Нет, неправильно понимаете. Вы сможете восстановить доступ к монетам в других аппаратных или программных кошельках, понимающих BIP39 сид (мнемоническую фразу). Также можете получить ключи в BIP39-конвертере, а затем импортировать их в кошельки, поддерживающие соответствующие монеты. Это радует, но если мнемоническая фраза создается при начале использования, значит ли это, что Ledger создает приватные ключи ко всем криптовалютам поддерживающимися им на момент создания фразы? То есть если я потом буду добавлять другие монеты в Ledger фраза ведь не меняется, и я все равно смогу их восстановить с помощью других кошельков понимающих BIP39? Я не вполне понял вопрос. Из мнемонической фразы получается сид (огромное 256-битное число), из которого всегда можно вычислить любые ключи (даже тех монет, которые еще не придумали )).
|
|
|
- Холодное хранение битков: Armory, бумага+coinbin Electrum, на мой взгляд, удобнее для холодного кошелька. В той теме, кстати, ничего не сказано про опасность автозапуска usb-устройств. Я там писал об этом, но автор удалил это сообщение Новинка от Ledger - Почему вы решили, что это от Ledger? И какое отношение этот очередной шиткоин имеет к данной теме?
|
|
|
Я правильно понимаю, что если мой ledger сломался или потерялся я смогу восстановить доступ к крипте только с другим кошельком ledger? А если я буду находится в месте где достать его будет невозможно, или они (Ledger) вообще закроются и пропадут из продажи, я не смогу получить доступ к своим монетам Нет, неправильно понимаете. Вы сможете восстановить доступ к монетам в других аппаратных или программных кошельках, понимающих BIP39 сид (мнемоническую фразу). Также можете получить ключи в BIP39-конвертере, а затем импортировать их в кошельки, поддерживающие соответствующие монеты. есть мануал-видосы пока не смотрел, но, судя по названиям роликов, много полезного и уникального (я не встречал, по крайней мере) в русскоязычном ютьюбе материала. Это ваш канал?
|
|
|
Можно и так, только буквы конские получаются, и погибнуть можно от опасного напряжения. Простыню вашу лень комментировать, там винегрет из фактов, домыслов и неправды. Лучше напишите своими словами, что вы хотели сказать?
|
|
|
That isn't by default though? if you use their chrome app, (which most people do i'm pretty sure) you obviously won't use electrum servers? and instead use their centralized servers?
What do you mean by 'by default'? By default, the user uses software from Ledger (Ledger Live) - in this case the Ledger's servers are used. But if user connects HW wallet (Ledger, Trezor, Keepkey) to Electrum then transactions go through Electrum servers.
|
|
|
So what you're saying is that Ledger Nano is paired with electrum/using the same servers? . Do you have any sources on that? i find that hard to believe.
|
|
|
Привет. А как они это окно со ссылкой показывали?
Привет. Электрум-сервер имеет функционал показывать пользователю сообщение об ошибке, вот хакер этим и воспользовался. А сервер может каждый сделать (или десятки серверов, как в данном случае).
|
|
|
I believe (someone should correct me if i'm wrong, since i am far from an expert on hardware wallets.) all transactions made on a Ledger Nano S are done through their own servers, which are owned by no one but the corporation behind Ledger Nano S, so chances that this will happen on their devices/chrome app seems rather slim.
(They'd have to be the ones sabotaging their own servers, which wouldn't make any sense..?)
No, transactions made on a hardware wallet paired with Electrum are done through Electrum servers.
|
|
|
РБК-Крипто продолжают кошмарить пользователей электрума Тут может сработать и обратный эффект, пользователи, поторопившись и не разобравшись, кинутся переводить битки в другие места и переходить по ссылке для обновления. По хакерской ссылке? Она уже давно заблокирована.
|
|
|
ну вот о какой безопасности вообще можно говорить? По-мойму безопасность это только условное название. Еще ничего не придумали такого,что нельзя было взломать, но по сравнению с другими кошельками все-таки аппаратные кошельки - безопаснее. Капец блин. Вообще не радостная новость, я всегда считал что леджер и трезор безопасные, а оказывается нет Да ничего такого страшного там не произошло. Вывод такой - покупайте аппаратник только у производителя, не допускайте, чтобы кто-нибудь мог незаметно позаимствовать/подменить девайс, в трезоре используйте 25-е слово.
|
|
|
Можете более подробно описать пункт 2. проверять файлы на аутентичность ? Как можно было проверить электрум в данном случае? Думаю, информация об этом многим будет здесь полезна, раз столько жертв от этого случая.
Вчера в этой теме я описал это вкратце. Если конкретно что-то не понятно, постараюсь написать подробнее.
|
|
|
На подобные "уязвимости" satoshilabs уже давно ответили репутацией и 100% отсутствием случаев кражи средств с их устройства. То же можно и про леджер сказать. А из этого видео следует, что леджер понадежнее все-таки будет. По крайней мере 25-е слово там необязательно ставить. Использую основной ПК на винде, которым пользуются все члены семьи, но в их голову закачаны четкие инструкции для безопасного серфинга и действия при неизвестной активности. Мелкие переводы до 2-3 BTC с кошельков скамовых монет, выводы с vps нод, всё идет через этот ПК. Wi-fi. Cессии на некоторых биржах открыты постоянно, через буфер обмена гуляют приватники к кошелькам и к MEW (metamask). Там же и Agama крутится на прием Ну, это дело хозяйское, конечно. Если вы принимаете риски, то почему бы нет? Меня потеря любой суммы не устраивает, поэтому мои кошельки всегда были на отдельном загрузочном разделе винта с линуксом, а последний год на леджере. Страшнее не что-то потерять от кражи (об этом позаботился), а оставить семью без доступа к средствам в случае смерти. Поэтому в течении долгого времени вдалбливаю в головы важность знания информации о действиях с криптой. Как использовать сид, где парольная база и пароль, где хранятся 2fa ключи, что в случае разбоя Вам всё равно не чего сказать а даже если что-то и скажете и отдадите сиды с паролями, то доступ к средствам не получить. В случае забывчивости хотя бы одного пункта идёте пиздуете на работу. Про озабоченность с наследством поддерживаю - важный вопрос, мало кто думает об этом. Про разбой - не понял. Я пока не вижу надежного способа этому противостоять. Надежнее всего скрывать от всех сам факт наличия крипты, а тем более не рассказывать, что 2-3 битка - это мелкая сумма, недостойная трезора
|
|
|
Меньше читайте всякой херни на желтушных сайтах. Заканчивайте верить в сказки. Если бы люди проебавшие свои средства от 1BTC не говоря уже про 200 воспользовались хранением средств на аппаратном кошельке, вместо электрумов, то не пришлось бы дополнительно читать фантазии про "объясню популярно как думает домохозяйка случайно залетевшая в крипту" и большую часть комментариев на реддите о краже 200BTC, кражу которых раскрыл местный участковый Пэтрэнко Бла.Бла.
В конце концов, хотя бы один раз в жизни, если не понимаете некоторых деталей, отвлекитесь от убогой экономии и поиска "бесплатных заменителей", купите нормальный и качественный продукт (не обязательно самый дорогой и понтовый), это как минимум в дальнейшем сохранит ваши средства, нервы и время. Это касает многих сфер в нашей жизни.
В целом согласен с вами. Но только в краже этих 243 битков не столько электрум виноват (хотя и могли предвидеть такой вариант использования серверов для фишинга), сколько неосторожные пользователи. Думаете, если бы на десктоп-софте трезора или леджера выскочило "введите сюда ваши 24 слова и passphrase" никто бы на эту удочку не попался?
|
|
|
Если кому-нибудь интересно, то вот полное видео про взлом аппаратных кошельков... Я в этом нихера не понимаю, но мне кажется что не все так просто и спиздить деньги не с аппаратного кошеля в десятки раз проще! Как пример тому - недавнее "обновление" электрум... Или фишинговые сайты... Или взлом впн... Или.... Половину видео посмотрел, пока вижу, что никакого особо революционного способа взломать аппаратники не придумали - везде нужно физическое вмешательство. Впрочем, надо досмотреть до конца...
|
|
|
Ну вот, грош цена аппаратным кошелькам теперь https://forklog.com/issledovateli-proveli-seriyu-uspeshnyh-atak-na-apparatnye-koshelki-trezor-i-ledger/ Электрум может работать в холодном режиме, только так и надо его использовать! Если бы пользователь знал это, то не попал бы
Не факт. факт, холодный режим никогда не предоставляет приватный ключ не только мошенникам, но и сетевой машине Если на обеих машинах будет стоять специальный софт, мимикрирующий под electrum 3.4.1, то предоставит всё, что угодно. Холодная машина не подразумевает что на нее что-то записывается или копируется, даже подпись рекомендуется снимать камерой, а не флешкой. А для абсолютной безопасности холодная машина должна быть самая старая и дешевая, чтобы не было на ней передатчика секретного типа для служб безопасности Вы не поняли мою мысль, видимо. Объясню популярно. Вы хотите закинуть немного битков на биржу, открыли электрум на онлайн-машине, а там: "Ахтунг! Срочно обновляйтесь, вот ссылка на безопасную новую версию!", ну, вы быстрее скачивать, устанавливать, и тут думаете: "Блин, у меня ж на офлайн-машине тоже старая небезопасная версия стоит!", ну и ставите эту свежескачанную версию и туда. Дальше довольный готовите на онлайн-машине транзакцию, фотографируете ее камерой офлайн-машины, подписываете, передаете подписанную обратно, транслируете в сеть, проверяете txid в эксплорере и оппа! - все ваши битки ушли хз куда. За ссылку про аппаратники спасибо - буду разбираться.
|
|
|
А проблема как будет устраняться? Эту "кучу вредоносных серверов" можно как-нибудь нейтрализовать?)
Что-то придумают, скорее всего заблокируют серверам возможность выдавать такие сообщения. Это вроде как даже не дыра электрума, это вроде такая фича , которой хитроумно воспользовался хакер для фишинга. Это фишинг, и рекомендации не попасться поэтому все те же: 1. не скачивать ничего по предложенным ссылкам, а только с оф. сайта; 2. проверять файлы на аутентичность; 3. не спешить устанавливать новые версии, а если очень хочется, либо апдейт критичный, убедиться, что выпуск обновления действительно состоялся (по сообщениям в оф.каналах твиттера, форума и т.п.). Не понимаю только тех, кто потерял огромные суммы 83, 27, да даже 4 битка... Почему они не потратили 100 баксов на аппаратник?
|
|
|
Лучше хранить все на кошельке биткоин кор. Леджер это больше кошелек для быстрого доступа чтобы постоянно блокчейн не подгружать себе. Но это все же посредник. Если сервисы леджера не будут работать, то и управлять своими активами вы не сможете
Вы заблуждаетесь. 1. Хранить на коре небезопасно, на зараженном компьютере средства могут быть украдены. 2. Да, леджер - SPV-кошелек, он использует внешние серверы, ну и что? Так многие кошельки работают. 3. Если сервисы леджера перестанут работать, для основных монет есть альтернативные кошельки, а для остальных можно достать ключи и импортировать в родные или другие кошельки. Также можно импортировать сид-фразу в трезор. Для биткоинкора нужно использовать отдельный компьютер, который только для этих целей и будет предназначен. И вы точно будете уверены в том, что ваши битки - ваши. Леджер это все же горячий кошелек для быстрого доступа и хранения незначительных для общего депозита сумм Нет, заблуждаетесь опять ). 1. Чтобы точно быть уверенным, что битки ваши, нужно точно быть уверенным, что приватные ключи хранятся у вас и только у вас. Поэтому всякие веб-кошельки, в том числе и популярный блокчейн.инфо - зло. Отдельный комп здесь ни при чем, хотя глупо спорить, что отдельный комп, да с линуксом, гораздо лучше, чем "семейный" комп с виндой. 2. Холодным кошельком называется кошелек, из которого приватные ключи никогда не попадают в память онлайн-компьютера. В биткоин кор ключ попадает в оперативку как минимум при подписи транзакции, в этот момент он может быть похищен трояном и передан по сети, поэтому это "горячий" кошелек. А леджер как раз "холодный" (ну или "псевдохолодный" - провода к онлайн-машине тянутся всё-таки) ), так как приватные ключи никогда не покидают устройство.
|
|
|
Электрум может работать в холодном режиме, только так и надо его использовать! Если бы пользователь знал это, то не попал бы
Не факт. факт, холодный режим никогда не предоставляет приватный ключ не только мошенникам, но и сетевой машине Если на обеих машинах будет стоять специальный софт, мимикрирующий под electrum 3.4.1, то предоставит всё, что угодно.
|
|
|
Хитрый упырь, ёпт. Спасибо за инфу, обычно я проверяю обновы сам и только с оф сайтов что-то скачиваю, но в спешке можно на легке прилипнуть. А електрум казался мне относительно безопасным. Нужно всегда проверять PGP-подпись скачиваемого инсталлятора кошелька. Тогда даже на такой изящный фишинг не попадешься. Электрум может работать в холодном режиме, только так и надо его использовать! Если бы пользователь знал это, то не попал бы
Не факт.
|
|
|
|