I discuss the whole content of that video in this thread: https://bitcointalk.org/index.php?topic=5090244.msg48978949#msg48978949It is in spanish, but if there is some interest I could translate it. TLDR: All those potential attack vectors requiere physical access to the device among other things. And even if all requirements would be met (which is already enough negligence on the user part) there are also additional countermeasures for additional security (ie. passphrase). No all. Yes... if you are referring to the RF side-channel attack it also requires physical access to exploit. Please read my post in the thread above and you will see what I mean. |
|
|
|
^^
stealing the paper or the device is the same just a very littke of weight difference
The difference is, if you steal my TREZOR, you ain't getting my coins... You need both my TREZOR and what's in my brain to get to my coins. But if you steal Jimbo's paper wallets, you already have his coins... If you are using a passphrase in addition to the Trezor then yes, no matter if they have physical access and dump the seed + PIN which is the most they could get. Extracting the seed from a Ledger would be WAY harder as it never leaves the secure element once it is set. |
|
|
|
Proof of keys? I control my own keys thank you.
Trusted third parties? Isn't that an oxymoron?
I haven't had any coins on an exchange since MtGox. Luckily that mistake only cost me 50BTC. Never again.
Closest thing I have to a trusted third party is my Trezor which I somehow got talked into using against my better judgment. Luckily I only have 5BTC on it. I stopped using it last year after having it for less than half a year.
Obviously cold ("paper" wallet) storage is much more secure. Only I have control over the keys and they're never exposed to the internet except when I sweep a wallet into Mycelium to transfer coins and that's only small amounts for short periods of time.
This is why it's good to spread your stash between dozens or hundreds of small wallets. My biggest single wallet has a little over 30 coins in it (from pulling out what I had at Cavirtex after being Goxed) but I'm almost scared to sweep it to split it into smaller wallets because that would entail risking that many coins at once by exposing them to the internet.
I suppose I should empty my Trezor on Genesis Block Day as a way to assert ownership of my keys instead of trusting Trezor. Then again why wait until Jan. 3?
Jimbo, rest assured. With a TREZOR, you control the keys. Your seed words are the keys. It's just a different form of storage. On paper, you are storing them using ink. With a TREZOR, they are just electrons in a FLASH memory chip. They are both stored locally. No one else but you has control over them. And TREZOR has the added bonus of protecting your keys in case it's stolen (can't easily read those electrons unless you have the PIN). If your paper wallet gets stolen, your coins are gone (they're just a QR code sweep away)... Yes, if trezor is as secure as advertised. Do we know this? This is how much we know: https://www.youtube.com/watch?v=Y1OBIGslgGMBasically: The seed and PIN (sic!) can be extracted from a Trezor device. Not simply, but it is doable. But... If you put a passphrase on the seed, the hacker can do shit... I discuss the whole content of that video in this thread: https://bitcointalk.org/index.php?topic=5090244.msg48978949#msg48978949It is in spanish, but if there is some interest I could translate it. TLDR: All those potential attack vectors requiere physical access to the device among other things. And even if all requirements would be met (which is already enough negligence on the user part) there are also additional countermeasures for additional security (ie. passphrase). |
|
|
|
<…>
Estoy de acuerdo en que la sensación que deja es un tanto alarmista, pero claro, ese es el contexto de su ponencia en el congreso, y se ha de mitigar con una dosis de realismo operativo para otorgarle el mérito (“no pun intended”) en su justa medida. Me sorprendió un tanto que parte de sus hallazgos los publicasen a modo de software que puedes bajarte para intentar trastear por tu cuenta. No es que no puedan, pero una cosa es resaltar posibles vulnerabilidades, y otra dar un punto de partida para hackers no tan “éticos”. En fin, entiendo que las compañías implicadas toman nota de todo esto y, de haber que realmente constituya un riesgo operativo real, tomarán las medidas oportunas. En todo caso, diría que hoy por hoy el riesgo mayor para wallets físicos está en la creación de falsificaciones prácticamente perfectas, vendidas a través de sitios no oficiales, y que pueden perfectamente tener una semilla generada conocida para los creadores del invento. He leído sobre casos de falsificaciones del Trezor One, si bien aún no he visto datos acerca de la dimensión del problema y su impacto. Yo sigo fiel a mi Ledger Nano S, al cual le he comprado una pareja para emular la creación de la oveja Dolly (clonarlos entre sí - con la misma semilla). No es porque sea necesario (en absoluto), sino por curiosidad y porque me apetece. Ese es el contexto hasta cierto punto.... En los congresos de seguridad informática es costumbre desde hace años usar títulos completamente absurdos que apenas dejan entrever cuál es el contenido real de la ponencia. Esto se hace por varias razones, principalmente para evitar el plagio y también... sinceramente... para poder presentar la misma ponencia en diferentes eventos. Algo que no está permitido en casi ninguno (requisito de originalidad/exclusividad), pero esto es lo que hay y se hace mucho. Todos lo saben, se trata sólo de que no sea demasiado evidente. Pero una cosa es poner un título "imaginativo" y otra muy diferente meter algo tan alarmista como "WALLET.FAIL". Tanto "hype" para tan poca "nuez" posiblemente lo acaben pagando en sus próximas charlas. Pero si es que los tíos hasta se han montando una web: https://wallet.fail/Que no, que no, que a mí esto me huele a querer mezclar seguridad informática con el tema de moda "blockchain" para subirse al carro. /end rant En cuanto a publicar el código... es que no es verdaderamente explotable en circunstancias normales. No hay ningún impacto perjudicial y por tanto no puede haber denuncia. Bueno puede haberla, pero no iría a ninguna parte. Que puedes modificar el firmware de un microcontrolador estándar? Pues claro... y si estuviera protegido contra escritura tampoco importa, lo sustituyes por otro virgen y ya está. Sí eso que mencionas es uno de los potenciales vectores de ataque que me preocupan. Pero es que incluso en el caso de un dispositivo completamente original... puede fallar la generación de la seed de forma que resulte predecible/crackeable? Pues quiero creer que no... primero porque el código de generación está disponible para revisión y en el caso del Ledger porque además entiendo que el elemento seguro que es el que se encarga de la randomización está sometido a unos estándares. En cualquier caso: - Uno podría configurar el hardware wallet con una seed generada o modificada por uno mismo... o usarla en combinación con una password adicional. - Hasta la fecha no se conoce ningún caso en que a nadie le hayan sacado su seed y se supone que si existiera algún defecto en la generación de la semilla no sería tan grave como para sacarlos todos a la vez, sino que habría una parte de "guessing" y a medida que cayeran las primeras wallets se haría público el problema con tiempo de mover los fondos para la mayoría. Sobre las falsificaciones de Trezor... sí, parece que es cierto que existen.... pero alguien ha perdido algo? En cualquier caso, tengo muy claro que mis hardware wallets los pido directamente a la empresa matriz. Hay una preocupación que sí tengo y que a ver si un día me acuerdo de consultarla con los desarrolladores... A ver como lo explico: - Imagina un hardware wallet, trezor o ledger da igual, original y todo ok. - Software wallet del ordenador comprometido - Cuando el usuario vaya a hacer una transacción el software wallet coge la tx y modifica la change address por una del "atacante". Obviamente en el display todo estaría ok, ya que la dirección de destino es la que uno quería... Pero la change address no se muestra. Ira todo el remanente al atacante o el propio hardware wallet verifica que la change address pertenece a la HD que se está utilizando y se negaría a firmar la tx maliciosa? Esto me gustaría saberlo, pues aquí sí que podría vulnerarse completamente toda la seguridad del hardware wallet simplemente comprometiendo la seguridad del PC al que se conecte. A ver si me acuerdo de consultarlo..... un día de estos. |
|
|
|
I have a question from some external Bitcointalk people, but they are interested in Bitcoin (this is good):
What solution is there in an exponential adoption of Bitcoin if the number of payments / transactions increases exponentially?
It would depend on the timeline. If it was an exponential rise incredibly fast.... well, here is one of the reasons why I am a fan of L2/LN. But even in that case.... and many people won't like my answer: Third party LN wallets. Yes, what I mean is not everybody running their LN wallet.... I mean that if the rise of adoption were so huge and fast it would probably be "trusted" third parties offering wallets (similar of having some coins on a exchange) with many well funded open LN channels to act as a proxy for you. They would act in a similar way as a bank does.... but instead of controlling the majority of your funds it would only be a small pocket change amount you would think enough for your daily/weekly spendings. Of course your coins on that site would just be an OIU but they won't need to constantly open and close channels to other major parties bloating the blockchain. That way the amount of blockchain tx's won't be as much impacted. Your main stash would remain under the control of your keys, on the blockchain. Of course I want to believe that in that situation there would be some consensus to also REASONABLY rise the block size limit as needed. But, in any case, in the scenario you are describing, it would be needed to divert a majority of tx's (the popular "coofee" and "pocket change" tx's) via L2 and maybe even through L2 "proxies" (third party L2 online wallets). |
|
|
|
Is this article correct?
I would have thought that you could carry forward capital losses to offset against future capital gains without being subject to a $3000 cap.
It depends on the country. There are limits on: - How much you can compensate each year - How many years do you have to compensate the remaining. - Against what can be compensated and against what it can't. - etc And also requirements like: - How many time it has to pass between the sell and the re-buy or you can't compensate anything. - etc It also changes if you are an individual person, a person acting as a business, or a corporate, etc... etc etc...... #DYOR #AskYourLocalFinancialExpert This post does not constitute financial advise blah blah blah |
|
|
|
Hola Kimet, En primer lugar tengo que reconocer que le puse un poco de humor a mi review (sobre todo en el cierre del post) que entiendo que a ti como protagonista del mismo pudiera haberte resultado molesto. De ser así te pido disculpas ya que no era mi intención pues no tengo motivo alguno. Eso sí, teniendo en cuenta que no te conocía ni tampoco la historia que se cuenta, en todo momento soy transparente y sincero en el relato de las impresiones que me produjo la visualización del vídeo. Como ejemplo, lo de la duración que como dices es (objetivamente) algo menor, pero no fue esa mi impresión subjetiva en el momento de escribir el post. Lo que hice fue visualizar el vídeo y luego reflejar mis impresiones (no la "realidad" porque entre otras cosas la desconozco), que obviamente es sólo eso, una impresión particular mía. En cuanto a lo de la cuantía, es cierto que digo que "no se menciona" cuando es verdad que (y hablo de memoria) en algún momento te refieres a un número de Bitcoins y una cantidad cercana a los 800.000€ de valoración. Luego SÍ que se menciona, pero me parece recordar que en otros momentos del vídeo se mencionan también otras cifras que otras personas alegan en un artículo de prensa creo. Y además tampoco queda claro qué parte de esos 800.000 eran tuyos personalmente o de terceros... eso creo que sí que no se menciona en absoluto. Acepto la precisión/corrección, aunque de todas formas entiendo que es lo de menos.... Mayor o menor, hablamos de una cantidad relativamente importante perteneciente a otras personas (reconocido por ti). El tema de la estafa sufrida en Grecia y aunque no lo pongo en mi post, tengo que añadir que no me quedó claro en absoluto en qué consistió. Si no recuerdo mal (y ten en cuenta que yo me he limitado a visualizar el vídeo en una sola ocasión, no a estudiarlo y mucho menos a "vivirlo" como es tu caso) se mezcla un poco el tema de los cajeros, el corralito y se menciona también el tema de Alexander Vinnik... pero sin que se entienda porqué ni de qué manera concreta se produjo esa estafa... ni qué tiene que ver aquí lo de Alexander Vinnik. Es que hasta parece metido con calzador.... Sobre la difamación, el problema es que esos vídeos ya no están disponibles o, al menos, yo no he podido verlos. De hecho comento en mi post que me habría gustado hacerlo y conocer la otra versión para intentar ver cual me resulta más coherente y fundamentada así como contrastar ambos. Entiendo el motivo del vídeo y también, por diversas circunstancias personales y profesionales, la tremenda problemática y y angustia que supone verse inmerso en un procedimiento judicial. Y eso es así tanto para una parte como para la otra... aunque quizás la acusación siempre tiene que emplear más esfuerzo y dedicación. Además si realmente temes por tu integridad física o la de tu familia es posible que hayas hecho bien en hacerlo público (siempre con el conocimiento y aprobación de tu abogado). Interesante la aclaración que haces sobre que no has recibido ninguna demanda de los afectados. Sorprendente que no reclamen su dinero la verdad. O es que habéis llegado a algún tipo de acuerdo de reconocimiento de deuda o similar... porque me cuesta entender que dejen de ejercitar su derecho con el peligro de prescripción dado el tiempo transcurrido. No "normalizo" un secuestro, eso por descontado. Sí comento y mantengo que es una reacción humana PREVISIBLE que a veces se lleven a cabo actos desesperados ante situaciones excepcionales. Hay quien no hace nada y quien hace cosas mucho peores. Eso es así, sin necesidad de entrar a valorar (y de hecho no lo hago) si está bien o mal desde un punto de vista moral. Legalmente no hay ninguna duda: Es ilegal y tiene y debe tener consecuencias. Pero, eso sí, dada la gravedad del delito, hay que probarlo de forma clara y contundente. Sobre lo de las pruebas, es que al principio del vídeo se dice que se verán al final. El problema es que lo que se ve al final es muy interpretable. Las PRUEBAS, en un juicio, no deben ser interpretables, deben ser lo más rotundas posibles. Por ejemplo, y esto no lo digo en mi post porque tampoco pretendía hacer un análisis profundo.. .. pero probablemente te vas a encontrar con que la otra parte va a apoyarse en esas mismas fotografías que adjuntas del bar para decir algo así como esto: - Cómo se va a tratar de un secuestro cuando estamos en un local público, hablando relajadamente, él mismo nos enseña el ordenador y el móvil sin que medie coacción alguna, etc. - No pidió ayuda a nadie en ese local público? - En qué clase de secuestro se le deja al secuestrado ir en su coche, entrar en un servicio sólo en una gasolinera, llevando su móvil, etc etc..... Me entiendes por dónde voy? Esto sí es importante y ese es el núcleo de mi "crítica": Que al final, con ese vídeo/fotos e incluso la misma narración, NO PRUEBAS tu versión, sino que más bien abres la puerta a muchas dudas. Con respecto a los whatsapp no es que no les de veracidad... entiendo que se habrán aportado con su respectiva pericial informático forense tras extracción con cellebrite o similar. Hablo del contenido, que no veo dónde se reconoce ningún secuestro. Osea que pueden ser aceptados como veraces... pero sin llegar a PROBAR lo que tú pretendes. Se me ha podido pasar algo por una sola visualización? Puede.... pero si crees que yo he sido duro en mi escepticismo (y posiblemente lo he sido) con respecto a las evidencias espérate al juicio que ahí es donde van a intentar agarrarse hasta en lo más ridículo que se te pueda ocurrir. Y, créeme, de ese tema entiendo un poco. Eso sí, igual que te digo eso también te digo que una cosa que pesa mucho en un penal son los atestados y diligencias de los funcionarios. Si la guardia civil dice que hubo secuestro ahí ya llevas una muy buena a tu favor..... aunque la defensa siempre "juega en casa", ojo. Ya te digo, mi crítica no es para nada personal sino sobre el contenido del vídeo. Por otro lado a mí no tienes porqué darme ninguna explicación, eso que conste. Yo me he limitado a comentar una primera impresión personal de un vídeo que tú has querido hacer público, eso es todo. En cualquier caso, ojalá todo se resuelva de la forma más justa posible y el año próximo sea mucho mejor que todos los anteriores!  Un saludo! |
|
|
|
Muy buena explicación Ddmrddmd! Acabo de ver el vídeo completo: https://www.youtube.com/watch?time_continue=91&v=Y1OBIGslgGMA ver... como ya se sospechaba, hay más de buscar un título llamativo y alarmista que de "chicha". Ojo, la investigación está bien y como auditoría de seguridad sobre el dispositivo es bastante completa, el problema es la "calificación" que se le da los resultados. Bueno, más bien la falta de calificación.... ya que no se menciona que ninguno de esos "fallos" puede considerarse realmente crítico en circunstancias normales y se da una impresión equivocada y alarmista. En primer lugar todos requieren de acceso físico al dispositivo. Esto es MUY importante resaltarlo. Por ejemplo el del bootloader del Ledger nano requiere que se programe el dispositivo de un modo especial y con un firmware modificado. Pero es que además este firmware no va a tener acceso a la semilla ya que en el caso del Ledger esta se encuentra en el elemento seguro que es el que se encarga de firmar lo que se le pida. Vale, el firmware podría decirle al microcontrolador que firme cualquier cosa (sin necesidad de presionar ningún botón) o mostrar información falsa en el display..... muy bien, pero aquí también tendría que "colaborar" la parte software del wallet que corre en el ordenador/móvil y para ello también tendría que estar comprometido si se pretende que dicha transacción se transmita a la red. Así que ya se va complicando la cosa, no? Y como ya se ha dicho tendría que darse alguna de las siguientes condiciones: - Que se tenga acceso físico al hardware wallet <- Esto no debería permitirse - Que venga ya con ese firmware malicioso <- Casi con toda seguridad lo detectaría la parte software que corre en el ordenador... aparte de que es buena práctica actualizar el firmware antes de utilizar el dispositivo por primera vez. Conclusión: Prácticamente imposible que se den todas las condiciones para que pueda explotarse la "vulnerabilidad" con éxito y varias de ellas las calificaría como negligencia por parte del usuario. Ahora vamos con la del Trezor... Esta es más "grave" aunque, por supuesto, vuelve a requerir acceso físico. Aquí de lo que se trata es de extraer la seed de la RAM del dispositivo. Osea, con posterioridad a que el usuario ya lo tenga configurado. A mi siempre me ha parecido mucho más segura la arquitectura del Ledger por la integración del elemento seguro, precisamente por cosas como esta. El trezor no lo tiene y, por tanto, el microcontrolador tiene acceso a todo. Teóricamente al reescribir el firmware debería borrarse la memoria en la que se encuentra la semilla, pero consiguen saltárselo. Conclusion pueden hacer un volcado de la memoria y extraer tanto la semilla como el PIN. - Es chula la demo? Sí. - Sorprende? No mucho. - Es grave? Pues a ver, si alguien con los recursos suficientes te quita el Trezor y le da tiempo de volcar la semilla y vaciarte el wallet antes de que te des cuenta y lo pases todo a otro sitio, date por jodido. - Se puede evitar? Sí, en primer lugar no dejes que nadie tenga acceso físico a tu Trezor. O al menos nadie que no sea de confianza (esto ya es relativo). - Pufff, no puede ser... Yo es que vivo en una comuna hippy y lo compartimos todo con todos... Ya... pero los bitcoins no, ehh? Bueno, no te preocupes, perroflauta. Para ti tenemos también la posibilidad de utilizar, además de la semilla, una password adicional sin la cual da igual quien tenga acceso a tu wallet ni aunque se sepa el pin, ya que esta no se queda en la memoria persistente. Es un poco coñazo porque tienes que introducirla cada vez que conectas el dispositivo, pero como tú tienes tiempo de sobra no hay problema. Hala, solucionado! Ahora vamos con la del Ledger Blue. Aquí lo que hacen es lo que se suele llamar un ataque side-channel en este caso por RF. Eso sí, a una distancia de un par de metros poco más o menos. La mayoría de dispositivos son de un modo u otro (y con mayor o menor impacto) vulnerables a esto, que conste. En pocas palabras, al pulsar en el teclado táctil los números del PIN se "escapa" una pequeña señal electromagnética que, convenientemente procesada y decodificada, se puede convertir a posiciones en la matriz de la pantalla y estas, a su vez, en los dígitos de la clave. - Es chula la demo? Meh. La parte de la integración con AI para procesar la señal... sí, mucho. - Sorprende? No, esto es muy viejo y difícil de evitar. - Es grave? Pues a ver, si tienes a alguien a pocos metros de ti que pueda recibir y capturar la señal mientras estás metiendo el PIN.... Pues posiblemente pueda sacarlo, sí. Ah! Se me ha olvidado decirte que para no ponérselo muy difícil al colega que tienes al lado, sería conveniente que cuando introduzcas el pin intentes mantener el dispositivo en la misma posición y no acerques/muevas mucho la mano para no interferir en la señal. Si además puedes hacerlo con el dispositivo sobre una mesa y usando un puntero en vez de tu dedo mucho mejor. ... Ahora ya sólo falta que aproveche cualquier ocasión para quitarte el Blue y como se sabe el pin te lo deje vacío... si no te das cuenta antes y mueves tus coins a otra parte, claro - Ostia, me has acojonado! No se puede evitar?! Vamos a ver, perroflauta, ya no te acuerdas de lo que te conté antes sobre la password adicional?!  - Pero pero... y si la password adicional también se pudiera sniffar? Qué? Eh?! Hmmmm, ahora sí que me los has tocado, amigo perroflauta. Mira, si te vas a poner así de paranoico, déjate de mariconadas complejas y con lucecitas y cómprate un jodido Ledger nano S. Keep it simple. Creo que esos eran todos los casos que se presentaban... y en cualquier caso ya me he pasado con el ladrillaco, pero es que una cosa que me fastidia mucho es que aún hay gente que no se fía de los hardware wallet... Y hacen bien!! Pero es que luego lo que usan es un software wallet a pelo en su ordenador personal! WTF?! O te cuentan que...: "No, yo es que de lo único que me fio es de las paperwallets...".... Vale, y como las generas? Y luego cuando las uses como lo vas a hacer? Porque como me digas que metiéndolas directamente en un software wallet a pelo o escaneándolas con el móvil me vuelvo a cabrear, eh? Dicho esto, que conste que nadie puede garantizar que los hardware wallets sean perfectos y, además, los hay mejores y peores. La seguridad TOTAL es un mito. No existe. Pero hay soluciones (y procedimientos) más seguras que otras... #DYOR P.S.: Hay otro tipo de *potenciales* vectores de ataque que no se mencionan en este estudio y que sí podrían preocuparme un poco más. Pero vamos, que tampoco pierdo el sueño. |
|
|
|
So who's been prepping for Proof of Keys?
What are you on about? What have i missed over the holidays? Don't overthink it. Just sent me your private keys and I will send you a "Proof of Keys" certificate. Hurry up! Time is ticking! Sure no problem here are my seed words 1. Dick 2.Butt 3.Lube 4.R0ach 5.secretly 6.Jewish 7.Never 8.Gonna 9.Give 10.You 11.Up 12.hodl Only 12 words seed? That is so insecure! Oooops! See? I told ya. It's gone now. |
|
|
|
|
Hey Majormax, it seems that you have HUGE direct/personal experience with this subject. Maybe you could consider sharing it in a series of posts (over the time) about each one of them?
It would be *VERY* interesting for sure.
|
|
|
|
Anyone in the same situation claimed those last minute fiat deposits not reflected in the balance? Was your claim approved or rejected? Would like to know.
Hey, at least you're not this guy - https://bitcointalk.org/index.php?topic=178336.msg5264331#msg5264331There's risk, and then there's... I'm not totally sure if there's a word for this particular example. I remember the brewing disbelief at the time and more than a few people claiming it was 'too big to fail'. If only. Yeah, I had heard about TheKoziTwo doing that lol No, IIRC in the end I only sent like $800 (which could have bought me another 5 or 6 BTC). Considered sending (not much) more but finally decided to go for an amount I could perfectly (a bit annoying as each and every lost) see gone. I saw an "opportunity" and tried to catch it. Who knows maybe for the TheKoziTwo that amount was the equivalent of the $800 for me. I still think it was a reasonable bet to make with the information I had at that moment. Sometimes you win, sometimes you lose. P.S.: Did TheKoziTwo had his claim approved? Considering the amount I am sure he at least claimed and fight for it to be recognised. P.S.2: I see it was an OkPay transfer so maybe: - He could claim it to OkPay. - or it was reflected in MtGox balance, in which case he will probably recover the full ammount plus a nice yearly 6% interest (over five fucking years!) - or maybe he even had time to buy BTC at those lower prices and even at 20-25% he made a good chunk. So maybe in this case "being that guy" is not that bad in the end  |
|
|
|
So who's been prepping for Proof of Keys?
What are you on about? What have i missed over the holidays? Don't overthink it. Just sent me your private keys and I will send you a "Proof of Keys" certificate. Hurry up! Time is ticking! |
|
|
|
Recruitment ads showing up when bitcoiners watch youtube videos (without adblockers wtf?) "you're sharp, quick to notice what others don't notice at all, complex situations challenge you, you find information that no one knew existed in places no one thought to look, but this isn't enough for you, you need to make sure it [not sure what that refers to] happens, to lead. we know, that's what you're like. starting tomorrow you can accomplish more with this [these skills]. much more! the mossad is recruiting" "you've got it all, intelligence, talent, charisma, and charm. when they tell you something is impossible, you make it possible [transliteration, "the most possible", which is slang]. want to get further with this [again, these attributes]? so let's talk about fascinating places, meetings after which everything will appear to have changed, about people who think they know when in actuality they didn't know at all. interesting, isn't it? the mossad is recruiting" https://www.youtube.com/watch?v=DaETj2sbc7ohttps://www.youtube.com/watch?v=1J_KfRWtj8onext year in Jersulaem any one? Do they check your peepee before actually hiring you? They already know we are all a bunch of alcoholics or worse. No need to prove that expertise. |
|
|
|
|
Nice thread VB1001.
It will be very interesting to know more about those hacks coming from users directly or indirectly affected.
While not exactly a hack... I got affected by the MtGOX one. I say it was not exactly a hack because it was a combination of negligence and several different incidents along many years, being negligence probably the main factor.
Five years later, I am waiting to recover some from the civil rehabilitation. It is estimated that it will be around 20-25% of my bitcoins.
The reasons I considered it was worth the risk to use Mtgox are the following:
- I was a very high frequency day trader at that time that took advantage of the violent volatility of that times and the delay (a few seconds) in the "propagation" between different exchanges.
- I had almost all of my BTC on exchanges because I was trading with it all. Didn't really had that much anyways.
- I considered having it all on a single exchange was too high of a risk (true) so instead of having it all on Bitstamp I had an almost equal amount on Mtgox too.
- I was of the idea that if something happened to Mtgox (being more or less the main exchange) Bitcoin would be so severely impacted that the less of the problem would be to lose my Bitcoins there. While that made some sense I probably overestimated the impact or underestimated the bitcoin capacity to recover from it.
So it is not that I didn't knew the risks... It's just that I considered at the time that it was a reasonable risk to assume.
When the exchange went belly up (but trading kept running with prices going really low) I even did a final bet and sent a deposit of fiat.
The "bet" was that if I could buy there at those extremely low prices it would compensate the possible loss and otherwise I could probably recover that fiat because it would be a fraud to touch it if the exchange was already bankrupt.
It seemed to me it was a reasonable asymmetrical bet to do.
The problem is that it was just a couple of days before MtGOX stopped trading altogether so my transfer was never reflected in my balance.
I could never rescue the transfer. I didn't even claim it from the bankruptcy trustee because I thought, not being reflected in the balance, it could lower the chance of my main claim (the bitcoins) to be approved.
It's a pity because in the end I could have probably recovered the full fiat amount plus interests.
Now I think I maybe should have claimed it... but probably it wouldn't have been approved anyways... So it is not a big regret.
The claim over my BTC balance was approved.
Anyone in the same situation claimed those last minute fiat deposits not reflected in the balance? Was your claim approved or rejected? Would like to know.
Nowadays my trading activity has been greatly reduced and I only have around 10% of my total stash in exchanges. All the rest is in a combination of hardware wallets.
|
|
|
|
He makes a good point  Great, maybe go invent one and leave the blockchain industry for good. Win-Win. |
|
|
|
We've had this discussion already, haven't we.
::sigh:: Indeed, we have. Yet you continue to re-engage. You don't have any right to defend any bcash bashing here. This thread is bitcoin, not bcash, so stop trying to assert that you are on equal grounds when you continue to support a bitcoin attack vector. Luv ya, JJG. Now fuck right off. Hey Jbear I got a great deal for you (limited time offer). If you swap all of your remaining Bitcoin for SV you will immediately get a 45x return. And that’s not all, you will have the satisfaction of devoting your financial resources to the network that represents Satoshi’s Vision TM. How amazing is that? It would be the strongest endorsement you could give, and an opportunity to show us minimalists the way. Go on, lead by example ! I am sure he will, I mean he is a man of principle. Never let your principles ruin you, or you will end without money nor principles. |
|
|
|
arriving @holland my friends place.... ready for session 2
common Micg be little bit more lucky as last time
Rekt them all Mic! |
|
|
|
Parece que lo que creíamos que era lo mas seguro para resgurdar nuestros bitcoins resultó no ser así , la gente de Wallet.Fail ( https://wallet.fail/ ) acaba de hacer un livestream de cómo hackearon un Trezor y un Ledger Nano S. De su pagina comparto lo siguiente : "...veremos cómo romper las billeteras de hardware de criptomoneda más populares. Descubriremos las vulnerabilidades de arquitectura, física, hardware, software y firmware que encontramos, incluidos los problemas que podrían permitirle a un atacante malicioso obtener acceso a los fondos de la billetera. Los ataques que realizamos contra las billeteras de hardware van desde romper la protección patentada del gestor de arranque, hasta romper las interfaces web utilizadas para interactuar con las billeteras, hasta ataques físicos que incluyen fallas para evitar la seguridad implementada en los microcontroladores de la billetera." Por lo que estaba viendo en el live stream ellos muestran como remotamente firman una transaccion sin tener acceso al Ledger , una cosa de locos!
https://twitter.com/5chdn/status/1078331739263643648
Ojalá estas cosas solo sirvan para que tanto Ledger como Trezor hagan los parches necesarios para evitar estas vulnerabilidades. Conclusión : La forma mas segura es el clasico papelito con la wallet escrita y sin dejar ningun rastro en la web. Tampoco exageremos el "problema". Lo que sale en ese vídeo es un Ledger al que se le ha añadido un switch controlado por RF (433MHZ) que al activarse es como si se presionase el el botón físicamente, aceptando la transacción. A que ya no es para tanto? |
|
|
|
the engine on water invented long ago, but the fuel companys always destroy such inventions, so as not to lose power https://youtu.be/Jivb7lupDNUtherefore, a million old modems 56 for them is better than one novelty, the future for a gross increase of block size Oh no, no no no NO! Please don't do this... After Global Warming, we are now discussing Free Energy...  Carolina, where are you? Come save us pls!!! What myths will we discuss next? Cryogenics? Fusion generators? (oh wait!) Time travel? Bcash being the real Bitcoin? |
|
|
|
^ @Toxic2040 Yeah! That's what I meant, maybe with a more violent/deep handle/correction after $5K+. Well maybe not more deep or it wouldn't be handle... I know that (*) Would be sooo nice... It also seems that the chart is smiling if you pay attention lol (*) It could also end up being a W instead of a cup & handle though. |
|
|
|
|
Show Posts
