Bitcoin Forum
November 08, 2024, 02:23:40 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 3 [4] 5 »  All
  Print  
Author Topic: Ledger Nano S с рук  (Read 1492 times)
walletrecovery
Copper Member
Member
**
Offline Offline

Activity: 420
Merit: 29


View Profile WWW
May 30, 2020, 07:33:05 PM
 #61

Наверное, стоит задуматься над программой TrueCrypt, чтобы создать небольшой том, зашифровать
его и периодически записывать в него (на лету) всякие новые кошелечки, а пароль тупо запомнить.
В этом случае можно записать эти тома на множество разных носителей и почти ничего не бояться.
Не надо этого делать. Во-первых, хлопотно. Во-вторых, может быть небезопасно, если не учтете какой-то нюанс. В-третьих, смысла в этом нет - у вас есть 24 слова, из них в случае чего вы всегда сможете восстановить ключи любой монеты и без устройства (кстати, и любой другой сможет, так что берегите сид-фразу от посторонних глаз).
То есть сохраните надежно сид-фразу (не на компе(!), а на бумаге, металле итп., можно несколько копий), и больше ничего делать не нужно.

Один чудак сохранил свои приватные ключи на бумаге и свернув в трубочку, вложил записки в телескопические удочки,
в итоге потерял несколько кошельков, в каждом их которых было по 500 биткоинов. Так что тут не угадаешь, где и куда.

johhnyUA
Legendary
*
Offline Offline

Activity: 2436
Merit: 1849


Crypto for the Crypto Throne!


View Profile
June 01, 2020, 08:38:59 PM
 #62

Интересно послушать, что скажут те, кто тут
писали про то, что они купили эту штуку с рук, а через какое-то время их обчистили.
Они устанавливали новый Pin? Получали новые 24 слова или пользовались старыми?

Ахахах, комедия. Скажем так, довольно не разумно пользоваться уже сгенерированными 24мя словами. Но вот веришь или нет, таких историй, где люди просто пользовались старым сидом, тоже думаю найдется парочка.

Вообще, взломать аппаратники можно только если собственно заниматься низкоуровневым хакингом, или на уровне физической памяти устройства, или на уровне самого железа (когда что то подпаивается). Без таких штук единственное что приходит на ум, это подмена адреса отправки (так кстати ломали Леджер и Трезор) при отправке транзакции. Все, максимум что можно выжать с неинвазивных методов взлома.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
walletrecovery
Copper Member
Member
**
Offline Offline

Activity: 420
Merit: 29


View Profile WWW
June 01, 2020, 10:20:57 PM
 #63

Интересно послушать, что скажут те, кто тут
писали про то, что они купили эту штуку с рук, а через какое-то время их обчистили.
Они устанавливали новый Pin? Получали новые 24 слова или пользовались старыми?

Ахахах, комедия. Скажем так, довольно не разумно пользоваться уже сгенерированными 24мя словами. Но вот веришь или нет, таких историй, где люди просто пользовались старым сидом, тоже думаю найдется парочка.

Вообще, взломать аппаратники можно только если собственно заниматься низкоуровневым хакингом, или на уровне физической памяти устройства, или на уровне самого железа (когда что то подпаивается). Без таких штук единственное что приходит на ум, это подмена адреса отправки (так кстати ломали Леджер и Трезор) при отправке транзакции. Все, максимум что можно выжать с неинвазивных методов взлома.

Про "фирменную" подмену адреса я читал, когда адрес генерируется на платном сервисе, чтобы он начинался и заканчивался на те же символы, что и адрес регулярного пользователя. Я бы всё-таки рекомендовал присмотреться к open source программе TrueCrypt это очень удобная штуковина, в которой можно создать зашифрованный том (файл любого размера) и в него записать все свои кошельки и приватники, запаролить том и на этом успокоиться, записав множество копий этого тома (файла) на всякие флешки, винты, даже в облако, не опасаясь, что кто-то получит доступ к файлу и сможет его вскрыть. А вот такая штука, как Ledger и ему подобные, действительно привлекают внимание, так что ну его нафиг - дразнить гусей и других людей.

igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 02, 2020, 05:14:40 AM
 #64

Я бы всё-таки рекомендовал присмотреться к open source программе TrueCrypt это очень удобная штуковина, в которой можно создать зашифрованный том (файл любого размера) и в него записать все свои кошельки и приватники, запаролить том и на этом успокоиться, записав множество копий этого тома (файла) на всякие флешки, винты, даже в облако, не опасаясь, что кто-то получит доступ к файлу и сможет его вскрыть.
Программа эта хорошо известна, как и ее наследница Veracrypt. Есть и куча других программ для стойкого шифрования файлов, это не проблема. Вы, очевидно, не понимаете, зачем нужен аппаратный кошелек. Если бы задача была только в хранении ключей, то можно было бы их хранить хоть записанными на бумаге, хоть в зашифрованном файле. Но аппаратный кошелек выполняет еще одну важную функцию - подписывание транзакции в безопасной среде, здесь вам трукрипт не поможет, тут нужно отдельное офлайн-устройство.
Quote
А вот такая штука, как Ledger и ему подобные, действительно привлекают внимание, так что ну его нафиг - дразнить гусей и других людей.
Никто же не заставляет его выставлять напоказ, о своем трукрипт-контейнере вы ведь тоже не будете кричать на каждом углу, не так ли?

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
walletrecovery
Copper Member
Member
**
Offline Offline

Activity: 420
Merit: 29


View Profile WWW
June 02, 2020, 05:27:35 AM
 #65

Я бы всё-таки рекомендовал присмотреться к open source программе TrueCrypt это очень удобная штуковина, в которой можно создать зашифрованный том (файл любого размера) и в него записать все свои кошельки и приватники, запаролить том и на этом успокоиться, записав множество копий этого тома (файла) на всякие флешки, винты, даже в облако, не опасаясь, что кто-то получит доступ к файлу и сможет его вскрыть.
Программа эта хорошо известна, как и ее наследница Veracrypt. Есть и куча других программ для стойкого шифрования файлов, это не проблема. Вы, очевидно, не понимаете, зачем нужен аппаратный кошелек. Если бы задача была только в хранении ключей, то можно было бы их хранить хоть записанными на бумаге, хоть в зашифрованном файле. Но аппаратный кошелек выполняет еще одну важную функцию - подписывание транзакции в безопасной среде, здесь вам трукрипт не поможет, тут нужно отдельное офлайн-устройство.
Quote
А вот такая штука, как Ledger и ему подобные, действительно привлекают внимание, так что ну его нафиг - дразнить гусей и других людей.
Никто же не заставляет его выставлять напоказ, о своем трукрипт-контейнере вы ведь тоже не будете кричать на каждом углу, не так ли?

Кто-то тут писал, что производители аппаратных кошельков могут запросто подписать вашу транзакцию и без нажатия вами кнопок, лично я не доверяю, буду продавать свой девайс.

igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 02, 2020, 05:42:57 AM
 #66

Кто-то тут писал, что производители аппаратных кошельков могут запросто подписать вашу транзакцию и без нажатия вами кнопок
Для этого они должны оставить бэкдор в устройстве, что очень маловероятно.
Quote
Лично я не доверяю, буду продавать свой девайс.
Дело ваше. Кстати, если не доверяете, можно же и в мультиподписи леджер держать (я так и делаю для страховки). А так вы сознательно идете на ухудшение безопасности. Вы же переходите на горячий кошелек вместо условно-холодного Леджера, я правильно понял?

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
walletrecovery
Copper Member
Member
**
Offline Offline

Activity: 420
Merit: 29


View Profile WWW
June 02, 2020, 08:13:33 AM
 #67

Кто-то тут писал, что производители аппаратных кошельков могут запросто подписать вашу транзакцию и без нажатия вами кнопок
Для этого они должны оставить бэкдор в устройстве, что очень маловероятно.
Quote
Лично я не доверяю, буду продавать свой девайс.
Дело ваше. Кстати, если не доверяете, можно же и в мультиподписи леджер держать (я так и делаю для страховки). А так вы сознательно идете на ухудшение безопасности. Вы же переходите на горячий кошелек вместо условно-холодного Леджера, я правильно понял?

что такое "в мультиподписи"?
-проблема в том, что нельзя выгрузить приватные ключи из этого Ledger Nano S,
например для того, чтобы хранить дубли в зашифрованных томах, в этом вопрос.

igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 02, 2020, 08:27:56 AM
 #68

что такое "в мультиподписи"?
Мультиподписной кошелек. Транзакции подписываются несколькими ключами, одной подписи недостаточно. То есть даже если предположить, что производитель может подписать транзакцию ключами леджера, этого будет мало, нужно подписывать еще как минимум в одном кошельке, над которым у них нет контроля.
Quote
-проблема в том, что нельзя выгрузить приватные ключи из этого Ledger Nano S, например для того, чтобы хранить дубли в зашифрованных томах, в этом вопрос.
Получить ключи можно. Но не нужно, особенно для таких целей, как у вас. Эта возможность намеренно отсутствует в интерфейсе Ledger Live, чтобы неграмотные пользователи не компрометировали свои ключи.

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
walletrecovery
Copper Member
Member
**
Offline Offline

Activity: 420
Merit: 29


View Profile WWW
June 02, 2020, 09:45:24 AM
 #69

что такое "в мультиподписи"?
Мультиподписной кошелек. Транзакции подписываются несколькими ключами, одной подписи недостаточно. То есть даже если предположить, что производитель может подписать транзакцию ключами леджера, этого будет мало, нужно подписывать еще как минимум в одном кошельке, над которым у них нет контроля.
Quote
-проблема в том, что нельзя выгрузить приватные ключи из этого Ledger Nano S, например для того, чтобы хранить дубли в зашифрованных томах, в этом вопрос.
Получить ключи можно. Но не нужно, особенно для таких целей, как у вас. Эта возможность намеренно отсутствует в интерфейсе Ledger Live, чтобы неграмотные пользователи не компрометировали свои ключи.

И как настроить эти мультиподписи?
Всё равно это НЕ надёжно... Так как хочешь-нехочешь, а 24 слова НЕ запомнишь в голове,
придётся записывать где-то и это есть та самая лазейка, которой могут воспользоваться и
тут не помогут никакие аппаратные кнопки на устройстве... А вот пароль от шифрованного
тома можно придумать такой, что его не придётся нигде записывать, так что это аргумент.

igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 02, 2020, 10:00:45 AM
 #70

И как настроить эти мультиподписи?
Тема достаточно обширная, в двух словах не расскажешь. И вам это не нужно, как я понял, поэтому не буду тратить свое время. Материалы на форуме есть, в том числе и на русском.
Quote
Всё равно это НЕ надёжно...Так как хочешь-нехочешь, а 24 слова НЕ запомнишь в голове,
придётся записывать где-то и это есть та самая лазейка.
Без комментариев )).
Quote
А вот пароль от шифрованного тома можно придумать такой, что его не придётся нигде записывать, так что это аргумент.
Да ради бога, переубеждать больше не буду.

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
bakasabo
Legendary
*
Offline Offline

Activity: 2492
Merit: 1214



View Profile
June 02, 2020, 10:10:43 AM
 #71

Скажите, а какая обычно цена на пользованные аппаратные кошельки? Бегло глянул раздел барахолки - не нашел.

Просто интересно, стоит ли рисковать и так заморачиваться с покупкой и сбросом всего, если новый стоит всего 60 евро. Да и к тому же акции часто бывают (сейчас например можно купить 3 Ledger Nano S за 129 долларов, в то время как один стоит 59. скинулись троём и вообще дешево выходит) и есть альтернатива.

 
█▄
R


▀▀██████▄▄
████████████████
▀█████▀▀▀█████
████████▌███▐████
▄█████▄▄▄█████
████████████████
▄▄██████▀▀
LLBIT▀█ 
  TH#1 SOLANA CASINO  
████████████▄
▀▀██████▀▀███
██▄▄▀▀▄▄████
████████████
██████████
███▀████████
▄▄█████████
████████████
████████████
████████████
████████████
█████████████
████████████▀
████████████▄
▀▀▀▀▀▀▀██████
████████████
███████████
██▄█████████
████▄███████
████████████
█░▀▀████████
▀▀██████████
█████▄█████
████▀▄▀████
▄▄▄▄▄▄▄██████
████████████▀
........5,000+........
GAMES
 
......INSTANT......
WITHDRAWALS
..........HUGE..........
REWARDS
 
............VIP............
PROGRAM
 .
   PLAY NOW    
igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 02, 2020, 10:16:40 AM
 #72

Скажите, а какая обычно цена на пользованные аппаратные кошельки?
Где-то от 35$.

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
walletrecovery
Copper Member
Member
**
Offline Offline

Activity: 420
Merit: 29


View Profile WWW
June 03, 2020, 07:22:49 AM
 #73

Скажите, а какая обычно цена на пользованные аппаратные кошельки? Бегло глянул раздел барахолки - не нашел.

Просто интересно, стоит ли рисковать и так заморачиваться с покупкой и сбросом всего, если новый стоит всего 60 евро. Да и к тому же акции часто бывают (сейчас например можно купить 3 Ledger Nano S за 129 долларов, в то время как один стоит 59. скинулись троём и вообще дешево выходит) и есть альтернатива.

Лично я не вижу смысла в этой коробочке, кто хочет блатовать и светить богатством, милости прошу к нашему шалашу, могу продать свой девайс. Фотографии выше все видели, но за 35$ не отдам, а за 50$ вполне соглашусь + за пересылку по стране CDEK возьмет еще 5$ так что подумайте :-)

johhnyUA
Legendary
*
Offline Offline

Activity: 2436
Merit: 1849


Crypto for the Crypto Throne!


View Profile
June 04, 2020, 11:01:07 PM
 #74

Про "фирменную" подмену адреса я читал, когда адрес генерируется на платном сервисе, чтобы он начинался и заканчивался на те же символы, что и адрес регулярного пользователя. Я бы всё-таки рекомендовал присмотреться к open source программе TrueCrypt это очень удобная штуковина, в которой можно создать зашифрованный том (файл любого размера) и в него записать все свои кошельки и приватники, запаролить том и на этом успокоиться, записав множество копий этого тома (файла) на всякие флешки, винты, даже в облако, не опасаясь, что кто-то получит доступ к файлу и сможет его вскрыть. А вот такая штука, как Ledger и ему подобные, действительно привлекают внимание, так что ну его нафиг - дразнить гусей и других людей.

Не совсем о том, о чем я хотел сказать. Леджер состоит из двух чипов: секьюрного линейки ST31 и чипа контроллера, вроде бы STM32. Первый чип защищен не только от программного взлома, но даже от физического инвазивного (например атака ультрафиолетовыми лучами), а именно там хранится сид и ключи. Контроллер отправляет транзакцию на подпись в секьюрный чип и получает назад результат. В таком случае, очевидно, что единственный (скорее не единственный, но самый эффективный) способ обдурить Леджер, это отправить в секьюрный чип транзакцию, где будет указан адрес хакера. Такое провернуть вполне можно, даже притом сторонним софтом (например подключив Леджер к зараженному компу или фишинговому Ledger Live) и здесь защитит только внимательность.

Еще слышал о варианте развода, когда подменяется адрес сдачи, и деньги уходят хакеру. Но мне кажется такое без инвазивного вмешательства в STM32 не провернуть. Завтра уже найду статью об этом, посмотрю что и как здесь.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 05, 2020, 04:51:30 AM
 #75

В таком случае, очевидно, что единственный (скорее не единственный, но самый эффективный) способ обдурить Леджер, это отправить в секьюрный чип транзакцию, где будет указан адрес хакера. Такое провернуть вполне можно, даже притом сторонним софтом (например подключив Леджер к зараженному компу или фишинговому Ledger Live) и здесь защитит только внимательность.
О чем вы говорите? Если о подмене адреса на десктопе, то леджер покажет на дисплее этот левый адрес, и пользователь отменит действие, это не называется "обдурить Леджер".
Quote


Еще слышал о варианте развода, когда подменяется адрес сдачи, и деньги уходят хакеру. Но мне кажется такое без инвазивного вмешательства в STM32 не провернуть. Завтра уже найду статью об этом, посмотрю что и как здесь.
Интересно, найдите. Надеюсь, это не та статья 17-го года, о которой я думаю ).

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
Jes861ter
Jr. Member
*
Offline Offline

Activity: 224
Merit: 2


View Profile
June 05, 2020, 06:20:48 AM
 #76

Хочу купить Ledger Nano S (холодный кошелек для криптовалют)
На сайте производителя написано, что все распродано и поставки будут только в марте.
Нашел несколько объявлений на сайтах купли/продажи типа Slando, Avito, OLX.
Насколько безопасно покупать такие вещи с рук?
Он же на так уж и дорого стоит, можно и на сайте купить
johhnyUA
Legendary
*
Offline Offline

Activity: 2436
Merit: 1849


Crypto for the Crypto Throne!


View Profile
June 05, 2020, 01:50:41 PM
 #77

В таком случае, очевидно, что единственный (скорее не единственный, но самый эффективный) способ обдурить Леджер, это отправить в секьюрный чип транзакцию, где будет указан адрес хакера. Такое провернуть вполне можно, даже притом сторонним софтом (например подключив Леджер к зараженному компу или фишинговому Ledger Live) и здесь защитит только внимательность.
О чем вы говорите? Если о подмене адреса на десктопе, то леджер покажет на дисплее этот левый адрес, и пользователь отменит действие, это не называется "обдурить Леджер"

Это называется "обдурить невнимательного пользователя", и большинство взломов чего угодно как раз таки основываются именно на этом простом методе. В любой секьюрной системе, самое слабое звено - это пользователь. И хоть обмажся десятью мега секьюрными чипами, если ты невнимательный болван - то ты в зоне риска.

По поводу сдачи вот читаю. Если адрес сдачи определяется в STM32 (я думаю что именно так и просходит), то можно даже не гуглить - вполне возможный вектор атаки.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
igor72
Legendary
*
Offline Offline

Activity: 2016
Merit: 2079


Crypto Swap Exchange


View Profile
June 05, 2020, 02:00:22 PM
 #78

Если адрес сдачи определяется в STM32 (я думаю что именно так и просходит), то можно даже не гуглить - вполне возможный вектор атаки.
Насколько я знаю, STM32 только обслуживает периферию (usb, кнопки, дисплей), всё основное происходит в ST31.

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
johhnyUA
Legendary
*
Offline Offline

Activity: 2436
Merit: 1849


Crypto for the Crypto Throne!


View Profile
June 12, 2020, 05:51:55 PM
Merited by Symmetrick (2)
 #79

Интересно, найдите. Надеюсь, это не та статья 17-го года, о которой я думаю ).

Был занят, не мог писать. Вот статья - https://medium.com/@thepariscormier/how-to-hack-a-ledger-hardware-wallet-c38a4ac49d59
https://ethereum.stackexchange.com/questions/33823/whats-to-stop-ledger-from-sending-to-a-hackers-address

Полагаю Леджер уже это пофиксил?

Если адрес сдачи определяется в STM32 (я думаю что именно так и просходит), то можно даже не гуглить - вполне возможный вектор атаки.
Насколько я знаю, STM32 только обслуживает периферию (usb, кнопки, дисплей), всё основное происходит в ST31.

Как мне помнится, в ST31 только хранится все самое важное, и выполняются операции подписи. С STM32 отправляется в ST31 и назад возвращается некое значение

Как показывает история, такие баги вылазят нередко - https://sergeylappo.github.io/ledger-hack/

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
lexvalensa
Jr. Member
*
Offline Offline

Activity: 55
Merit: 2


View Profile
June 12, 2020, 06:15:35 PM
 #80

Хочу купить Ledger Nano S (холодный кошелек для криптовалют)
На сайте производителя написано, что все распродано и поставки будут только в марте.
Нашел несколько объявлений на сайтах купли/продажи типа Slando, Avito, OLX.
Насколько безопасно покупать такие вещи с рук?
Он же на так уж и дорого стоит, можно и на сайте купить
лучше всего покупать у производителя: это гораздо надежнее и безопаснее чем покупать через третьи руки, а то ведь совсем без ничего остаться можно

Oikos◆   |  Decentralized Finance on Tron
https://oikos.cash/
Pages: « 1 2 3 [4] 5 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!