Если запустить генерацию на таком же компе и поставить на нем время как при Сатоши, то сгенерируется такая же пара Если это так, докажите это - сгенерируйте на своем компе одинаковую энтропию дважды (отмотав время). Объясняю, вы спрашиваете возможно ли вычислить публичный адрес по приватному ключу. Где он об этом спрашивал? Он хочет вычислить приватный ключ то ли из публичного ключа, то ли из адреса (что, кстати, сейчас очень разные по сложности задачи, но не для адресов сатоши). |
|
|
|
Подскажите, куда пропала кнопка установления комиссии при отправке?
Несколько сообщений ранее я отвечал на этот вопрос. |
|
|
|
|
За два года этих случаев насчитывается уже сотни (если не тысячи), и появляются новые практически ежедневно. Все они одинаковые, разница лишь в суммах. И остановить это невозможно - пока люди будут использовать старые версии, будут и новые жертвы.
|
|
|
|
Все-таки старый интерфейс был лучше. Там все было сразу на вкладке и бегунок и окошко комиссии и кнопка Preview.. Согласен, мне тоже это не понравилось. Но ладно, привыкнем ). Электрум опять меняет формат бумажника что старая версия уже не может открыть его после новой:
This version of Electrum is too old to open this wallet. Да, появились новые поля в json-файле кошелька. Кроме того, формат неподписанных транзакций поменялся (из-за PSBT), поэтому холодные и мультиподписные кошельки старых версий не смогут его понять. |
|
|
|
Заметил что там нет окошка где можно указать свою комиссию и бегунка для сат/бит тоже нет. То есть теперь комиссии ставит автоматом? Ничего не изменилось, кроме интерфейса. Сейчас есть два варианта: 1. После нажатия кнопки "оплатить" появится окошко, где можно менять комиссию бегунком, либо нажать на кнопку "Дополнительно" для просмотра и изменения комиссии. 2. Поставить галочку в настройках на "Advanced preview", тогда после нажатия "оплатить" сразу появится окно предпросмотра, где можно менять комиссию. |
|
|
|
Ошибся, не dll требует, а выдает ошибку такого вида:  Это не электрума проблема. Скорее всего это связано с видеокартой. Погуглите "error 1114", в ютьюбе тоже есть кое-что. |
|
|
|
У кого-нибудь запустилась последняя версия 4.0.2 портативная? Требует какой-то dll. Подпись проверил. У меня хеш файла такой же. Запускается без проблем. Какая система у вас и что за dll требует? Насколько я помню, всегда в последнее время были "красненькие", это нормально в данном случае, не обращайте внимание. |
|
|
|
Но вроде бы наоборот, все стараются использовать усиленные ключи. Ну что значит "стараются"? ) Усиленные ключи используют на уровне аккаунта и выше. Ниже почти все используют неусиленные ключи. У них свои преимущества. Здесь вот в чем еще загвоздка то: слить один приватны ключ, как два пальца. Ввел на говносайте, или же в какой нибудь кошелек скама типа биткоин даймонд и все. Мало кто из людей вообще разные аккаунты в своем HD кошельке использует, поэтому потеря даже левого ключа, и компроментация xpub-a может очень грустно закончиться. Поэтому в аппаратниках приватные ключи делаются недоступными из интерфейса, чтобы неграмотные юзеры не компрометировали их. |
|
|
|
Как я помню, у каждой ветки размер возможных приватников - 2^32. И найти можно только первые, 2^31. А вот диапазон вторых, 2^31+1 (вторая часть) даже зная xpub и приватник найти не получится. Помню это товарищ Ксенон131 объяснял да и я потом в документации по Бипам читал. Очень может быть, так как приватники в разных половинах диапазона ключей по разным формулам вычисляются. По-моему, только кор использует hardened-ключи для адресов, в остальных ключи простые, с индексом до 2 31. |
|
|
|
Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники). Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви. Леджер лайв не первый раз уже подводит. Да в общем-то ничего такого уж страшного, приватники-то не утекают. Тут вопрос только в приватности. Большинство, я думаю, это не волнует ). Без него кстати обновиться не выйдет? Или с гитхаба все ок идет? Насколько я знаю, прошивка только с сервера, на гитхабе ее нет и быть не должно, раз она закрыта. Но xpub-ы в LL из леджера получаются только при создании аккаунтов, при прошивке, смене и обновлении приложений они не извлекаются. |
|
|
|
electrumgroup.help
сайт уже в списке фишинговых и вообще удален. Наверное игор72 подсуетился? Молодец конечно, но вот спрашивается: никто до сегодняшнего дня даже не додумался стукнуть в гугл на этот сайт?
Не, это не я ). Не вижу особого смысла, названия сайтов меняются регулярно, не угонишься за ними. |
|
|
|
Корень зла софтовых кошельков получается в том, что все входы шифруются единственным паролем. Ввел пароль в фейковый клиент - попадаешь на весь баланс. Корень зла софтовых "горячих" кошельков в том, что они "горячие", софтовые "холодные" кошельки по безопасности лучше аппаратных (при правильном использовании). Было бы неплохо сделать возможность нескольких паролей для разблокировки разных балансов. Например для отправки всего баланса - ввести один пароль, для отправки половины - другой, для отправки 1/10 - третий. Можно, конечно, но лучше решить вопрос радикально - мелочь держать в мобильных и горячих кошельках, более крупные суммы - в мультиподписных, аппаратных и холодных.
Давно хотел посмотреть, как там этот фишинг происходит, но все руки не доходили. Сейчас запустил на виртуалке электрум 3.3.2, создал там кошелек и закинул пару копеек. Сразу подключился к серверу мошенника ).  Попробовал отправить транзакцию, получил такое:  Ссылка некликабельна, скопировал, открыл в браузере, перешел на страницу загрузки:  Скачал фейковую версию, запустил, создал ту же транзакцию:  И что мы видим? В окне предпросмотра адрес назначения не соответствует тому, на который я отправлял. Я думал, что там похитрее устроено, типа покажет все как надо, а отправит не туда. Но тут никто этим не заморачивался. Какой из этого напрашивается вывод? Жертвы мало того, что скачали с левого сайта программу и не проверили ее подпись, они даже не удосужились нажать кнопку "Предпросмотр", чтобы проверить параметры транзакции. И этих жертв было довольно много, так что теперь я не удивился бы, если б среди них оказались и обладатели аппаратников, автоматом жмущих кнопки, не глядя на дисплей ). |
|
|
|
Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Сейчас проверил - да, видны xpub-ы, у меня в линуксе это файл ~/.config/Ledger Live/sqlite/database_v3_ledgerlive, в винде, наверное, это будет %appdata%/Ledger Live/sqlite/database_v3_ledgerlive. |
|
|
|
99.9% что пользователь отправлял именно 1400. Потому что все эти бабки лежали на одном входе явно не для того, чтобы доставать от туда но 0.01 раз в год. Ой вру, там 12 входов. Тогда либо чел посылал больше 110 бтц, а фейк-электрум забрал все что было на входах, либо входы были не шифрованы, но тогда непонятно зачем вообще этот цирк? Можно было подсунуть юзеру любой исполняемый файл который умеет читать нешифрованные кошельки и не маскировать его под электрум и не ждать пользовательских действий, а забрать все бабки сразу.
Логики в вашем выводе про 110 бтц не вижу, чел, кстати, пытался отправить 1 бтц на самом деле https://github.com/spesmilo/electrum/issues/5072#issuecomment-683374289. Что касается шифрованного-нешифрованного, то это не имеет значения в данном случае, пользователь добровольно вводит пароль, думая, что отправляет на нужный адрес нужную сумму. |
|
|
|
Ну вот пользователь отправляет 1400 бтц на биржевой адрес 1ABCчего-то-там-одноDEF, а на аппаратнике ему показывается, что он отправляет 1400 бтц на мой адрес 1ABCлошара-блятьDEF. Думаете человек который скачал хуй знает какой электрум с левого сайта, будет дотошно проверять каждую букву в адресе отправителя на своем девайсе?
Во-первых, я смотрел исходники этой фишинг-версии, там жестко прописан адрес получателя для всех жертв. Во-вторых, это довольно сложно устроить - для вашего примера нужно сгенерировать базу в 38 миллиардов адресов и включить ее в обновление, то есть это обновление будет весить на порядки больше обычного, и это вы еще не учли адреса на тройку и на bc1. Даже если подгружать адрес с сервера, то нужно еще нагенерировать столько адресов, это, я думаю, совсем не быстро происходит. В третьих, 99.9%, что жертва отправляла не 1400 btc, а, например, 0.1, это фейк-электрум меняет кроме адреса еще и сумму на макс., так что если на аппаратнике прощелкать адрес, то сумма явно будет не та. |
|
|
|
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую: when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность". Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ). с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет. |
|
|
|
Чтобы эта фишинг-атака прошла успешно против пользователя аппаратника, подключенного к электруму, этот пользователь должен не глядя на дисплей девайса подписать транзакцию.
А что подозрительного пользователь увидит на дисплее девайса? При отправке транзакции на дисплее леджера высвечиваются адрес(а) получателя, отправляемая сумма и комиссия, эту информацию нужно пролистать кнопкой и затем подтвердить одновременным нажатием обеих кнопок девайса (на трезоре и прочих примерно так же). То есть, отвечая на ваш вопрос, пользователь увидит всё подозрительное - и адрес, и сумму. |
|
|
|
Help please. I have 3.1.3 version of Electrum. It won't allow me to send Bitcoin unless I upgrade to version 4.something.
Upgrade to 3.3.8 version https://download.electrum.org/3.3.8/electrum-3.3.8.dmg. It will work on your system (El Capitan) and allow you to send coins. |
|
|
|
Как использование электрума кошелька противоречит наличию аппаратного кошелька? Или аппаратные кошельки научились отправлять транзакции в онлайн без софтовых кошельков? Чтобы эта фишинг-атака прошла успешно против пользователя аппаратника, подключенного к электруму, этот пользователь должен не глядя на дисплей девайса подписать транзакцию. Это маловероятно, так как главным образом именно ради возможности этого контроля аппаратник и приобретается. |
|
|
|
После такого камня в огород CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW. С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа. |
|
|
|
|
Show Posts
