 Show Posts
|
|
Pages: [1]
|
А есть какие-то доказательства, что у Леджера есть доступ к сидам пользователей? Я что-то убедительных аргументов не встречал. Касаемо ис тории с сервисом по восстановлению утерянного сида — там вроде история другая была. Типа, отдельный кастодиальный сервис для тех, кто не уверен в собственном хранении. Но туда сначала надо сид отправить, а это не делается по умолчанию. А насчёт тех ключей и сидов, который не отправляются в кастодиана, я что-то не слышал, что Леджер может иметь доступ. И вроде ни одного такого случая не было.
Сам-то как себе это представляешь технически?
Если они получат твой леджер в свои руки, то 100% сид они достанут оттуда. Но все эти рассуждения по уводу сида через интернет это все из области психиатрии. Очень сложно реализовать и очень высока вероятность, что это будет быстро раскрыто. Есть ветка в английском локале на эту тему, так же есть статья в Леджер академии, как работает их услуга по восстановлению Seed. Если лень читать, то вкратце, при подписке на услугу ledger recover, они через интернет подключаются к вашему кошельку, вытаскивают Seed, шифруют внутри кошелька и передают шифрованные части к себе на сервер и двум компаниям партнерам на хранение. При этом они утверждают, что сами доступа к вашему Seed они не имеют. |
|
|
|
По первому пункту хотелось бы сказать, что монополисты всегда будут говорить, что мол этот производитель слишком мал, чтобы ему доверять. Мы на рынке уже дцать лет, доверять можно только нам.
Нормальный аппаратный кошелек для хранения больших сумм должен быть спроектирован так, чтобы сам производитель этих кошельков даже при большом желании не смог добраться до ваших монет, а таких кошельков пока на рынке нет. Есть чуть более защищенные кошельки работающие через QR коды, но и там возможны манипуляции со стороны производителя в виде внедрения фэйковых генераторов случайны чисел или передачи Seed по частям по байтово через транзакции. Нормальный кошелек должен представлять из себя програмно-аппаратный комплекс состоящий из нескольких раздельных модулей: модуля создания приватных ключей, модуля для подписи транзакций и модуля для трансляции подписанных транзакций в сеть. Ничего подобного пока на рынке нет. Есть просто игрушки средней стоимостью в 100$, которые более безопасны чем онлайн кошельки и наверно спасают от атак доморощенных хакеров, но не спасают от самих производителей или спецслужб. |
|
|
|
Вот кто будет предложение по ETF скупать, а потом горько сожалеть, что не потратил немного времени на изучение того, как всё-таки более-менее надёжно хранить свои биткойны самостоятельно. Но да есть спрос, будет и предложение, и желающих обслужить этих ребят чем дальше, тем больше.  У этих ребят есть желание все таки владеть физическим биткоином, и хранить его самостоятельно, а не у кого то. Но пока достаточно надежных и относительно простых решений они для себя не видят. |
|
|
|
Молодняк с вас будет ржать, что абсолютно все вы до пенсии по уши будете сидеть в американских долларах и золоте. Скажут, дед, ты что ебанулся, нахуй ты хранил эти камни и бумагу?
Общался как то с очень состоятельными людьми, которые были готовы рискнуть и вложить миллионы в биткоин. Так вот изучив вопрос они отказались от этой идеи по причине надежного метода хранения: 1. Аппаратным кошелькам такие суммы они не доверяют, так как серьезные производители, занимающиеся производством техники для банков, такие как Diebold, NCR, Wincor, аппаратные кошельки не выпускают. Те производители, которые присутствуют на рынке (такие как Trezor или Ledger) в их понимании слишком мелки в мировых масштабах, чтобы доверять им хранить серьезные суммы. 2. Заниматься изучением как работают мультиподписи, для них слишком сложно, так как они бизнесмены а не технари. 3. Нанимать человека, который бы этим для них занимался опасно , так как может удрать с приватными ключами. Так что приходится им и дальше сидеть в бумаге, золоте и других более понятных для них вещах. |
|
|
|
Вам выше на английском написали, что потребуется около 64 транзакций чтобы передать ключ и вы даже поставили за этот пост мериты, а теперь начинаете по этому поводу спорить, притянув зачем-то количество входов, хотя выше с ваших же слов утверждаете что не программист и дилетант. Кроме того вы сами писали, что используете в мультисиг только Леджер и Электрум, а теперь уже советуете добавлять третьего подписанта. В общем не буду вам мешать, «паранойте» дальше |
|
|
|
Я считаю, что вопрос должен ставиться шире: можно ли использовать этот аппаратник вообще в одноподписных кошельках? Зависит от того, готовы ли вы принять какой-либо риск потери средств с леджера или нет.
Давайте поставим вопрос шире. Прочитав всю вашу переписку с tenant48, я пришел к выводу, что чисто теоретически побайтово можно вывести Seed в течении примерно 64 транзакций через блокчейн биткоина, но смысл это будет делать только через приложение Ledger Live, так как выводя эти байты через стороннее приложение для компании Леджер это будет просто бессвязный набор байт, которые непонятно кому принадлежат. Но да бог с ним, но даже если предположить, что Леджеру удастся через 64 транзакции добраться до вашего Seed (что вам кстати так и не удалось объяснить, как именно это сделать не через родное, а стороннее приложение), то можно после 63 транзакций (что очень не мало, так как транзакцией следует считать только отправку а не получении монет) просто перевести все монеты на новую парольную фразу, тем самым солидно сэкономив на комиссиях, так как в мультиподписных транзакциях они значительно больше. Кроме того, не следует считать ваш способ использования мультисиг 100% панацеей в безопасности, так как вы используете в нем тот же Леджер, который сами считаете скомпрометированным и слабо защищенный Электрум. |
|
|
|
Пока мне не покажут отрывок кода где подверждается что тольеко CoinJoin UTXO могут отправляться, я не поверю что это не происходит со всеми UTXO. Пока моя логика как с Ledger: если определенные UTXO можно отправлять на аналих, то это можно провернуть и со всеми остальными.
Ну это естественно что они при желании могут направлять на анализ любые UTXO, так как код, который отвечает за это находится на ихнем сервере. И даже если они продемонстрируют такой код это ничего не докажет, так как код который «реально» крутиться на ихнем сервере может отличаться и проверить это невозможно, так как доступа к серверу кроме их самих не у кого нет. |
|
|
|
Нуба не слушать!
У кого кривые руки тому и 20 кнопок будет мало.
128 бит энтропии это оверкил, но лучше оверкил чем взломанный кошелёк.
Множество бедолаг потеряли свои средства из-за слабых паролей.
Будь умнее чем они!
Конечно для тебя «НУБ» не только я но и другие участники данного форума и даже специалисты из Трезор. Но чего ты так скромно пишешь про 128 бит? Писал бы уже про 256 или 512. Это ведь еще безопаснее, а главное «удобнее» в повседневном использовании. Пойди и расскажи сотрудникам Трезор, что парольная фраза в 12 символов слабая. |
|
|
|
Тем кто не имеет такой возможности и продолжит использовать Леджер я бы советовал добавлять к своему СИД в одновременном режиме пассворд фразу (one-time passphrase) с хорошей энтропией (128 достаточно)
128 битная энтропия будет примерно соответствовать количеству 27 - 28 строчных латинских букв ( 2 128 приблизительно равно 26 27 или 26 28 ) Вводить такое количество символов на Леджере двумя кнопками думаю врядли кто-то будет так как такой необходимости нет. Специалисты из Трезор давно провели исследование на эту тему. Для тех кому лень это все читать и вникать в эту тему, в кратце поясню: там есть таблица, в которой указано примерная стоимость атаки, на парольные фразы различной длины, арендовав вычислительные сервера на Амазон. Далее делается вывод, что парольной фразы из 10 - 12 строчных букв более чем достаточно, а если использоваться не только строчные, но и заглавные буквы а также спец символы, то парольная фраза может быть еще короче. Пишу я это все конечно не для специалиста по «кувалдированию» аппаратных кошельков, а для остальных участников форума. |
|
|
|
Своей рекомендацией вы всегда можете перенести свой СИД на другое устройство, если возникнут проблемы.
То что учудил Леджер, со своей новой услугой на основании KYC, это их личная дурацкая инициатива и регуляторы к этому не имеют никакого отношения.
нуб ещё больше учудил. Если возникнут проблемы, то СИД уже скомпроментирован и его переносить нельзя от слова ни в коем случае. На другом устройстве нужен новый СИД. Ты хоть вникай в суть написанного, Сид прийдется переносить, если устройство по каким либо причинам будет заблокировано, чтобы вывести монеты естественно на новый Сид. В отличии от многих, я в профилактических целях периодически меняю сиды и парольные фразы на всех своих кошельках, так как не строю никаких иллюзий об их неуязвимости, чтобы потом в порывах гнева не хвататься за молоток. Ты лучше объясни логику в своих действиях: зачем было аккуратно разбирать кошелек, чтобы потом молотком поразбивать чипы? Боишся, что Леджер доберется до твоего старого Сида? |
|
|
|
Вы уверены что на предыдущей прошивке невозможно было вытащить СИД при физическом доступе или онлайн? У меня нет сомнений, что производители и раньше при желании легко могли вытянуть СИД. Свобода закончилась, подождите 3 года и все известные кошельки или большая их часть будет с КИС.
А вот здесь не все так просто, кошельки по сути ничего не хранят, а лишь предоставляют услуги доступа к блокчейнам с помощью ваших личных приватных ключей, созданных из вашего СИД. Поэтому регуляторы ничего не могут с этим сделать, так как отсутствуют механизмы блокировки, вы всегда можете перенести свой СИД на другое устройство, если возникнут проблемы. То что учудил Леджер, со своей новой услугой на основании KYC, это их личная дурацкая инициатива и регуляторы к этому не имеют никакого отношения. |
|
|
|
Вот интересно понаблюдать за хамелеоном satscraper, который тут недавно расхваливал Леджер и и называл кошельки типа Keystone неудобными. А теперь в англоязычной ветке выкладывает фото как молотком разбивает свой Леджер и агитирует переходить на Passport2. Хочется спросить, не тяжело ли будет тягать по 30 раз в год через границу свой Passport2? И если вдруг прочитаете плохие новости про Passport, то не бейте сразу по нему молотком, научитесь контролировать свои эмоции, оставьте его хотябы на память. |
|
|
|
Ситуация с леждером конечно неожиданная, я знал что они собирают данные пользователей, но эта ситуация с разделением сид фразы по разным компаниям это ни в какие рамки не помещается. Но я скажу так, что пользователи могут на это отреагировать вяло, по крайней мере пока не будет очередной утечки данных, которая кстати у леджера уже случалась. Только если на этот раз утекут сид фразы то это будет катастрофа.
Суть аппаратного кошелька заключается в том, чтобы его сид или приватные ключи не при каких условиях не попадали за его пределы. Конечно я допускаю, что и некоторые другие производители аппаратных кошельков так же могут иметь доступ к вашим сид фразам внеся «коррективы» в свои прошивки, но только у французов хватило ума добровольно признаться в этом. |
|
|
|
Ledger введя новую услугу Ledger Recover, по сути подтвердил, что теперь может иметь доступ к вашей Сид фразе через новую прошивку 2.2.1. Теперь Ledger можно отнести к категории «горячие кошельки». |
|
|
|
Подскажите, пожалуйста, может ли боковое движение рынка быть связано с очень низким объемом торгов?
Тут как раз обратная зависимость: низкий объем торгов - следствие бокового движения на рынке. Как только манипуль начинает менять цену, сразу увеличивается биржевая активность. |
|
|
|
Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно.
Сколько тебе кнопок надо, три, пять, десять? Ну хотя бы такую виртуальную клавиатуру как в Trezor T или Keystone. И веди себя прилично, не “тыкай”. |
|
|
|
Не знаю почему Леджер сделал такое дизайнерское решение, но сохранять парольную фразу в памяти это очень плохая идея, потому что в таком случае она не сможет защитить вас от хакерской атаки. Парольная фраза не должна ассоциироваться с кошельком, она не должна вызывать ошибок при неправильном вводе и вводить ее нужно каждый раз для доступа к кошельку.
Здесь с Вами полностью соглашусь. Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно. Для тех, кто хочет часто использовать различные парольные фразы есть другие аппаратные кошельки, которые лучше под это заточены. [для меня важно, чтобы эти адреса не пересекались в будущем.
Не проморгать пересечение адресов из одного набора задача не из простых. Она требует суперсосредоточенности и супервнимательности от пользователя при их выборе и тут без пота не обойдётся. Не потея, ортогональности адресов, используемых в различных проектах, можно достичь если для каждого из проектов брать адреса из различнах наборов, которые создаются на кошельке Леджер одним из способов : - каждый набор создаётся из своего сида.(По мне это очень не удобно).
- каждый набор создаётся из одного и того же сида "усиленного" отличающимся дополнительным 25-словом. Слова мугут быть очень простыми для запоминания, например 01, 02, 03 и так далее(Очень удобно),
- каждый набор создаётся из одного и того же сида но соответствует отличающемуся от других наборов путём деривации. (Опасно, потому что можно легко забыть уникальный путь деривации, особенно когда их много)
Выбирайте что нравится. Если бы передо мною стояла такая же как у вас задача, то я бы вторую выбрал опцию. Все ваши советы для владельца кошелька Ledger не имеют никакого отношения. Неужели никакого. Остаётся только рассмеяться в ответ. У Вас задача набивать посты, или давать полезные советы людям, которые в них нуждаются? Если всё-таки второе и не знаете как грамотно сформировать свою мысль, то лучше промолчите - за умного сойдёте. Кроме того пользователь Witcher-sense в постах выше уже ответил пользователю Lannakosa как решить ее проблему с созданием различных аккаунтов. Вы же своими не уместными советами только вносите дополнительную путаницу. |
|
|
|
[для меня важно, чтобы эти адреса не пересекались в будущем.
Не проморгать пересечение адресов из одного набора задача не из простых. Она требует суперсосредоточенности и супервнимательности от пользователя при их выборе и тут без пота не обойдётся. Не потея, ортогональности адресов, используемых в различных проектах, можно достичь если для каждого из проектов брать адреса из различнах наборов, которые создаются на кошельке Леджер одним из способов : - каждый набор создаётся из своего сида.(По мне это очень не удобно).
- каждый набор создаётся из одного и того же сида "усиленного" отличающимся дополнительным 25-словом. Слова мугут быть очень простыми для запоминания, например 01, 02, 03 и так далее(Очень удобно),
- каждый набор создаётся из одного и того же сида но соответствует отличающемуся от других наборов путём деривации. (Опасно, потому что можно легко забыть уникальный путь деривации, особенно когда их много)
Выбирайте что нравится. Если бы передо мною стояла такая же как у вас задача, то я бы вторую выбрал опцию. Все ваши советы для владельца кошелька Ledger не имеют никакого отношения. 1. Использовать несколько SEED Ledger не может, сбрасывать его каждый раз в заводские установки, чтобы изменить SEED звучит как бред. 2. Ledger позволяет сохранить в памяти только одну парольную фразу (25 слово) или постоянно вводить временную, что делать в нем крайне не удобно. 3. Зачем изменять пути деривации, тем более не подготовленному человеку, если ему для его целей достаточно создать дополнительный аккаунт в том же Ledger Live для получения различных платежей. По моему вы сильно перечитали теории, которая к данному случаю имеет мало отношения. |
|
|
|
Ledger, крупнейший производитель аппаратных кошельков, завершил раунд финансирования в размере 100 миллионов евро при оценке в 1,3 миллиарда евро. Ledger утверждает, что в настоящее время в нем хранится более 20% мировых криптовалют и 30% мировых NFT. Инвесторами являются True Global Ventures, Cité Gestion SPV, Digital Finance Group и VaynerFund. Вот, кстати, интересно наблюдать централизацию совсем с другого ракурса. Про централизованные и децентрализованные криптовалюты мы уже слышали много. Про централизацию ходлеров тоже можно сказать определенно: они фокусируются на самом консервативном активе и сливают другие на рынке. Про централизацию активов на биржах и кастодиальных сервисах и об опасностях такого хранения можно судить по многочисленным взломам и сливам данных клиентов. Это тоже все понятно. Но централизацию в плане кошельков еще только предстоит увидеть и Леджер будет одним из лидеров по количеству активных пользователей. Какие последствия можно ожидать? Слив данных мы уже видели, но чем больше пользователей, тем больше соблазн их хакнуть и слить данные клиентов. Или у самой компании есть соблазн немного заработать на продаже личных данных. Но это не самое страшное. Если большинство пользователей используют один и тот же аппаратный кошелек для хранения криптовалют, то это превращается в удобный вектор атаки. Достаточно одного умного хакера, подменившего прошивку, или обиженного на начальство сотрудника Леджера, загрузившего вредоносные файлы, и мы получим самый грандиозный скам в истории, где сотни миллионов пользователей останутся ни с чем. Вы не правильно поняли то что написал Ledger. 20% мировых криптовалют, имелось ввиду разновидность монет, которые присутствуют в coinmarketcap. Тут Ledger действительно в лидерах среди поддерживаемых монет среди аппаратных кошельков. Не одна биржа находясь в здравом уме не будет использовать в качестве холодного хранилища Ledger. Так что если оценить капитализацию всех криптовалют то у Ledgera думаю и одного процента не наберется, которые они хранят на своих устройствах. Хотя точнее сказать не хранят а предоставляют доступ, так как по сути они ничего не хранят. |
|
|
|
|
