Electrum Portable (кастомные сборки для Bitcoin и форков)

[dzyk]

Привет. А как они это окно со ссылкой показывали?

[1713567441]

1713567441

[1713567441]

1713567441

[igor72]

Привет. А как они это окно со ссылкой показывали?

Привет. Электрум-сервер имеет функционал показывать пользователю сообщение об ошибке, вот хакер этим и воспользовался. А сервер может каждый сделать (или десятки серверов, как в данном случае).

[dzyk]

Понял. Спасибо. Видно что ссылка левая. Но кто на это смотрит. Увидел слово обновился и обновился. Да жаль. Нужен механизм автоматической проверки подписи при установке обновления

[Dobrii]

Огромное спасибо за работу, интернет кишит мошенниками поэтому вставлять ключ куда попало довольно опасно. И так вопрос на засыпку есть гарантии что средства никуда не денутся?

[cryptoman77777]

Огромное спасибо за работу, интернет кишит мошенниками поэтому вставлять ключ куда попало довольно опасно. И так вопрос на засыпку есть гарантии что средства никуда не денутся?

  Так гарантии сейчас никто ни в каком крипто проекте (кошельке) дать не может. Все на свой страх и риск(
 Если и правда приватные ключи и пароль в электруме никто не увидит , кроме владельца компа, то кое-какие гарантии есть)
 

[cryptoman77777]

Давно хотел спросить, а где можно прочитать про дополнения (если такие есть) в портативных версиях и надо ли их обновлять.

У меня сейчас версия 3.1.3, как поставил, так и не обновлялся. После этого уже вышло несколько обновлений.
Нужно ли обновиться или это не критично?

[igor72]

Актуальная версия 3.3.2, скачать можно здесь https://electrum.org/#download , изменения посмотреть здесь https://electrum.org/#download . Если у вас версия 3.1.3, и вас всё устраивает, то можете не обновляться пока - с тех пор никаких критических ошибок найдено не было. Но правильнее обновиться, я считаю.

[adonay72]

После последних багов, когда взломщики прямо в кошельке предлагали обновится и подставляли свою ссылку на левый кошель, вряд ли стоит просто без причин обновляться. Будет какой то релиз что новая версия кардинально что-то меняет, тогда можно зайти на официальный сайт (указан постом выше) и обновиться. А так, вряд ли стоит каждую версию устанавливать. Имхо!

[igor72]

После последних багов, когда взломщики прямо в кошельке предлагали обновится и подставляли свою ссылку на левый кошель, вряд ли стоит просто без причин обновляться. Будет какой то релиз что новая версия кардинально что-то меняет, тогда можно зайти на официальный сайт (указан постом выше) и обновиться. А так, вряд ли стоит каждую версию устанавливать. Имхо!

Раньше популярно было выражение: "это не баг, это фича". Так и здесь. Это документированная возможность - электрум-сервер имеет функцию выдавать сообщение электрум-клиенту. Злоумышленник насоздавал серверов (это доступно любому) и настроил выдачу сообщения о необходимости обновиться, скачав "обновление" по указанной в сообщении ссылке. Ссылка вела на скачку фейкового клиента, который в итоге опустошал адреса жертв. То есть это не взлом, это фишинг. Хитроумный фишинг, не банальный через почту, но все равно фишинг. Главные правило, чтобы не попасться на фишинг - не кликать непонятные ссылки на скачку, не устанавливать никакой софт из неизвестных источников (криптокошельков это особенно касается). Если бы все имели привычку проверять pgp-подпись скачиваемого софта, то таких случаев бы не было. Да хотя бы скачивали всегда только с electrum.org, и то хорошо было бы...
Кстати, сегодня видел сообщение от еще одного пострадавшего (подозреваю, русскоязычного), 22 битка... Ну этого я вообще не понимаю - держать такую сумму на горячем кошельке...

[chimk]

После последних багов, когда взломщики прямо в кошельке предлагали обновится и подставляли свою ссылку на левый кошель, вряд ли стоит просто без причин обновляться. Будет какой то релиз что новая версия кардинально что-то меняет, тогда можно зайти на официальный сайт (указан постом выше) и обновиться. А так, вряд ли стоит каждую версию устанавливать. Имхо!

Раньше популярно было выражение: "это не баг, это фича". Так и здесь. Это документированная возможность - электрум-сервер имеет функцию выдавать сообщение электрум-клиенту. Злоумышленник насоздавал серверов (это доступно любому) и настроил выдачу сообщения о необходимости обновиться, скачав "обновление" по указанной в сообщении ссылке. Ссылка вела на скачку фейкового клиента, который в итоге опустошал адреса жертв. То есть это не взлом, это фишинг. Хитроумный фишинг, не банальный через почту, но все равно фишинг. Главные правило, чтобы не попасться на фишинг - не кликать непонятные ссылки на скачку, не устанавливать никакой софт из неизвестных источников (криптокошельков это особенно касается). Если бы все имели привычку проверять pgp-подпись скачиваемого софта, то таких случаев бы не было. Да хотя бы скачивали всегда только с electrum.org, и то хорошо было бы...
Кстати, сегодня видел сообщение от еще одного пострадавшего (подозреваю, русскоязычного), 22 битка... Ну этого я вообще не понимаю - держать такую сумму на горячем кошельке...

а что можно додуматься скачивать электрум не с electrum.org? а вот насчет подписи разработчика это сложнее, не каждый справится, я при обновлении так и не смог выполнить всю процедуру сверки. Эта сложность обоснованна технически, почему нельзя обеспечить сверку в два клика?

[ValCher]

  Всем привет. У меня такой вопрос, (немного не в тему), в свете последних событий с Электрум : С другими десктопными кошельками ,,они,, могут такое же замутить ?
            Пример : есть кошелёк  Exodus , очень приятный на вид (( но, часто обновляется , причём обновляется и устанавливается прямо в кошельке (интерфэйсе) ,надо только нажать на ,,обновить,,, не видно, с какого сайта, откуда и т.п. обновляется.
                          Ну и ... ? Понятно , что трезор , леджер и прочие бумажные кошельки , но, не такие большие деньги , чтобы заморачиваться с холодными вариантами , но и потерять эти ,,копейки,, крайне нежелательно.
                             Что скажет уважаемое сообщество и Игорь , в частности ?

            Хотел ,,проверить подпись ,,  Скачал Электрум , установил Клеопатру , но как скачать файл с подписью ? когда кликаю на signature на сайте Электрум , мне в отдельной вкладке Яндекса высвечивает ,,текстовый файл,, много цифр и букв (( .

[igor72]

в свете последних событий с Электрум : С другими десктопными кошельками ,,они,, могут такое же замутить ?

Скорее всего нет. Тут надо понимать, что такое возможно только при условии, когда SPV-кошелек подключается к модифицированному серверу. Так как в электруме свой сервер к пулу серверов добавить может кто угодно, воспользоваться такой "уязвимостью" оказалось легко (уязвимость я взял в кавычки потому, что всё-таки здесь фишинг, социальная инженерия, а не взлом. Тот, кто всегда проверяет подпись файлов, на это попасться не мог). Кроме электрума SPV-кошельков с серверами волонтеров я не знаю.

            Пример : есть кошелёк  Exodus , очень приятный на вид (( но, часто обновляется , причём обновляется и устанавливается прямо в кошельке (интерфэйсе) ,надо только нажать на ,,обновить,,, не видно, с какого сайта, откуда и т.п. обновляется.

У Exodus, как и у многих, есть недостаток, который не компенсировать никакими плюсами - закрытый код. Закрытый код, конечно, имеет свой плюс - очень трудно в нем хакеру искать уязвимости. Но это плюс только в случае, если вы полностью доверяете разработчикам. А доверять разработчикам софта, управляющим приватными ключами очень нежелательно.

Ну и ... ? Понятно , что трезор , леджер и прочие бумажные кошельки , но, не такие большие деньги , чтобы заморачиваться с холодными вариантами , но и потерять эти ,,копейки,, крайне нежелательно.

Я считаю, что для биткоина Electrum - лучший SPV-кошелек, даже мог бы сказать, что намного лучше всех конкурентов. Скоро в нем и лайтнинг появится. А что касается уязвимостей - они везде могут случиться. Но если следовать всем правилам безопасности, то риск пострадать от них в электруме минимален.

[ValCher]

         Спасибо.  И всё таки ,(ради спортивного интереса) , где мне найти (скачать) файл portable.exe.asc  , чтобы проверить его  Клеопатрой ?

[igor72]

https://electrum.org/#download , рядом с каждым файлом есть ссылка (signature), чтобы скачать файл asc, кликните по ней  правой кнопкой мыши и выберите "Сохранить объект как...". Для вашего файла прямая ссылка https://download.electrum.org/3.3.3/electrum-3.3.3-portable.exe.asc
Кстати, если кто не знает, в версии 3.3.3 уязвимость, о которой мы тут говорили, устранена.

[ValCher]

   Понял. Спасибо.
   Всё. Проверил подпись Клеопатрой . Всё получилось . 
      Может мне в программисты переквалифицироваться ? 

[ValCher]

   Установил Electrum-3.3.4 .  Антивирус сильно ругался. Пришлось отключить.

[Efir]

А если забыл пароль от кошелька эфира, но остался приватключ, можно пароль восстановить?

[adamgud]

А если забыл пароль от кошелька эфира, но остался приватключ, можно пароль восстановить?

Здесь обсуждение кошелька Electrum. Но если вы о другом кошельке -эфирном, то да, в большинстве кошельков  - имея приватекей можно восстановить или напрямую зайти в кошель.

[corrado25]

Народ какая там комса в Електруме на вывод битка ?

[igor72]

Народ какая там комса в Електруме на вывод битка ?

Какую поставите, такая и будет ).