Понимая масштаб возможных потерь, нельзя не параноить насчет вероятной инфекции в BIOS ноутбука, которая испортит генерацию ключей самым неприятным образом. Хотя возможно, я перегибаю. Параноить в этом деле никогда не повредит, но как генерацию ключей можно испортить, если источником энтропии будете вы с монеткой? В конце концов, можно и на другой офлайн-машине (на той же малинке) свериться С другой стороны, он ещё может для каких-то более решительных дел пригодиться, как никак Core i7, 16GB RAM, SSD240Gb. А малинок у меня некоторый избыток, есть маленький дисплей HD даже. Такой комп, конечно, жалко списывать. А на распберри электрум можно запустить?
|
|
|
Генерировать кошельки собираюсь все-таки на малинке, т.к. в безупречной чистоте ноутбука сомневаюсь. Раньше с аппаратным ГСЧ на малинках было все выключено по умолчанию, интересно как сейчас... Лучший ГСЧ - это тот, в котором вы уверены. Генерируйте сид монеткой и кубиком. А в остальном безупречная чистота ноутбука необязательна - он же навсегда офлайн.
|
|
|
Очень важно понимать, что нужно делать копию после отправки, если сдача отправляется на произвольные адреса. Не сохранив, вы рискуйте потерять "сумму сдачи" Произвольные адреса, это какие? Которые получены из импортированных приватников? Но ведь после импортирования ключа мы уже забэкапили файл кошелька, правда? Или под произвольными адресами вы что-то другое имеете в виду? некоторые приватники или все советую хранить. Если коре не обновлен, а платить нужно, вы можете импортировать приватник в блокчейн инфо или другой сервис и заплатить. А я не вижу причин хранить приватники, лишняя головная боль, по-моему. Из необновленного кора достать приватники тоже можно, если приспичит. Лучше лишнюю копию wallet.dat сделать, по-моему. суммы должны быть разумными на кошельках для этих целей. вот этого не понял...
|
|
|
Остается вариант, что перед этим и была фишинговая версия. Уже не упомнить, обновлял-ли я клиент после установки программы с оригинального сайта. Посмотрел я сейчас на транзакции - не похоже на фишинг Электрума. Тут деньги выводились на отдельные адреса, специально выделенные для одного хака. А там адрес мошенников был внедрен в фейковый Электрум, и на него летели деньги жертв постоянно (и сейчас кщк летят почти ежедневно, я смотрел пару дней назад). Пароль надежный визуально, сгенерирован в Keepass. Переносился всякий раз через буфер обмена. Может, и через буфер утянули... Вот что меня теперь откровенно бесит, так это требование Electrum использовать этот пароль, даже просто посмотреть на баланс (не всем удобно в обозреватель блоков залезать). Во-первых, совсем не обязательно ставить галку "шифровать кошелек", для безопасности средств достаточно установить пароль, а галку снять - тогда для просмотра баланса пароль вводить не надо будет. Во-вторых, можете сделать отдельный кошелек только для просмотра (без приватников). В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
Да фигня. Не помню конкретно в какой версии, но сначала ссылка была кликабельна, потом в версии не то 3.3.3 не то 3.3.4 ее просто сделали не кликабельной, но тело сообщения все равно выпрыгивало при попадании на подставной сервер. И люди брали, копировали ссылку и качали просто с нее Если точнее, то дело было так: 22 декабря 18-го вышла версия 3.3.2, 25-го начался весь этот фишинг, 10 января немного подшаманили версию 3.3.2 без смены номера (убрали всю красоту и кликабельность ссылок, то, о чем вы говорите), 25-го января вышла версия 3.3.3, где уже фишинг стал по-настоящему невозможен. Все сводиться к тому, что держать холодные кошельки нужно только на оффлайновых системах. Иначе небезопасно. Холодные кошельки делаются только на офлайн-машинах. Иначе они не холодные Теперь вопрос, а кто пользуется оффлайновым подписыванием транзакций, насколько это удобно? Electrum с использованием QR-кодов для коммуникаций достаточно удобен, особенно с смартфоном. А вообще для 16 битков можно было бы и аппаратник купить
Да вообще... Когда такие истории читаю, всегда испытываю смешанные чувства - и жалко человека, но еще больше не понимаю, как можно было такое допустить? Всего-то 100 баксов на аппаратник потратить надо было, если далек от компов. Я сейчас прикидываю, какой удобнее вариант сделать: оффлайновый Raspberry Pi 4, или ноутбук старый задействовать. Первую придется всякий раз подключать к дисплею и клавиатуре, чтобы наколдовать транзакцию.
Я бы сделал из старого ноута с линуксом (недавно ставил линукс LXLE 32-бит и Электрум на него - очень неплохая система получилась (1 ГБ ОЗУ у меня всего было), рекомендую посмотреть)
|
|
|
история остается до крайности мутной. Пароли на кошельках стояли? Достаточно сложные?
|
|
|
1. Я подумал, что обновились с фишинговой ссылки на поддельный кошелек, и он стащил приватные ключи после единственной разблокировки В 3.3.4 фишинг уже был пофиксен (даже в 3.3.3). Раз вы сами ее устанавливали, то эту версию можно исключить.
|
|
|
Так в чем дело, по-вашему? А то ничего не понял... Проверил файл кошелька: https://www.virustotal.com/gui/file/69198154e19a4c65a35c0849889d95fa22b7875262ba0c0560cd48bd7507d91d/detectionПодозрение вызвало, что все исполняемые файлы в папке Electrum оказались с датой 11.11.2000, кроме uninstall.exe. Предварительно подложное обновление сделали в апреле. Вот что подозрительно, что в 20-ых числах июня были украдены биткойны также из кошелька Bitcoin Core у заочного моего знакомого. Самое веселое в том, что сцука Касперский до сих пор экзешник кошелька ни в чем не подозревает. Платите за лицензию и будет вам "счастье". Файл этот в порядке. Не поленился, скачал эту версию, проверил подпись Томаса, установил - у меня точно такой же файл, хеш совпадает, вирустотал так же показывает 19 подозрений (на это внимание можно не обращать с Electrum - обычное дело). Даты файлов тоже "11.11.00 14:11". Если хотите, можете выложить куда-нибудь всю папку "C:\Program Files (x86)\Electrum" - я сравню со своими. Или я свою выложу и вы сравнивайте. Как хотите. Так мы исключим (или наоборот) атаку через Электрум.
|
|
|
Услугу оказали достаточно быстро, при наличии 1 или 2 подтвержденных транзакций. Я тоже удивился, что не подождали большего количества подтверждений.
2 подтверждений достаточно практически всегда. Я, по крайней мере, не помню, чтобы когда-то было два орфан-блока. Если ждали два подтверждения, то RBF тут роли не сыграл. Но мог пригодиться, если б вдруг резко забился мемпул и транзакция надолго зависла.
|
|
|
Я бы правда отметил, что помимо собственно хранения информации и жаро- коррозийной- стойкости неплохо бы было иметь возможность избежать "мягкого хакинга", когда эту штучку просто украдут и вы считай потеряете все данные. Поэтому всякие устройства с выгравированными на них CRYPTO STEEL не очень подходит. А вот те интересные капсулы - очень даже. А какая разница между ними в контексте "мягкого хакинга"?
Я все больше стал думать, что иметь даже одно такое устройство достаточно рискованно. Найти его в доме/квартире с металлоискателем не составит труда, а закапывать куда-то в деревне/на даче тоже не вариант, как говорят "и у стен есть глаза". Да и не факт, что мимо не пройдет черный копатель.
Если закапывать, то пожароустойчивость не нужна, поэтому можно использовать кусок толстого витринного стекла, надписи гравировать дремелем.
|
|
|
Отправляю в Electrum транзакцию в btc и выдает вопрос "Транзакция заменяемая?" "Да" или "Нет".
Что это значит ?!!
В десктопном Электруме такого нет, насколько я знаю. У вас электрум для андроида, так? Я думаю, что, несмотря на включенный RBF в настройках, программа на всякий случай переспрашивает, действительно ли вы хотите отправить транзакцию с RBF-флагом? В подавляющем большинстве случаев стоит отвечать "Да". Просто бывают сервисы, которые при оплате товаров/услуг битком не ждут подтверждения транзакции, но за это требуют, чтобы транзакция была без RBF (без RBF неподтвержденную транзакцию практически невозможно даблспенднуть, а с RBF - запросто).
|
|
|
а то что не видны адреса в одном аккаунте это засада конечно Не такая уж засада, на самом деле. В подавляющем большинстве кошельков ситуация не лучше. Если, например, вас спросить, зачем вам знать больше одного своего неиспользованного адреса, что бы вы ответили? А использованные видны в истории, если вдруг понадобятся. Другое дело, что нет контроля над выходами, но этого тоже почти нигде нет, а среди мобильных кошельков, думаю, вообще нет.
|
|
|
Ну вобще то предлагает, выбрать адрес с которого отправить Конечно, нужно было сразу указать, что вы говорите о мобильной версии LL. Там немного по-другому, но все равно он не позволяет выбирать адрес для отправки. Он предлагает выбрать не адрес, а аккаунт - это разные вещи, на каждом аккаунте миллиарды адресов. Я подозреваю, что вы при каждом приеме средств заводили новый аккаунт. Аккаунты для того и существуют, чтобы никак не смешивались средства. Вам следовало завести один аккаунт и на него всегда принимать (там тоже каждый раз дается новый адрес, но в пределах одного аккаунта). Если все так и есть, то ответом на ваш вопрос будет - нет, невозможно в LL с разных аккаунтов одной транзакцией тратить средства.
|
|
|
По-моему, гораздо проще того же добиться с электрумом. как ? тоже пдфка есть ? Как холодный кошелек сделать на Электруме? Ну вот, например: https://www.cryptoprofi.info/?p=3644Там, правда, транзакция передаается через флешку, лучше через QR-коды, функционал для этого в Электруме есть.
|
|
|
4) Одна из копий (в зашифрованном виде) должна обязательно находится при тебе, куда бы ты не пошел
А зачем? И не может это заменить надежно зашифрованная копия в сети (можно даже в блокчейн запихать)?
|
|
|
Тут где-то xenon131 хвалил это, в теме по сидам, кажется. Насколько я понял, это описание, как сделать систему холодного хранения на двух компьютерах и скрипт для этого. По-моему, гораздо проще того же добиться с электрумом. Почитать их пдф-ку, конечно, не помешает, там описаны разные угрозы для безопасности, как защищаться итп. https://glacierprotocol.org/assets/glacier.pdf
|
|
|
Нет, не выбрать выходы (например их 10 и на них всех имеется определенное кол-во BTC и мне без разницы с каких из них будет отправка) , а перевести большую сумму чем имеется на одном адресе, ну тоесть в LL когда заходишь он предлагает выбрать конкретный адресс с какого надо отправить BTC, но на этом адресе меньше BTC чем мне надо отправить. Ничего он такого не предлагает, он предлагает ввести адрес "куда", а не "откуда". Пример: адрес 1 - 0.0003 btc адрес 2 - 0.001 btc адрес 3 - 0.001 btc А мне надо сразу одной транзакцией отправить 0.0023 btc, а не с каждого по очереди отправлять. Можно ли средствами LL это осуществить? Просто пишете сколько отправить, указываете комиссию и всё - LL сам разберется, с каких адресов эту сумму собирать.
|
|
|
Действительно интересный метод. Кто подскажет, в данном случае используется буфер обмена самого браузера?
Я думаю, что буфер обмена в этом не принимает участия. Вы ведь ничего не копируете (Ctrl + C) и не вырезаете (Ctrl + X), когда делаете перетаскивание. Да, но там другой буфер обмена работает (OLE clipboard). В общем, нет надежнее способа, чем визуальный контроль ).
|
|
|
Не совсем понял, если он берет выход с большей суммой, чем необходима, то как в этом случае не образуется сдачи? Сдача образуется, видимо, я не вполне понятно выразился. Я хотел сказать, что при попытке подогнать цифру [сумма платежа + комиссия] равную точному значению сатоши на каком-то выходе, LL этот выход для траты почему-то не выбрал, а выбрал другой (больший) и образовал сдачу (и увеличил комиссию соответственно). И также непонятно, как трата с нескольких выходов способствует повышению приватности, разве должно быть не наоборот? Да, вы правы, если выходы на разных адресах, то наоборот. В моем эксперименте выходы были на одном адресе, нужно было это указать. Если работа такого алгоритма непредсказуема, то не вижу смысла пользоваться такими кошельками, потому что в этом случае просматривается искусственное ограничение контроля и упрощение в угоду удобства, при этом страдает конфиденциальность.
Не знаю, страдает ли конфиденциальность, не уверен. Но согласен, что возможность контроля выходов должна быть. Поэтому для битков я пользуюсь исключительно Electrum с леджером. Поставил на леджер приложение "Bitcoin Testnet" и провел две транзакции из Ledger Live, контролировал в электруме. Исходное положение, два приемных адреса и один сдачи (mv9z9...): Решил потратить 0.00008748 с адреса сдачи, отправил транзакцию 0.00008556 (+предполагаемая комиссия 192 сатоши (пробовал, кстати, от 190 до 194) ) - не получилось. Вот результат: Обратите внимание, он взял выход не 80800 сат, а 100000. Подозреваю, потому что второй старее. Для чистоты эксперимента решил попробовать потратить выход не с адреса сдачи, а с приемного (0.003). Здесь все получилось, потратился нужный выход без сдачи. Электрум на автомате в этом случае собрал бы все выходы этого адреса на вход транзакции, то есть там такую трату без сдачи можно было бы сделать только используя вкладку "Монеты".
А как это сделать? Ведь можно только зайти в акаунты и выбрать с какого перевести, либо зайти в трансфер ---> сенд и он тоже предлагает выбрать аккаунт. Уточните, что сделать? Вы хотите выбрать, с каких адресов тратить? LL не дает такой возможности, пользуйтесь электрумом.
|
|
|
Если я хочу потратить конкретный выход и при этом не использовать другой кошелек, то как это сделать? Если указать точную сумму, то потратится конкретный выход с этой суммой, или выбор будет полностью рандомным? Как это реализовано в аппаратниках? Имеется в виду использование официального приложения. Кроме кора, армори и электрума я не знаю кошельков, в которых возможно выбирать выходы для траты. Везде это реализовано автоматически по определенному алгоритму, и этот алгоритм может быть разным. Как реализовано в Ledger Live или Трезоре я точно сказать не могу. Но сейчас поэкспериментировал в LL и обнаружил, что при возможности выбрать точно определенный выход без образования сдачи, LL либо берет выход с большей суммой, либо со всех выходов какого-то адреса сразу (точно сказать не могу, потому что транзакцию не завершил - посмотреть негде). То есть приоритет на повышение приватности.
|
|
|
Подскажите, если у меня в леджере несколько адресов с BTC могу ли я отправить BTC c них в одной транзакции? Например у меня на одном адресе 0,1 и на другом 0,1 , а мне надо отправить сразу 0.2. Или адресов штук 10 и мне надо сразу все перевести на один адрес.
Конечно можете. Просто вводите необходимую сумму, и Ledger Live автоматически соберет ее с одного или, при необходимости, с нескольких адресов. Если хотите иметь возможность вручную выбирать адреса для формирования транзакций - используйте Electrum. Если адреса находятся на разных аккаунтах леджера, тогда в одной транзакции их собрать не получится (для этого нужны приватники, а они в леджере для безопасности спрятаны от пользователя).
|
|
|
|