Мда. Как я помню, если известен xpub к m / 44 '/ 0' / 1 ' и хотя бы один из приватных ключей этой цепочки, то будут известны все остальные приватные ключи. (по крайней мере первые 2^31 из диапазона 2^32, тоесть как я помню "слабые" приватники). Да, зная xpub и любой приватник, полученный из соответствующего этому xpub-у xprv-а, можно найти остальные приватники этой ветви. Леджер лайв не первый раз уже подводит. Да в общем-то ничего такого уж страшного, приватники-то не утекают. Тут вопрос только в приватности. Большинство, я думаю, это не волнует ). Без него кстати обновиться не выйдет? Или с гитхаба все ок идет? Насколько я знаю, прошивка только с сервера, на гитхабе ее нет и быть не должно, раз она закрыта. Но xpub-ы в LL из леджера получаются только при создании аккаунтов, при прошивке, смене и обновлении приложений они не извлекаются. |
|
|
|
electrumgroup.help
сайт уже в списке фишинговых и вообще удален. Наверное игор72 подсуетился? Молодец конечно, но вот спрашивается: никто до сегодняшнего дня даже не додумался стукнуть в гугл на этот сайт?
Не, это не я ). Не вижу особого смысла, названия сайтов меняются регулярно, не угонишься за ними. |
|
|
|
Корень зла софтовых кошельков получается в том, что все входы шифруются единственным паролем. Ввел пароль в фейковый клиент - попадаешь на весь баланс. Корень зла софтовых "горячих" кошельков в том, что они "горячие", софтовые "холодные" кошельки по безопасности лучше аппаратных (при правильном использовании). Было бы неплохо сделать возможность нескольких паролей для разблокировки разных балансов. Например для отправки всего баланса - ввести один пароль, для отправки половины - другой, для отправки 1/10 - третий. Можно, конечно, но лучше решить вопрос радикально - мелочь держать в мобильных и горячих кошельках, более крупные суммы - в мультиподписных, аппаратных и холодных.
Давно хотел посмотреть, как там этот фишинг происходит, но все руки не доходили. Сейчас запустил на виртуалке электрум 3.3.2, создал там кошелек и закинул пару копеек. Сразу подключился к серверу мошенника ).  Попробовал отправить транзакцию, получил такое:  Ссылка некликабельна, скопировал, открыл в браузере, перешел на страницу загрузки:  Скачал фейковую версию, запустил, создал ту же транзакцию:  И что мы видим? В окне предпросмотра адрес назначения не соответствует тому, на который я отправлял. Я думал, что там похитрее устроено, типа покажет все как надо, а отправит не туда. Но тут никто этим не заморачивался. Какой из этого напрашивается вывод? Жертвы мало того, что скачали с левого сайта программу и не проверили ее подпись, они даже не удосужились нажать кнопку "Предпросмотр", чтобы проверить параметры транзакции. И этих жертв было довольно много, так что теперь я не удивился бы, если б среди них оказались и обладатели аппаратников, автоматом жмущих кнопки, не глядя на дисплей ). |
|
|
|
Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Сейчас проверил - да, видны xpub-ы, у меня в линуксе это файл ~/.config/Ledger Live/sqlite/database_v3_ledgerlive, в винде, наверное, это будет %appdata%/Ledger Live/sqlite/database_v3_ledgerlive. |
|
|
|
99.9% что пользователь отправлял именно 1400. Потому что все эти бабки лежали на одном входе явно не для того, чтобы доставать от туда но 0.01 раз в год. Ой вру, там 12 входов. Тогда либо чел посылал больше 110 бтц, а фейк-электрум забрал все что было на входах, либо входы были не шифрованы, но тогда непонятно зачем вообще этот цирк? Можно было подсунуть юзеру любой исполняемый файл который умеет читать нешифрованные кошельки и не маскировать его под электрум и не ждать пользовательских действий, а забрать все бабки сразу.
Логики в вашем выводе про 110 бтц не вижу, чел, кстати, пытался отправить 1 бтц на самом деле https://github.com/spesmilo/electrum/issues/5072#issuecomment-683374289. Что касается шифрованного-нешифрованного, то это не имеет значения в данном случае, пользователь добровольно вводит пароль, думая, что отправляет на нужный адрес нужную сумму. |
|
|
|
Ну вот пользователь отправляет 1400 бтц на биржевой адрес 1ABCчего-то-там-одноDEF, а на аппаратнике ему показывается, что он отправляет 1400 бтц на мой адрес 1ABCлошара-блятьDEF. Думаете человек который скачал хуй знает какой электрум с левого сайта, будет дотошно проверять каждую букву в адресе отправителя на своем девайсе?
Во-первых, я смотрел исходники этой фишинг-версии, там жестко прописан адрес получателя для всех жертв. Во-вторых, это довольно сложно устроить - для вашего примера нужно сгенерировать базу в 38 миллиардов адресов и включить ее в обновление, то есть это обновление будет весить на порядки больше обычного, и это вы еще не учли адреса на тройку и на bc1. Даже если подгружать адрес с сервера, то нужно еще нагенерировать столько адресов, это, я думаю, совсем не быстро происходит. В третьих, 99.9%, что жертва отправляла не 1400 btc, а, например, 0.1, это фейк-электрум меняет кроме адреса еще и сумму на макс., так что если на аппаратнике прощелкать адрес, то сумма явно будет не та. |
|
|
|
Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую: when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность". Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ). с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет. |
|
|
|
Чтобы эта фишинг-атака прошла успешно против пользователя аппаратника, подключенного к электруму, этот пользователь должен не глядя на дисплей девайса подписать транзакцию.
А что подозрительного пользователь увидит на дисплее девайса? При отправке транзакции на дисплее леджера высвечиваются адрес(а) получателя, отправляемая сумма и комиссия, эту информацию нужно пролистать кнопкой и затем подтвердить одновременным нажатием обеих кнопок девайса (на трезоре и прочих примерно так же). То есть, отвечая на ваш вопрос, пользователь увидит всё подозрительное - и адрес, и сумму. |
|
|
|
Help please. I have 3.1.3 version of Electrum. It won't allow me to send Bitcoin unless I upgrade to version 4.something.
Upgrade to 3.3.8 version https://download.electrum.org/3.3.8/electrum-3.3.8.dmg. It will work on your system (El Capitan) and allow you to send coins. |
|
|
|
Как использование электрума кошелька противоречит наличию аппаратного кошелька? Или аппаратные кошельки научились отправлять транзакции в онлайн без софтовых кошельков? Чтобы эта фишинг-атака прошла успешно против пользователя аппаратника, подключенного к электруму, этот пользователь должен не глядя на дисплей девайса подписать транзакцию. Это маловероятно, так как главным образом именно ради возможности этого контроля аппаратник и приобретается. |
|
|
|
После такого камня в огород CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW. С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа. |
|
|
|
«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.
Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно. Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера. |
|
|
|
С другой стороны в чем смысл брать займы в таких монетах на падающем рынке и платить предположим 1000$ за 100$? Лучше выйти в USDT или фиат или хоть в биток, который хотя бы падает медленнее всех других монет. Да, осталось только узнать, падающий сейчас рынок или растущий...  |
|
|
|
Странная ситуация я, к примеру банкир и мне нужно разместить депозиты своих клиентов в надёжную криптовалюту, например в ДАИ могу я это сделать или нет ведь ДАИ стабилкойн обеспеченный залогом есть риски потерь или нет? Риски, конечно, есть. Связаны они, главным образом, с молодостью проекта - нужно дольше тестировать в экстремальных ситуациях. Вообще, любая крипта пока связана с рисками. это временный стабилкойн и его надёжность лишь тогда когда цена на рынке растёт и он исчезает когда цена падает. Ничего не исчезает, когда цена падает, почему вы так решили? |
|
|
|
Но DAI останутся в обороте и не сгорят так я не буду выкупать залог. Предположим я взял 2000 DAI, как в вашем примере при залоге 200%, за 10ETH который стоит 400$. Эфир упал до 100$ и мой залог 10ETH уже стоит 1000$, а мне чтобы его выкупить надо отдать 2000$. Зачем мне это делать? Немного не так. В вашем примере цена ликвидации будет 300$ за 1 eth. Когда цена эфира приблизится к этому порогу (скажем, 310$), вы будете заинтересованы погасить займ (или, как вариант, увеличить залог), чтобы не случилась принудительная ликвидация, при которой вы потеряете лишних 13% штрафных. В случае ликвидации актив быстро распродается со скидкой (10% вроде бы), а вырученные DAI сжигаются. у дефи стейблов возможна неустойчивость при пограничных состояниях или высокой волатильности. Так получается? Если волатильность очень высокая (падение на 50% за 5 мин), то, думаю, да. Но точно все тонкости не знаю )). |
|
|
|
Или можно после 3 пункта опять заложить 5 эфиров, получить 500$, купить 2,5 эфира, заложить опять, получить 250$ и так далее. Потом ждать пока эфир вырастет до 400$ и выкупить всю цепь залогов. Верно, можно и так. Как я и подозревал это работает только на растущем рынке. А вот если рынок когда-то пойдет вниз, то выкупать залоги не будут. Залоги будут продаваться по достижению порога когда наступает ликвидация, и в конце может наступить момент, что все залоги проданы, а на биржах куча стейблов за которыми нет обеспечения в виде залогов. Это вызовет падение цены на них, то есть стабильный доллар уже не стабильный. Есть ли ошибка в моем предположении? Ошибка в том, что при погашении залога DAI не остаются в обороте, а сжигаются. Необеспеченных быть не может. Я так понял, что кто-то заложил опять свой эфир, как и вы ранее получил ДАИ и за них выкупил у вас ваш эфир так или нет? То есть образовалась цепочка, похожая на пирамиду, а если бы его не было то ваши ДАИ остались при вас. Важно понимать если кто-то выигрывает на рынке значит кто-то проигрывает иначе не бывает.
Естественно, я выигрываю, если залог (eth) дорожает, если дешевеет, то в той же степени проигрываю. Так что тут нет никаких пирамид, все честно. |
|
|
|
Занятная арифметика. Напрашивается вывод если вы получили дополнительную 1000ДАИ значит кто-то её потерял, я правильно излагаю иначе откуда она взялась или я не прав опять не догоняю. Нет, это значит, что в мире стало на 1000 DAI больше. Они были "напечатаны" под обеспечение залога. А после выкупа залога они будут уничтожены и в мире станет на 1000 DAI меньше. Или если залог был при 200 за эфир а выкуп был по 400 тогда получается стоимость ДАИ изменилась? Если бы это был не залог, а товар на рынке (то есть если бы этот залог мог выкупить любой), то вы были бы правы. Но здесь как в ломбарде - выкупить может только предъявитель квитанции и по цене, написанной в квитанции (независимо от того как рыночная цена залога за это время изменилась). |
|
|
|
Нельзя как в битке отправить с нулевой комсой короче. А вы можете отправить биток с нулевой комсой? Вполне. Здесь даже скорее разговор о том, что в биткоине такие транзакции валидные. Да, валидные. Но толку от этого, если такую транзакцию может осуществить лишь владелец майнинг-пула? Насчет "вполне" не поверю, пока не увижу txid вашей транзы. И ведь, в отличие от битка, в эфире нету RBF. И следующие транзы с кошелька тоже не проходят, пока предыдущие не просрутся ( Я эфир не очень хорошо знаю, но разве там нельзя отправить перебивающую транзакцию с тем же nonce, что и зависшая, но с большей комиссией? Чем не аналог RBF? |
|
|
|
И ещё получается ДАИ это кредитный стабилкойн ты его берёшь на время и обязан вернуть в чём смысл для тех, кто его производит? Я очевидно тупой не догоняю. Ну вот вам пример, даже цифры возьму реальные из графика. 1. Допустим, я 3 месяца назад купил по 200$ 10 ETH, потратил 2000$. 2. Заложил их под 200%, получил 1000 DAI. 3. Продал на бирже, получил 5 ETH. 4. Вчера продал 5 ETH по 400$, получилось 2000 DAI. 5. За 1000 DAI выкупил весь залог, продал его на бирже. Теперь у меня 5000$. То есть на 25% больше, чем если бы я просто холдил купленные 3 месяца назад эфиры. Третий пункт - ответ на вопрос "откуда на бирже берутся ДАИ?". |
|
|
|
И за это переплачивать? За что "за это"? Если не хотите связываться с залогами, как уже было сказано, покупайте DAI на бирже - в этом случае для вас это ничем не отличается от прочих стейблкоинов. Кроме того, что все прозрачно и открыто. А вот интересно если тот, кто заложил эфир получил ДАИ оплатив залог, а потом их продал, как он вернёт с вой залог? Проценты от продажи не покроют залога.
А если тот, кто взял кредит в банке под залог квартиры, этот кредит промотал, как он вернет свою квартиру? ) |
|
|
|
|
Show Posts
