I believe (someone should correct me if i'm wrong, since i am far from an expert on hardware wallets.) all transactions made on a Ledger Nano S are done through their own servers, which are owned by no one but the corporation behind Ledger Nano S, so chances that this will happen on their devices/chrome app seems rather slim.
(They'd have to be the ones sabotaging their own servers, which wouldn't make any sense..?)
No, transactions made on a hardware wallet paired with Electrum are done through Electrum servers. |
|
|
|
РБК-Крипто продолжают кошмарить пользователей электрума Тут может сработать и обратный эффект, пользователи, поторопившись и не разобравшись, кинутся переводить битки в другие места и переходить по ссылке для обновления. По хакерской ссылке? Она уже давно заблокирована. |
|
|
|
ну вот о какой безопасности вообще можно говорить? По-мойму безопасность это только условное название. Еще ничего не придумали такого,что нельзя было взломать, но по сравнению с другими кошельками все-таки аппаратные кошельки - безопаснее. Капец блин. Вообще не радостная новость, я всегда считал что леджер и трезор безопасные, а оказывается нет Да ничего такого страшного там не произошло. Вывод такой - покупайте аппаратник только у производителя, не допускайте, чтобы кто-нибудь мог незаметно позаимствовать/подменить девайс, в трезоре используйте 25-е слово. |
|
|
|
Можете более подробно описать пункт 2. проверять файлы на аутентичность ? Как можно было проверить электрум в данном случае? Думаю, информация об этом многим будет здесь полезна, раз столько жертв от этого случая.
Вчера в этой теме я описал это вкратце. Если конкретно что-то не понятно, постараюсь написать подробнее. |
|
|
|
На подобные "уязвимости" satoshilabs уже давно ответили репутацией и 100% отсутствием случаев кражи средств с их устройства. То же можно и про леджер сказать. А из этого видео следует, что леджер понадежнее все-таки будет. По крайней мере 25-е слово там необязательно ставить. Использую основной ПК на винде, которым пользуются все члены семьи, но в их голову закачаны четкие инструкции для безопасного серфинга и действия при неизвестной активности. Мелкие переводы до 2-3 BTC с кошельков скамовых монет, выводы с vps нод, всё идет через этот ПК. Wi-fi. Cессии на некоторых биржах открыты постоянно, через буфер обмена гуляют приватники к кошелькам и к MEW (metamask). Там же и Agama крутится на прием  Ну, это дело хозяйское, конечно. Если вы принимаете риски, то почему бы нет? Меня потеря любой суммы не устраивает, поэтому мои кошельки всегда были на отдельном загрузочном разделе винта с линуксом, а последний год на леджере. Страшнее не что-то потерять от кражи (об этом позаботился), а оставить семью без доступа к средствам в случае смерти. Поэтому в течении долгого времени вдалбливаю в головы важность знания информации о действиях с криптой. Как использовать сид, где парольная база и пароль, где хранятся 2fa ключи, что в случае разбоя Вам всё равно не чего сказать  а даже если что-то и скажете и отдадите сиды с паролями, то доступ к средствам не получить. В случае забывчивости хотя бы одного пункта идёте пиздуете на работу. Про озабоченность с наследством поддерживаю - важный вопрос, мало кто думает об этом. Про разбой - не понял. Я пока не вижу надежного способа этому противостоять. Надежнее всего скрывать от всех сам факт наличия крипты, а тем более не рассказывать, что 2-3 битка - это мелкая сумма, недостойная трезора |
|
|
|
Меньше читайте всякой херни на желтушных сайтах. Заканчивайте верить в сказки. Если бы люди проебавшие свои средства от 1BTC не говоря уже про 200 воспользовались хранением средств на аппаратном кошельке, вместо электрумов, то не пришлось бы дополнительно читать фантазии про "объясню популярно как думает домохозяйка случайно залетевшая в крипту" и большую часть комментариев на реддите о краже 200BTC, кражу которых раскрыл местный участковый Пэтрэнко Бла.Бла.
В конце концов, хотя бы один раз в жизни, если не понимаете некоторых деталей, отвлекитесь от убогой экономии и поиска "бесплатных заменителей", купите нормальный и качественный продукт (не обязательно самый дорогой и понтовый), это как минимум в дальнейшем сохранит ваши средства, нервы и время. Это касает многих сфер в нашей жизни.
В целом согласен с вами. Но только в краже этих 243 битков не столько электрум виноват (хотя и могли предвидеть такой вариант использования серверов для фишинга), сколько неосторожные пользователи. Думаете, если бы на десктоп-софте трезора или леджера выскочило "введите сюда ваши 24 слова и passphrase" никто бы на эту удочку не попался? |
|
|
|
Если кому-нибудь интересно, то вот полное видео про взлом аппаратных кошельков... Я в этом нихера не понимаю, но мне кажется что не все так просто и спиздить деньги не с аппаратного кошеля в десятки раз проще! Как пример тому - недавнее "обновление" электрум... Или фишинговые сайты... Или взлом впн... Или.... Половину видео посмотрел, пока вижу, что никакого особо революционного способа взломать аппаратники не придумали - везде нужно физическое вмешательство. Впрочем, надо досмотреть до конца... |
|
|
|
Ну вот, грош цена аппаратным кошелькам теперь https://forklog.com/issledovateli-proveli-seriyu-uspeshnyh-atak-na-apparatnye-koshelki-trezor-i-ledger/
Электрум может работать в холодном режиме, только так и надо его использовать! Если бы пользователь знал это, то не попал бы
Не факт. факт, холодный режим никогда не предоставляет приватный ключ не только мошенникам, но и сетевой машине Если на обеих машинах будет стоять специальный софт, мимикрирующий под electrum 3.4.1, то предоставит всё, что угодно. Холодная машина не подразумевает что на нее что-то записывается или копируется, даже подпись рекомендуется снимать камерой, а не флешкой. А для абсолютной безопасности холодная машина должна быть самая старая и дешевая, чтобы не было на ней передатчика секретного типа для служб безопасности Вы не поняли мою мысль, видимо. Объясню популярно. Вы хотите закинуть немного битков на биржу, открыли электрум на онлайн-машине, а там: "Ахтунг! Срочно обновляйтесь, вот ссылка на безопасную новую версию!", ну, вы быстрее скачивать, устанавливать, и тут думаете: "Блин, у меня ж на офлайн-машине тоже старая небезопасная версия стоит!", ну и ставите эту свежескачанную версию и туда. Дальше довольный готовите на онлайн-машине транзакцию, фотографируете ее камерой офлайн-машины, подписываете, передаете подписанную обратно, транслируете в сеть, проверяете txid в эксплорере и оппа! - все ваши битки ушли хз куда. За ссылку про аппаратники спасибо - буду разбираться. |
|
|
|
А проблема как будет устраняться? Эту "кучу вредоносных серверов" можно как-нибудь нейтрализовать?)
Что-то придумают, скорее всего заблокируют серверам возможность выдавать такие сообщения. Это вроде как даже не дыра электрума, это вроде такая фича  , которой хитроумно воспользовался хакер для фишинга. Это фишинг, и рекомендации не попасться поэтому все те же: 1. не скачивать ничего по предложенным ссылкам, а только с оф. сайта; 2. проверять файлы на аутентичность; 3. не спешить устанавливать новые версии, а если очень хочется, либо апдейт критичный, убедиться, что выпуск обновления действительно состоялся (по сообщениям в оф.каналах твиттера, форума и т.п.). Не понимаю только тех, кто потерял огромные суммы 83, 27, да даже 4 битка... Почему они не потратили 100 баксов на аппаратник?  |
|
|
|
Лучше хранить все на кошельке биткоин кор. Леджер это больше кошелек для быстрого доступа чтобы постоянно блокчейн не подгружать себе. Но это все же посредник. Если сервисы леджера не будут работать, то и управлять своими активами вы не сможете
Вы заблуждаетесь. 1. Хранить на коре небезопасно, на зараженном компьютере средства могут быть украдены. 2. Да, леджер - SPV-кошелек, он использует внешние серверы, ну и что? Так многие кошельки работают. 3. Если сервисы леджера перестанут работать, для основных монет есть альтернативные кошельки, а для остальных можно достать ключи и импортировать в родные или другие кошельки. Также можно импортировать сид-фразу в трезор. Для биткоинкора нужно использовать отдельный компьютер, который только для этих целей и будет предназначен. И вы точно будете уверены в том, что ваши битки - ваши. Леджер это все же горячий кошелек для быстрого доступа и хранения незначительных для общего депозита сумм Нет, заблуждаетесь опять ). 1. Чтобы точно быть уверенным, что битки ваши, нужно точно быть уверенным, что приватные ключи хранятся у вас и только у вас. Поэтому всякие веб-кошельки, в том числе и популярный блокчейн.инфо - зло. Отдельный комп здесь ни при чем, хотя глупо спорить, что отдельный комп, да с линуксом, гораздо лучше, чем "семейный" комп с виндой. 2. Холодным кошельком называется кошелек, из которого приватные ключи никогда не попадают в память онлайн-компьютера. В биткоин кор ключ попадает в оперативку как минимум при подписи транзакции, в этот момент он может быть похищен трояном и передан по сети, поэтому это "горячий" кошелек. А леджер как раз "холодный" (ну или "псевдохолодный" - провода к онлайн-машине тянутся всё-таки) ), так как приватные ключи никогда не покидают устройство. |
|
|
|
Электрум может работать в холодном режиме, только так и надо его использовать! Если бы пользователь знал это, то не попал бы
Не факт. факт, холодный режим никогда не предоставляет приватный ключ не только мошенникам, но и сетевой машине Если на обеих машинах будет стоять специальный софт, мимикрирующий под electrum 3.4.1, то предоставит всё, что угодно. |
|
|
|
Хитрый упырь, ёпт. Спасибо за инфу, обычно я проверяю обновы сам и только с оф сайтов что-то скачиваю, но в спешке можно на легке прилипнуть. А електрум казался мне относительно безопасным. Нужно всегда проверять PGP-подпись скачиваемого инсталлятора кошелька. Тогда даже на такой изящный фишинг не попадешься.
Электрум может работать в холодном режиме, только так и надо его использовать! Если бы пользователь знал это, то не попал бы
Не факт. |
|
|
|
Понятно, что практика применения этих девайсов на сегодняшний день показывает их надежность. Но все равно расслабляться не стоит Да, если есть солидный капитал, то можно и подстраховаться. Например, сделать мультиподписной кошелек с трезором или даже просто с электрумом - это защитит от козней производителя. |
|
|
|
Да тоже слышал об этой инфе, тоже думаю прикупить леджер. Тем более в январе акцию планируют по выводу битка с бирж, возможно потом и хаос может начаться. Очень много читал кстати про него, и выбор пал именно на леджер! Лучше хранить все на кошельке биткоин кор. Леджер это больше кошелек для быстрого доступа чтобы постоянно блокчейн не подгружать себе. Но это все же посредник. Если сервисы леджера не будут работать, то и управлять своими активами вы не сможете Вы заблуждаетесь. 1. Хранить на коре небезопасно, на зараженном компьютере средства могут быть украдены. 2. Да, леджер - SPV-кошелек, он использует внешние серверы, ну и что? Так многие кошельки работают. 3. Если сервисы леджера перестанут работать, для основных монет есть альтернативные кошельки, а для остальных можно достать ключи и импортировать в родные или другие кошельки. Также можно импортировать сид-фразу в трезор. Я летом прикупил себе это чуда. Должен сказать, что устройство стоит своих денег точно. Она очень удобная в использовании и более надежнее трезора.
Трезор вроде достаточно надежный, не видел по нему нареканий. Вы сравнивали, откуда вообще такая инфа, что леджер надежнее трезора? Это вечный спор, что надежнее - открытый софт трезора на ширпотребном микроконтроллере или закрытая операционка на сертифицированном по безопасности чипе леджера... Короче, оба достаточно надежны. |
|
|
|
Я видимо уже давно не пользовался электрумами. Раньше приятнее было с кошельком работать. Сейчас всё усложнилось. Например в плане импорта сид - фразы. Столкнулся, что простой ввод сида созданного ранее в электрум десктоп на виндовс невозможен, нужно типо через вэб - камеру в виде QR кода вводить. И некоторые форки дублируют эту ситуацию. Жутко неудобно, честно говоря. Перешёл на другие кошельки пока.
Что-то вы путаете и напрасно наговариваете на замечательную программу. Импорт сид-фразы производится введением слов с клавиатуры, а опции введения сида через QR-код там даже нету. |
|
|
|
I haven't used Electrum in a long time
You must update your Electrum. |
|
|
|
Биткоин не предназначен для транзакций - это протокол первого уровня. Конечно транзакции можно использовать для перераспределения самого Биткоина, но также можно покупателю и леджер с битками передать вообще без транзакций.
Ну да, оставив себе копию сида . Без транзакций никак. |
|
|
|
Блин, все, сдаюсь Тогда так. Если есть крипта на 100к рублей, то 5% потратить на кошель можно. Не? А фантики с баунти лично мне пофиг, где валяются. Вон пока 2 фантика торгующихся на 82$ на мев лежат(кошель в профиле). Да пускай лежат, нового пампа хоть до 2025 года ждут, они же с баунти, бесплатные. А вот куда вложен фиат, там другое. И суммы чуть больше, и все-таки их оторвал из бюджета - лишние были, экономил, премия и т.д. Все ИМХО, никак не руководство к действию, да и реф. ссылки на покупку кошелей у меня не было и нет Если рассматривать крипту как инвестицию и рассчитывать на ее рост, то можно и 10-20% легко потратить на кошель, чтобы быть почти уверенным что через несколько лет все будет ок и крипту не уведут когда подкинешь приватник на в будущем зараженный комп. По баунти тоже отчасти согласен - с копеечными фантиками да, но если что-то стоит 500 и более уе, то уже нужно также рассматривать как инвестицию в этот конкретный проект или может сливать за биток. Вот именно примерно это и хотел донести. Вот моя ситуация. Фантики с баунти - на мев и еще 2-3 кошелях, от проекта. Ну там на 200$ максимум. Ну и пускай пока лежат. Правильно? Вложения фиата - тут уже жаба вылезла и квакает: могут украсть. А сумма для меня значительная, уже минус 60-70%. А при возврате к январским максимумам это уже несколько лямов. И тут 5к рублей за кошель. 5к - мой 10-ти дневный расход бензина, катаюсь много. Так что однозначно для меня. Да,согласен с предыдущими постами, от дохода зааисит, от города проживания, страны. Я по себе примериваю, никого не хотел обидеть. Со всем написанным полностью согласен, хотя все оно по сути и подтверждает написанное выше. Если мы тут рассматриваем крипту как инвестицию и верим в ее рост на 20к, а кто-то говорит и про 100к или даже про 1кк, то не потратить сейчас деньги на аппаратник это просто жесть какая-то. Даже сложно представить что будет с человеком, который сейчас инвестирует в биток 500 или 1000 баксов и зажмет денег на аппаратник, через 5 лет курс станет 1кк и это будет уже почти 150к или 300к баксов. В общем ладно, тут каждый сам себе злобный Буратино А я считаю, что тратить на кошелек больше 10% не разумно (даже больше 5%, но ладно, пусть будет 10)). Вот когда ваша крипта стоимостью 500 баксов вырастет в цене в 2-4 раза (либо решите докупить до такой суммы), вот тогда и купите аппаратный кошелек, а пока лучше на эти 100$ купить еще немного битка. То есть если перефразировать, то при капитале в 500 баксов на безопасность разумно отдать 25-50$. А все, что выше - это переплата за желание побыстрее обзавестись новой игрушкой и за удобство использования. Иногда это может и оправдано, но очень редко. А вера в рост здесь ни при чем. Когда я вижу, что кто-то покупает два  леджера при капитале 0.1 btc в 16 году, то, мягко говоря, я этого понять не могу. |
|
|
|
|
Show Posts
