Пока обхожусь MEW, хотя если активы хорошие, то вопрос надежной защиты своих активов становится выше, поэтому аппаратные кошельки вполне себе актуальны для многих.
Ну в прошлом году репутацию у MEW хорошо подпортили. Постоянный спам в слаке, фишинг, взлом днс... Идеального варианта нету. Аппаратные кошельки тоже частенько косячат и свои деньги можно потерять. Вот совсем свежее https://forklog.com/obnaruzhena-uyazvimost-v-chrome-rasshirenii-dlya-ledger-polzovatelej-prosyat-ne-otpravlyat-ethereum/Наверно все таки самое лучшее это своей безопасностью заниматься самому, но надо иметь некоторые знания. Например если использовать MEW то оффлайн версию или через метамаск, перепроверять конечные адреса и т.п. вещи Вы передергиваете насчет "частенько косячат и свои деньги можно потерять". Но несколько косяков было, да, насколько я знаю, было только несколько пострадавших полгода назад, когда эфирные сервера у них глючили, транзакция заканчивалась ошибкой, а при повторе ее через mew оказывалось, что совершались обе. А этот свежий косяк вообще пустяковый, там пострадавших не будет. Насчет MEW офлайн для эфиров согласен, можно и так, так даже надежнее (но неудобно). Такие же варианты есть для битка и еще некоторых монет. А что делать с XRP, XLM и некоторыми другими? Как ими безопасно пользоваться посоветуете? Думаю о покупке аппаратного кошелька, ибо уже устал нервничать за MEW. Вот сегодня у моего друга угнали кошелёк, хотя вроде он хорошо следил за безопасностью. Если кто-то сможет помочь понять как угнали кошелёк, то вот его адрес 0x16413c6AB1228c45C0A4218DC6c8E990630EF085 . Заранее благодарю. Возвращаясь к теме, на данный момент надёжнее аппаратных ничего нет, так что однозначно маст хэв!
Если бы хорошо следил за безопасностью, то не угнали бы. Расскажите, как он за ней следил. А по адресу можно сказать, что как только туда приходили деньги, то сразу и уходили. Если бы ваш друг заметил это после первой транзакции, он бы не потерял вторую. Скорее всего, приватный ключ куда-то "вставил" ). Ну а так, 3 бакса - сумма крохотная, если сделает правильные выводы, то еще и спасибо может сказать за почти бесплатный урок.
Идущие подряд сообщения объединены в одно модератором xandry. |
|
|
|
|
As far as I know, bech32 masterkeys should be zprv/zpub
|
|
|
|
Почитал тему, и тоже задумался о приобретении такого кошелька. Раньше хотел купить ноутбук который никогда в сеть выходить не будет, и на нем все транзакции подписывать
Это проблематично знаю по собственном опыту, проще уже сделать виртуальную машину у себя на компе и там все хранить, но все равно гораздо безопасней будет это просто купить аппаратный кошелек. Это не очень хороший совет. Виртуальная машина - это не то же самое, что отдельный компьютер. Конечно, лучше уж иметь кошельки под линуксом в виртуалке, чем под виндой в хосте. Но это недостаточная безопасность. |
|
|
|
Ну и главное - это сервера electrum. Он же не качает весь блокчейн. Без серверов эта система работать не будет.
Электрум без интернета загружается, позволяет импортировать сид, а затем получить приватные ключи ко всем адресам. Так что отсутствие серверов с блокчейном - не проблема. Насчет их нестандартных сидов - можно использовать BIP39, электрум импортирует его. Сам сид можно сгенерировать, например, в этом конвертере (предварительно закинув его на офлайн-машину). А как его закинуть на оффлайн машину. Ну к примеру есть новый смартфон, как на него закинуть iancoleman ? под офлайн-машиной я имею в виду не временно-офлайн, а всегда-офлайн. Вы же не будете новый смартфон навсегда лишать интернета? Надо его после генерации сида тогда как-то гарантированно сбросить, я не в курсе, как это сделать, чтобы гарантированно... А закинуть - скачать html, закинуть на карточку и открыть в браузере телефона (не пробовал, надеюсь откроется). Лучше скачать какой-нибудь live-cd линукс, закинуть на флешку и загрузиться с нее, открыть янколеман, отрубить интернет, сделать и записать сид, выключить комп. |
|
|
|
Ну и главное - это сервера electrum. Он же не качает весь блокчейн. Без серверов эта система работать не будет.
Электрум без интернета загружается, позволяет импортировать сид, а затем получить приватные ключи ко всем адресам. Так что отсутствие серверов с блокчейном - не проблема. Насчет их нестандартных сидов - можно использовать BIP39, электрум импортирует его. Сам сид можно сгенерировать, например, в этом конвертере (предварительно закинув его на офлайн-машину). Сид нужно не в туле генерировать, а самому придумывать. Или же сгенерировать 12 слов сида, а потом придумать ещё 12 слов дополнительно (электрум позволяет это). Смысл в том, что надо быть уверенным, что тула генерил абсолютно случайный сид, иначе другая тула может перебрать потенциально сгенерированные сиды если они неслучайны. Отчасти согласен, в том туле есть опция задать вручную энтропию - в поле можно вписать результаты, например бросков игрального кубика (50 бросков = 12 слов). Не согласен, что нужно самому придумывать сид, так как человек - плохой генератор случайных чисел. А дополнительные слова - это лишнее, на мой взгляд. Лучше сгенерировать сид 24 слова (100 бросков кости), электрум принимает такой сид тоже. |
|
|
|
Ну и главное - это сервера electrum. Он же не качает весь блокчейн. Без серверов эта система работать не будет.
Электрум без интернета загружается, позволяет импортировать сид, а затем получить приватные ключи ко всем адресам. Так что отсутствие серверов с блокчейном - не проблема. Насчет их нестандартных сидов - можно использовать BIP39, электрум импортирует его. Сам сид можно сгенерировать, например, в этом конвертере (предварительно закинув его на офлайн-машину). |
|
|
|
Если есть лишние 100$, то почему бы нет  . А если нет, то того же эффекта можно добиться и на порядок дешевле, так, например, используя пластину из нержавейки. Или дремелем нацарапать. Или вытравить электролизом (это я пробовал - достаточно аккуратно получается, и практически бесплатно). |
|
|
|
А вообще мне кажется, что трезор или леджер они одного поля ягоды. Практическое применение аналогичное, так что нет даже смысла заморачиваться на обоих. У кого в какой стране проще какой взять, нужно брать , да и пользоваться.
Похожи, да. У трезора нет поддержки рипла, стеллара, монеро, в отличие от. |
|
|
|
Проведите кто-нибудь ликбез по кошелькам биткоина. Какой безопаснее всего, кроме фул-ноды. Кошелек планируется использовать как хранилище на долгое время. Слышал про вариант сгенерировать адресс на бумажку в оффлайн, как это можно сделать, если возможно?
https://electrum.orgЛайт кошелек на отключенном от интернета компьютере . Кошелек можно создать тоже оффлайн .Создать бэкап лучше сразу всеми тремя доступными способами :записать seed(кодовая фраза), сохранить wallet.dat , и экспортом вытащить все приватные ключи. Все это закопать в трех разных огородах. И лучше иметь постоянно отдельный компьютер для таких чувствительных операций. Ну чтобы с него никто не смотрел порнуху и прочая. ОС на компе естественно линукс ну к примеру ubuntu или Mint. Лучше seed в трех огородах закопать, а wallet.dat (которого в электруме нет) и ключи не обязательно. А отдельный компьютер лучше пусть будет с порнухой, но без сетевых интерфейсов (ethernet, wi-fi). Все там есть - так вот и крадут бабло - незнаете что у вас в PC лежит. /home/user/.electrum/wallets это в линукс путь к кошелькам. В Win не помню - не пользуюсь. Файл кошелька там конечно есть. И на мой взгляд хранить его где-то палево. Лучше его удалять отовсюду. И приватные ключи тоже. А хранить только seed. Но вот вопрос - хорошо, если electrum переживет все кризисы и т.д. А если нет? Или библиотеку seed сменит лет за 10? Вот эти 12 слов? Можно будет используя эти 12 слов, получить доступ к своим сатошикам? Я не думаю, что могут произойти такие ужасы ), в любом случае будут всякие конвертеры (да и сейчас возможно сконвертировать электрумовский сид в BIP39). Для своего спокойствия можете сохранить копии электрума и его исходников. Ключи сохранять можно, но надо быть бдительным с адресами сдачи - чтобы не появились новые адреса, ключи от которых вы не сохранили. Короче, 12 слов лучше, на мой взгляд. |
|
|
|
Все там есть - так вот и крадут бабло - незнаете что у вас в PC лежит.
/home/user/.electrum/wallets это в линукс путь к кошелькам. В Win не помню - не пользуюсь.
я про то, что в электруме по умолчанию он называется не wallet.dat, а default_wallet (переименовать его, конечно, можно как угодно). Так что сами вы не знаете. |
|
|
|
Вопрос в суммах. Будут ли спецслужбы охотится за кошельками, на которых несколько сотен долларов в крипто-эквивалентах? - Вряд ли. Время спецов дороже стоит. Если фантазировать дальше  , то незачем им охотиться за каждым кошельком. Просто может оказаться, что генератор случайных чисел не совсем случайный, а генерирует не 2 256 сидов, а, скажем, 2 32... Но Вы меня паранойкой все-таки заразили... Я не хотел этого, но это хорошо . В этом деле лучше быть чрезмерно бдительным, чем наоборот. Вон, смотрел недавно, у чувака 2,5 битка увели... Жалко пацана, но спрашивается, чего ж ты леджер не купил? |
|
|
|
Пожалуйста. Безопаснее аппаратного кошелька - система из двух компов (онлайн/офлайн). Офлайн-комп не подключен к интернету (у него физически отсутствуют сетевые интерфейсы), на нем хранятся личные ключи и производится подпись транзакций, на онлайн-компе хранятся только публичные ключи, на нем готовятся транзакции, а после подписи на офлайн-машине, отправляются в сеть. Минус - неудобно.
Сомнительное утверждение, не соглашусь. Система из двух компов должна как то связываться, и в этой связи всегда есть потенциальная уязвимость, вы же не руками будете подписанную транзакцию переписывать, хотя и тогда будет ненулевой вектор атаки. Да и второй комп в боле менее стабильном состоянии вряд ли дешевле леджера, стоит ли огород городить. Передавать через QR-код - в электруме весь этот функционал встроен. Кстати, если бы мне нужно было сделать транзакцию, скажем, в 10 битков, я бы не поленился и руками несколько сотен цифробукв перенести ). А почему ненулевой вектор атаки? По-моему - нулевой. Насчет не дешевле леджера - это да, но безопаснее, речь об этом шла. К тому же тут и древний комп сгодится, и даже старый андроид-телефон или планшет (если удалить радиомодули). Я не агитирую, у меня крипты мало и пользуюсь леджером. Но если бы было много, я бы состояние леджеру не доверил, а пользовался бы вышеизложенным способом. Да, теоретически связка двух машин (онлайн/оффлайн) надежней, чем леджер или трезор. Но каков гемор? )) На онлайн-компе готовить транзакции, на оффлайн-компе подписывать, а потом снова на онлайн-компе отправлять? Такая паранойя нужна только в случае отправки десяти битков и выше, как правильно заметили в предыдущих комментах. Многим здесь часто надо отправлять такие суммы? Не думаю. )) Для всех здесь основные операции - это вывод на биржи полученного с баунти и айрдропов, и суммы там редко бывают даже с двумя нулями в долларовом выражении. Пользоваться для этого связкой из двух машин и предложенной процедурой... ну уверяю вас - надолго Вас не хватит по терпению. )) Для этого Леджера или Трезора - с головой, более чем. С этими вашими тезисами я полностью согласен. "Минус аппаратника - в случае обнаружения критической уязвимости теоретически ключи могут быть похищены." - эта вероятность практически невероятна и сравнима с похищением ключей при проведении предложенной Вами процедуры (связка двух машин - онлайн/оффлайн). Леджеров продано более 1,3 миллиона, пока что никто от критической уязвимости не пострадал. А с этим не очень согласен. Действительно, вероятность очень мала, но она есть. Мы не можем быть уверены на 100%, что производитель чипа (допустим, под давлением спецслужб) не оставил backdoor, что ответственный сотрудник леджера не изменил прошивку для обновления, что не будет ошибок в коде. Это может быть похоже на бредовые фантазии, но теоретически это возможно. В предложенных мной схемах таких опасностей нет, по крайней мере я их не вижу. Буду благодарен, если откроете мне глаза. |
|
|
|
На сегодняшний день, аппаратные кошельки, самые безопасные кошельки и в этом ключе, ПОКА имеют идеальную безопасность. Это доказано многими людьми, причём корифеями блокчейна. Кем, например, доказано? Аппаратные кошельки не самые безопасные, они просто самые удобные из безопасных. Я тему аппаратных кошельков изучал с пол года. Прочитал много статей и рекомендаций на разных ресурсах (не на форуме), но в закладки, для вас, не вносил. Думаю, если вам реально интересно, то вы с лёгкостью найдёте всё это в сети. Это не аргумент, я эту тему больше вас изучал. Если это так легко найти в сети, найдите, пожалуйста, и дайте ссылки. |
|
|
|
Проведите кто-нибудь ликбез по кошелькам биткоина. Какой безопаснее всего, кроме фул-ноды. Кошелек планируется использовать как хранилище на долгое время. Слышал про вариант сгенерировать адресс на бумажку в оффлайн, как это можно сделать, если возможно?
https://electrum.orgЛайт кошелек на отключенном от интернета компьютере . Кошелек можно создать тоже оффлайн .Создать бэкап лучше сразу всеми тремя доступными способами :записать seed(кодовая фраза), сохранить wallet.dat , и экспортом вытащить все приватные ключи. Все это закопать в трех разных огородах. И лучше иметь постоянно отдельный компьютер для таких чувствительных операций. Ну чтобы с него никто не смотрел порнуху и прочая. ОС на компе естественно линукс ну к примеру ubuntu или Mint. Лучше seed в трех огородах закопать, а wallet.dat (которого в электруме нет) и ключи не обязательно. А отдельный компьютер лучше пусть будет с порнухой, но без сетевых интерфейсов (ethernet, wi-fi). |
|
|
|
Трезор мне больше понравился чем леджер. Во первых цена, функциональность аппаратника ничем не хуже леджера, а стоимость почти в два раза ниже. Правда я не заказывал через инет, я покупал в магазине на прямую.
В каком магазине, интересно, он дешевле, тем более в два раза? И где это они в офлайне продаются? Не понимаю эти аппаратные кошельки. Почему нельзя записать кошелек на флешку или на две. По моему тоже самое. Или я
или я чего то не понимая.
Да, вы не понимаете. Флешка - это память для хранения файлов. Аппаратный кошелек - это микрокомпьютер.
Идущие подряд сообщения объединены в одно модератором xandry. |
|
|
|
Пожалуйста. Безопаснее аппаратного кошелька - система из двух компов (онлайн/офлайн). Офлайн-комп не подключен к интернету (у него физически отсутствуют сетевые интерфейсы), на нем хранятся личные ключи и производится подпись транзакций, на онлайн-компе хранятся только публичные ключи, на нем готовятся транзакции, а после подписи на офлайн-машине, отправляются в сеть. Минус - неудобно.
Сомнительное утверждение, не соглашусь. Система из двух компов должна как то связываться, и в этой связи всегда есть потенциальная уязвимость, вы же не руками будете подписанную транзакцию переписывать, хотя и тогда будет ненулевой вектор атаки. Да и второй комп в боле менее стабильном состоянии вряд ли дешевле леджера, стоит ли огород городить. Передавать через QR-код - в электруме весь этот функционал встроен. Кстати, если бы мне нужно было сделать транзакцию, скажем, в 10 битков, я бы не поленился и руками несколько сотен цифробукв перенести ). А почему ненулевой вектор атаки? По-моему - нулевой. Насчет не дешевле леджера - это да, но безопаснее, речь об этом шла. К тому же тут и древний комп сгодится, и даже старый андроид-телефон или планшет (если удалить радиомодули). Я не агитирую, у меня крипты мало и пользуюсь леджером. Но если бы было много, я бы состояние леджеру не доверил, а пользовался бы вышеизложенным способом. |
|
|
|
Проведите кто-нибудь ликбез по кошелькам биткоина. Какой безопаснее всего, кроме фул-ноды. Кошелек планируется использовать как хранилище на долгое время. Слышал про вариант сгенерировать адресс на бумажку в оффлайн, как это можно сделать, если возможно?
А кто сказал, что фул-нода - безопасный вариант хранения? Это совсем не так. Бумажный кошелек можно сгенерировать, например, скачав bitaddress.org, переместить на офлайн комп, там сгенерировать, распечатать, отформатировать жесткий. Это если коротко. Есть другие варианты, но это офтопик здесь, наверное... |
|
|
|
На сегодняшний день, аппаратные кошельки, самые безопасные кошельки и в этом ключе, ПОКА имеют идеальную безопасность. Это доказано многими людьми, причём корифеями блокчейна. Кем, например, доказано? Аппаратные кошельки не самые безопасные, они просто самые удобные из безопасных. Если аппаратные кошельки "не самые безопасные", как Вы утверждаете, дайте в студию самый безопасный способ, пожалуйста. Я думаю, многие захотят узнать, что же есть безопаснее аппаратного кошелька. А еще многие захотят услышать аргументы "за" и "против". Так мы коллективно определим самый безопасный способ. )) Пожалуйста. Безопаснее аппаратного кошелька - система из двух компов (онлайн/офлайн). Офлайн-комп не подключен к интернету (у него физически отсутствуют сетевые интерфейсы), на нем хранятся личные ключи и производится подпись транзакций, на онлайн-компе хранятся только публичные ключи, на нем готовятся транзакции, а после подписи на офлайн-машине, отправляются в сеть. Минус - неудобно. Минус аппаратника - в случае обнаружения критической уязвимости теоретически ключи могут быть похищены. Еще способ - аппаратник плюс электрум в мультиподпись. Или два аппаратника разных производителей в мультиподпись. Еще есть бумажные кошельки - при правильном подходе тоже безопасны для хранения... |
|
|
|
Ну я бы заказывал, на всякий случай сразу два кошелька, всем известны случаи про USB-порты убийцы. Небольшое замыкание и придется ждать пока привезут новый кошелек, а это не всегда бывает быстро. А фразы, помимо стандартной бумажки, я на пару флешек записал и на болванку. Чтобы, уж точно, не потерялись.
Кроме риска потерять сид есть ведь не менее опасный риск утечки важной информации, я бы не рекомендовал переводить сид на бумажке в цифровую форму в любом виде, лучше надежно спрятать саму бумажку. Вот именно. Сид, побывавший на онлайн-системе (даже если система временно была офлайн) считается скомпрометированным. Аппаратный кошелек на таком сиде уже не холодный. |
|
|
|
|
Show Posts
