент тому, что люди не довольный Ledger и советуют Trezor. C обоими кошельками можно попасть в приключения)

Сегодня утекли ФИО + имейлы. Завтра что-то другое. Произошедший инцидент триггер для других пытаться что-то сделать.

Я бы не сказал, что вероятность поиметь проблемы с разными кошельками одинаковая. И масштаб этих потенциальных проблем разный. Но полезней считать любой аппаратный кошелек хотя бы немного уязвимым, чем полностью полагаться на его безупречность.

Я вижу несколько способов увеличения надежности хранения монет:
1. Распределение монет по разным сидам/пассфразам на одном устройстве.
2. То же, но распределять монеты по кошелькам разных производителей.
3. Использование мультиподписного кошелька/-ов на устройствах разных производителей (еще лучше, чтобы и микроконтроллеры в них были разработаны разными компаниями).
Первые два способа - это просто диверсификация рисков, а последний мне представляется уже как практически неуязвимый. Даже мультисиг одного трезора с горячим электрумом выглядит непробиваемым, не говоря уже о нескольких аппаратниках.

С мультиподписью это все-таки имхо довольно сложно для рядовых юзеров, хотя наверное и правда это дело непробиваемое. Но конечно это уж для солидных криптанов с капитальцем... :)
А вот распределять по разным сидам можно конечно, но не сильно удобно если потом, например,  надо обналить приличную сумму за раз. Тут придется сидеть несколько транзакций клепать, а если прям в офисе обменника, как я иногда делаю, то это уж совсем не очень. Еще этот их чертов амл. Вообщем не очень.

А с Трезором и правда повторение истории Леджера с "задержкой" в 3 года. Там адреса были скинуты в сеть пользователей покупателей в 2018-19 годах, а здесь, в Трезоре с 2021-го и попозже. Но сама база спертая поменьше, конечно, чем у Леджера    ;D

В мультиподписи довольно мало смысла, если все ключи находятся у одного пользователя. Вероятность самого себя лишить средств возврастает, требуется большее количество бэкапов и опять же увеличивается вероятность их потери. Если вас не собираются атаковать, то мультиподпись не нужна, а если собираются, то она не поможет.

Это неправильный подход, потому что сам факт хранения на разных сид фразах нужно держать в секрете. Перед походом в обменник вы переводите всю необходимую сумму на один адрес (например на мобильный кошелек) и уже потом обмениваете с этого адреса.

Тут я не могу согласиться. У нас есть три типа уязвимостей:
1. Аппаратно-программная,
2. Уязвимость бэкапа,
3. Уязвимость пользователя.
Если бы мы говорили о втором пункте, тогда конечно - все сиды мультиподписного кошелька, записанные на одной бумажке ничем не лучше одного сида простого кошелька. Но мы говорим о первом пункте. Меня, например, гораздо больше заботит потенциальная дыра в софте (прошивке) или железе кошелька, чем то, что кто-то обнаружит место хранения моей резервной копии сид-фраз (об этом я совсем не беспокоюсь - тут у меня всё продумано и надёжно). Думаю, большинство пользователей также. И в этом контексте мультисиг-кошелек несравнимо надежнее одноподписного.

Это неправильный подход, потому что сам факт хранения на разных сид фразах нужно держать в секрете. Перед походом в обменник вы переводите всю необходимую сумму на один адрес (например на мобильный кошелек) и уже потом обмениваете с этого адреса.
[/quote]
Да вообще то я так и делал последние пару раз, сначала консолидировал в один адрес без сид, просто на  приваткей. И все дела. Ведь если это нал, то надо заказать заранее, примерно сумма известна сколько надо им отправить. Но я это делаю как раз в офисе
Это я как то теоретически порассуждал про множество транзакций с разных кошельков.
При теперешнем мемпуле это вообще дело так себе сильно в убыток получается, жалко столько бабла разбазаривать майнерам.   :)

То есть все равно должен кто-то придти, получить физический доступ к аппаратному кошельку, и затем еще эксплуатировать уязвимость в программной или аппаратной части для попытки получения доступа к средствам? Мне этот вариант кажется не менее фантастическим, что опять же делает мультисиг излишней мерой безопасности. У пользователя будет гораздо больше шансов потерять деньги из-за неправильного сетапа или потерянного бэкапа, чем если злоумышленники залезут к нему в дом и украдут несчастный однописной кошелек. Если уж говорить о мультиподписи, то только в контексте разнесения аппаратников по нескольким юрисдикциям, потому что отнимать скорее всего придет свое же государство.

Вот этим мне и не нравится обмен криптовалюты на наличку. Все будут знать когда, куда и с какой суммой вы придете - полное отсутствие анонимности и безопасности.

Необязательно. Я больше подразумевал уязвимость, позволяющую украсть монеты без физического доступа. Раз мы в теме о трезоре, то нелишним будет отметить, что по этому пункту Trezor One и T, пожалуй, одни из лучших кошельков, так как в них всё, насколько возможно, открыто и давно проверяется. Следующим за ними я бы назвал Jade, он хуже только тем, что еще сравнительно молодой и не такой популярный.
У легкомысленного пользователя да. В общем, эта сторона безопасности в руках юзера - если постарается, то будет неуязвим.
Конечно, эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен. Но и простой горячий кошелек на отдельном устройстве с чистой системой и с ответственным пользователем скорее всего тоже никогда не будет украден, однако люди предпочитают хранение на холодных кошельках. Потому что так спокойней. С мультиподписным кошельком этой уверенности еще больше, вот и всё.

Я расчитываю угрозы всегда исходя из  самого наихудшего варианта, надеясь при этом, что он никогда не наступит.

Мульподписной 2 из 2 х кошелёк с двумя аппаратными (от разных производителей) подписантами обеспечивает высший уровень безопасности для персональной заначки.

Поэтому если заначка значительного размера, он всё-таки нужен.

Этот размер каждый определяет сам для себя. Цена такого хранения не такая уж и большая. Вполне можно уложиться в 300 EUR, чтобы приобрести два пристойных аппаратника.

Да, тут уже у каждого свой порог чувствительности: мне, например, спокойно и с мультисигом 2-из-2, где только один аппаратный, а второй горячий программный, а кому-то нужно 3 или 4 аппаратника задействовать.
Два пристойных аппаратника можно и за 150 купить, и даже дешевле. Кстати, один из них вполне может быть и не очень пристойный, в таком сетапе это неопасно.

Не понимаю, о какого рода атаках идет речь, все взломы что я видел были с физическим доступом и скорее проводились в качестве эксперимента в лаборатории с соответствующим оборудованием. Насчет Jade кстати не уверен, возможно как раз к нему можно подобраться через удаленный PIN сервер, но это надо подробнее изучить.

Главное, чтобы неуязвимость не была как в анекдоте про неуловимого Джо.

Аппаратные кошельки просто удобнее и не требуют придумывания изощренных приемов для сохранения своей крипты, а любое усложнение делает их менее удобными, но при правильном подходе еще более безопасными. Для большинства пользователей баланс безопасности и удобства, который обеспечивает обычный одноподписной кошелек, будет оптимальным.

Вторая половина января 2024 года принесла  обновление Trezor Suite, версия  которого была повышена до  24.1.2. (https://github.com/trezor/trezor-suite/releases)

Помимо множества исправлений и небольшого улучшения в нём появилась относительно  новая (для большинства аппаратников) функция, а именно «стирание кода»,

При вводе этого стирающего  "PIN"-кода, вместо получения доступа к области данных, кошелёк  полностью её  "обнуляет".

На мой взгляд неплохая фишка для случай  экстренных ситуаций.

Она новая в интерфейсе Trezor Suite, но в прошивке существует уже почти 4 года, тогда пользоваться ей можно было только с помощью консольной утилиты trezorctl, что для некоторых пользователей было сложно.
Я только одну ситуацию представляю, типа приставили нож к горлу, требуя пин, а ты вместо настоящего пина говоришь стирающий, они вводят, и тут трезор пишет: "Вы ввели стирающий пин, все данные уничтожены" ;D. По крайней мере еще недавно именно это и писало. Для сравнения - Jade в этом месте выдаёт "Internal Error", и мне это намного больше нравится. Трезоровцы, видимо, считают, что грабителям лучше прямо дать понять, чтобы зря жертву не пытали ).
Интересно, в каких еще ситуациях эта фича может быть полезна? Потому что для описанной мной она, имхо, не очень подходит.

Ну мне часто приходиться летать вместе с кошельками.  Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать  мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в  Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию  на  наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.

Мне кажется, в такой ситуации парольная фраза будет лучше. То есть на голой сид-фразе пусто, а всё лежит на какой-нибудь простенькой пассфразе, типа "5349" (чтобы быстро набиралась, против таможенника сложнее и не надо). А если у вас только мультисиг-сетап, то и этого не нужно.
Думал поначалу предложить три раза ввести неверный пин для сброса (как в леджере или джейд), но, погуглив, увидел, что в Passport на ввод пин-кода дается 21 попытка и, оказывается, после этого там происходит не сброс/вайп, а девайс превращается в кирпич  :o.

Есть такое дело.
Но я им пачпорт то не показываю, говорю, что "Сергей Михалыч"  пришел  ну только разве что по видеокамерам с помощью AI  и баз данных наверное могут вычислить кто такой, откудова. Да кто ж его знает оно им надо, хренью такой маяться ?

Наверное на карту бомжа с обналом потом в банкомате на вокзале  и в медицинской маске оно конечно лучше будет, но надо же бомжа в банк затащить, что совсем не легко, как я понимаю.    ;D
А все иное это отнюдь не анонимное, а так себе варианты.

Тем временем история со слитыми электронными адресами продолжается: https://www.nobsbitcoin.com/trezor-warns-of-emails-impersonating-trezor-sent-from-a-its-third-party-email-provider/ Хакеры получили доступ к базе данных с электронными адресами подписчиков на рассылку, а также к реальному домену Trezor у стороннего провайдера, которого они собственно и используют для рассылки. То есть, пришедшие письма были очень похожи на "официальные" и могли привести к потере средств для многих пользователей. Я, кстати, тоже получил такое письмо, но заметил это только после вышедшей новости. Содержание письма довольно стандартное: "мы что-то там обновляем и если вы не обновите тоже, то потеряете средства" и естественно прилагается фишинговая ссылка, где просят ввести сид-фразу от кошелька.

Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту? Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков. Те аналогично например спаму о верификации Metamask или несанкционированному доступу в Trust Wallet.

Конечно нет - ни почта, ни какие-либо другие данные пользователя никуда не вводятся.
Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

Ушла база тех, кто подписался на рассылку новостей от Трезора.

Официалы от Трезора сообщают, что для рассылки использовался сторонний е-mail сервер и рассылка фишинговых писем шла именно через этот сервер.

То ли сервер был взломан, то ли  сам "взломщик" сидит внутри компании, предоставляющей Трезору услуги по рассылке, не ясно.

Это нужно чтобы таможенник был прошаренный и чтобы у него был предлог попросить вас ввести пин код.

Мне не доводилось видеть, чтобы в аэропорту просили кого то вводить пин код, или хотели посмотреть телефон, или другие личные вещи, хотят возможно если для этого есть предлог, то это будут делать не при всех, а где то в отдельной комнате. В основном просто сумочку в лоток ставишь (а все самое ценное в сумочке), они просканируют посмотрят и даже сумочку открыть не просят. Единственный раз за всю жизнь с Египта возвращались, у меня все проверили, каждый кармашек и в сумочке и в рюкзаке, но в итоге просто посмотрели и все, а так без проблем.

Да это практически нереальная ситуация, ну кто там будет вас проверять так, чтоб и пин код вводить на каких то "флешках".
Все такие штуки могут быть только по наводке, когда за челом изначаллно идет слежка и соответственно указилово его обшмонать с ног до головы.  Ну тогда может быть и до флешек дойдет.
А если у вас в мозгу все ваши эти 12 или 24 слова, то это вообще ну просто никак,  хотя если по наводке, и уже не таможня а другие ребятки,  да как пару десятилетий назад еще и с паяльником, то наверное и это тоже получается без 100% гарантии.
Так что мультиподпись дело наверное хорошее, но только когда вторая подпись тусит где-то наверное в одиноко стоящем ранчо в горах Аргентины   :)

Электронные адреса указываются (обязательное поле) только при покупке аппаратного кошелька или другой продукции через официальный сайт Trezor, но в компании утверждают, что эта информация хранится непродолжительное время. Также при покупке кошелька можно поставить галочку "подписаться на рассылку" или это можно сделать позже через специальную форму. Вот адреса рассылки хранятся, естественно, все время пока вы подписаны, и в данном случае хакер получил доступ и к самим адресам, и к домену, с которого рассылка производилась. Являются ли эти электронные адреса по совместительству адресами владельцев аппаратных кошельков неизвестно, но по логике часть из них точно поставила галочку при покупке.

Если речь уже пошла о других ребятах, то до аэропорта они затягивать не будут, а возьмут там где им будет это удобно без камер наблюдения, и в этом случае пин-код вы назовете очень быстро. А вот сид это не так просто, мало кто ходит с аппратником и помнит на память все 24 слова своих сид-фраз.

Я даже когда обращалась в поддержку леджера, (а поначалу, это было очень часто, поскольку вопрос у меня было много) то я создала отдельный мейл для этого дела. Свой личный мейл лучше не светить нигде, так безопаснее, а потом этот вторичны мейл забывается, поскольку нужды в нем нету и даже если туда что то прилетит, то не будет соблазна это открывать.

Сейчас столкнулся с проблемой: Trezor не хочет работать в паре со Sparrow Wallet на Ubuntu и Linux Mint, но возможно эта неприятность встречается и на других дистрибутивах. Симптомы такие: подключаешь аппаратник через USB, вводишь PIN и дальше ничего кроме зависшего экрана аппаратника. В Sparrow Wallet при попытке сканировать кошелек выдает что-то вроде "Can't parse JSON". Иногда проблема лечится установкой вот этого пакета https://trezor.io/learn/a/udev-rules но может и не повезти. Сами разработчики предлагают в этом случае переходить на винду.

Разработчики трезора предлагают переходить на винду?  :)

Я тоже не могу поженить со Sparrow самопальный Jade на Kubuntu. Причем программа девайс видит, потому что проходит процесс ввода пина (в Jade пин запрашивается при контакте с их сервером через софт кошелька), а дальше при попытке подписи транзакции выдает такое окно:

https://www.talkimg.com/images/2024/01/26/k3J1T.png

С Electrum и родным Green таких проблем нет, поэтому есть подозрение, что это скорее что-то со Sparrow, чем с девайсом или udev.

С родным Trezor Suite App аппаратный кошелек тоже не хочет работать, и собственно именно там я и обнаружил список советов как решить проблему с подключением. Про Windows там написано примерно такое: если вам не помогает предыдущие советы, то попробуйте подключить кошелек к машине с виндой и установленном Trezor Bridge. Вот это не совсем понятно: Trezor Suite App сам устанавливает Trezor Bridge и затем использует его под капотом для установления связи с аппаратным кошельком. Но зачем советовать ставить его отдельно и будет ли эта связка работать со сторонними кошельками?

В каскад кошельков, отказавшихся в последнее время от поддержки CoinJoin попал и Trezor: согласно официальнму заявлению поддержка этой технологии смешивания монет  в Trezor Suite будет прекращена с 1 июня сего 1984  :D, 2024 года, .

Вообще этот шаг со стороны разработчиков Trezo вполне ожидаемый, ввиду того, что их партнёркой по CoinJoin был zkSNACKs, который объявил о том же чуть-чуть раньше (https://bitcointalk.org/index.php?topic=5486791.msg64023105#msg64023105).

Trezor выпустил новый аппаратный криптокошелек Safe 5 (https://forklog.com/news/trezor-vypustil-novyj-apparatnyj-kriptokoshelek-safe-5)
".....
Гаджет оснащен увеличенным цветным сенсорным экраном с тактильной обратной связью, а также новым защищенным элементом, предназначенным для хранения конфиденциальной информации и выполнения транзакций. В устройстве усовершенствовали процесс резервного копирования.

В отличие от Ledger кошельки Trezor имеют открытый исходный код.

«Резервная копия создается с применением разделения секретов Шамира для разбивки главного секретного ключа на несколько уникальных долей. Клиенты смогут сами определить, из скольких оригинальных частей будет состоять расширенная резервная копия и сколько их нужно для восстановления кошелька. Даже если некоторые доли будут утеряны, пользователи все равно смогут получить доступ к своим криптовалютам», — пояснила команда."

Странная у них нумерация моделей: Было три, теперь пятый, а где четвертый? :)
Эта модель, как я понимаю, заменит Trezor T, стоить, видимо, будет тоже соответственно. Не знаю, посмотрим. Из трезоров мне больше всех нравится первый, несмотря на его недостатки - это до сих пор самый открытый и понятный мультивалютный аппаратник.