Аппаратные кошельки

[igor72]

Я пока выбираю не какую-то конкретную модель. Мне то нужно всего эфир хранить и его пару токенов, сатошей немного, да стеллара немного. Для этой цели любой кошелек подойдет, для меня главный вопрос уж если покупать такую штуку так чтоб если срук, то безопасно иначе очень ржачно получится, хотел обезопаситься и все потерял))

Если с рук брать, нужно прошивать перед использованием, а это с леджером нельзя сделать тогда, когда вам захочется, а только когда прошивка внутри станет устаревшей. Сейчас подходящий момент, следующий неизвестно когда будет, может через месяц, но скорее через год. Иначе лучше подкопить немного и взять у производителя.

[1715192753]

1715192753

[IeSua]

возможно тут уже задавался вопрос. прошу не бить ногами по почкам. насколько безопасно покупать новый аппаратный кошелек с рук? на что обратить внимание при покупке? сам не имею возможности ни заказать почтой (не хочу адрес показывать), и съездить не могу, но купить нужно.

Купи в магазине: https://www.dns-shop.ru/

я с рук могу купить, но переживаю чтоб монетки потом не ускакали.

возможно тут уже задавался вопрос. прошу не бить ногами по почкам. насколько безопасно покупать новый аппаратный кошелек с рук? на что обратить внимание при покупке? сам не имею возможности ни заказать почтой (не хочу адрес показывать), и съездить не могу, но купить нужно.

Везде вам скажут, что покупать с рук нельзя. Я считаю, что покупать можно, но не пользоваться им, пока не обновите прошивку. Если это леджер нано с, то как раз вышла новая прошивка и сегодня, я думаю, все запечатанные леджеры нано с на вторичном рынке со старой прошивкой 1.5.5, самое время брать. Какой аппаратник хотите купить?

Купи в магазине: https://www.dns-shop.ru/

Вы работаете там? Почему именно этот? Его нет в списке ретейлеров.

Спасибо. Я пока выбираю не какую-то конкретную модель. Мне то нужно всего эфир хранить и его пару токенов, сатошей немного, да стеллара немного. Для этой цели любой кошелек подойдет, для меня главный вопрос уж если покупать такую штуку так чтоб если срук, то безопасно иначе очень ржачно получится, хотел обезопаситься и все потерял))

IMO, если у вас то количество крипты, которое не страшно положить и хранить на купленном с рук аппаратнике, то нафига он вам нужен вообще? Что там "обезопасится"? Вон были скидки хорошие, чего не взять если так чешется? А то такое ощущение как будто блендер выбираете - вроде бы и надо дома, а вроде бы и хер знает что с ним делать.

[FontSeli]

IMO, если у вас то количество крипты, которое не страшно положить и хранить на купленном с рук аппаратнике, то нафига он вам нужен вообще? Что там "обезопасится"? Вон были скидки хорошие, чего не взять если так чешется? А то такое ощущение как будто блендер выбираете - вроде бы и надо дома, а вроде бы и хер знает что с ним делать.

Я вот тоже с удовольствием хотел бы купить купить леджер со скидками, когда они были, но в мою страну не доставляют. Ради интереса попробовал заходить с прокси России, Польши, Австрии - такая же фигня.
Поэтому понятно, чего у человека такая проблема возникла.

[greek1313]

IMO, если у вас то количество крипты, которое не страшно положить и хранить на купленном с рук аппаратнике, то нафига он вам нужен вообще? Что там "обезопасится"? Вон были скидки хорошие, чего не взять если так чешется? А то такое ощущение как будто блендер выбираете - вроде бы и надо дома, а вроде бы и хер знает что с ним делать.

Я вот тоже с удовольствием хотел бы купить купить леджер со скидками, когда они были, но в мою страну не доставляют. Ради интереса попробовал заходить с прокси России, Польши, Австрии - такая же фигня.
Поэтому понятно, чего у человека такая проблема возникла.

Раньше были конторы, которые занимались пересылками в нужную вам страну, уже не помню их названий, но смысл такой, хочешь что-то купить на ebay а в твою страну не поставляют, это контора покупает и получает товар по своему адресу, а далее они уже пересылают туда куда нужно. По поводу они покупают или вы, просто с заказом на их адрес, это надо уточнять. Да это дополнительные расходы, но по крайней мере можно заказать. А ещё как вариант, можно посмотреть у официального представителя в соседней вам стране

[igor72]

Я вот тоже с удовольствием хотел бы купить купить леджер со скидками, когда они были, но в мою страну не доставляют. Ради интереса попробовал заходить с прокси России, Польши, Австрии - такая же фигня.
Поэтому понятно, чего у человека такая проблема возникла.

Раньше были конторы, которые занимались пересылками в нужную вам страну, уже не помню их названий, но смысл такой, хочешь что-то купить на ebay а в твою страну не поставляют, это контора покупает и получает товар по своему адресу, а далее они уже пересылают туда куда нужно. По поводу они покупают или вы, просто с заказом на их адрес, это надо уточнять. Да это дополнительные расходы, но по крайней мере можно заказать. А ещё как вариант, можно посмотреть у официального представителя в соседней вам стране

Он написал, что "хотел бы купить леджер со скидками", а так вся экономия уйдет на посредников. Купить у оф. ретейлера в России с доставкой в Беларусь можно без проблем.

[FontSeli]

IMO, если у вас то количество крипты, которое не страшно положить и хранить на купленном с рук аппаратнике, то нафига он вам нужен вообще? Что там "обезопасится"? Вон были скидки хорошие, чего не взять если так чешется? А то такое ощущение как будто блендер выбираете - вроде бы и надо дома, а вроде бы и хер знает что с ним делать.

Я вот тоже с удовольствием хотел бы купить купить леджер со скидками, когда они были, но в мою страну не доставляют. Ради интереса попробовал заходить с прокси России, Польши, Австрии - такая же фигня.
Поэтому понятно, чего у человека такая проблема возникла.

Раньше были конторы, которые занимались пересылками в нужную вам страну, уже не помню их названий, но смысл такой, хочешь что-то купить на ebay а в твою страну не поставляют, это контора покупает и получает товар по своему адресу, а далее они уже пересылают туда куда нужно. По поводу они покупают или вы, просто с заказом на их адрес, это надо уточнять. Да это дополнительные расходы, но по крайней мере можно заказать. А ещё как вариант, можно посмотреть у официального представителя в соседней вам стране

Да не нужны мне посредники, которые могут привезти. Я уже лучше сам в Москву слетаю, так надежнее будет и по деньгам одно и тоже. Мне и с Европы обещали привезти, вот только выяснилось что и там нужно поискать чтобы его купить. Не ожидал я таких трудностей с такой простой вещью)

[naska21]

Да не нужны мне посредники, которые могут привезти. Я уже лучше сам в Москву слетаю, так надежнее будет и по деньгам одно и тоже. Мне и с Европы обещали привезти, вот только выяснилось что и там нужно поискать чтобы его купить. Не ожидал я таких трудностей с такой простой вещью)

В ювропе как и в США такие вещи только через онлайн магазины приобретаются и в розничной продаже их не найти. Походу  лучший вариант в этом случае покупать самому онлайн и давать адрес ваших тамошних  друзей для доставки и я так и делаю когда что-то там покупаю.

[grinvd410]

IMO, если у вас то количество крипты, которое не страшно положить и хранить на купленном с рук аппаратнике, то нафига он вам нужен вообще? Что там "обезопасится"? Вон были скидки хорошие, чего не взять если так чешется? А то такое ощущение как будто блендер выбираете - вроде бы и надо дома, а вроде бы и хер знает что с ним делать.

Я вот тоже с удовольствием хотел бы купить купить леджер со скидками, когда они были, но в мою страну не доставляют. Ради интереса попробовал заходить с прокси России, Польши, Австрии - такая же фигня.
Поэтому понятно, чего у человека такая проблема возникла.

Не возможность заказать доставку леджера напрямую с сайте поставщика в некоторые страны - известная проблемма, но самое главное что она периодически появляется и исчезает, с чем это связано не известно. Имеет смысл периодически заглядывать проверять открыли доставку или нет.

[FontSeli]

IMO, если у вас то количество крипты, которое не страшно положить и хранить на купленном с рук аппаратнике, то нафига он вам нужен вообще? Что там "обезопасится"? Вон были скидки хорошие, чего не взять если так чешется? А то такое ощущение как будто блендер выбираете - вроде бы и надо дома, а вроде бы и хер знает что с ним делать.

Я вот тоже с удовольствием хотел бы купить купить леджер со скидками, когда они были, но в мою страну не доставляют. Ради интереса попробовал заходить с прокси России, Польши, Австрии - такая же фигня.
Поэтому понятно, чего у человека такая проблема возникла.

Не возможность заказать доставку леджера напрямую с сайте поставщика в некоторые страны - известная проблемма, но самое главное что она периодически появляется и исчезает, с чем это связано не известно. Имеет смысл периодически заглядывать проверять открыли доставку или нет.

Все я уже заказал. Так что уже не буду заглядывать в их магазин. Надеюсь к новому году стану счастливым обладателем сего девайса.

[madnessteat]

Сегодня на веб-сайте РБК появилась информация, об обнаруженной уязвимости в аппаратных кошельках KeepKey.

"Кошелек KeepKey содержит уязвимость, которая позволит преступнику, имеющему физический доступ к устройству, взломать его за 15 минут, утверждают сотрудники Kraken Security Labs. Они объяснили, что при помощи атаки под названием «сбой напряжения» можно извлечь зашифрованную seed-фразу для получения доступа к криптовалюте.

По словам экспертов, устранить уязвимость будет «достаточно проблематично», так как для этого кошелек необходимо менять на аппаратном уровне. В Kraken Security Labs пояснили, что проблема касается микроконтроллера в KeepKey.

Исследователи выяснили, что атака на такие девайсы обойдется злоумышленникам в $75. Специалисты по безопасности отметили, что меры разработчиков кошелька по созданию невосприимчивой прошивки к «атакам сбоев» оказались неэффективными."

Источник: https://www.rbc.ru/crypto/news/5df0f6869a7947d7b384f246

Источник: https://blog.kraken.com/post/3245/flaw-found-in-keepkey-crypto-hardware-wallet

[tenant48]

Сегодня на веб-сайте РБК появилась информация, об обнаруженной уязвимости в аппаратных кошельках KeepKey.

"Кошелек KeepKey содержит уязвимость, которая позволит преступнику, имеющему физический доступ к устройству, взломать его за 15 минут, утверждают сотрудники Kraken Security Labs. Они объяснили, что при помощи атаки под названием «сбой напряжения» можно извлечь зашифрованную seed-фразу для получения доступа к криптовалюте.

По словам экспертов, устранить уязвимость будет «достаточно проблематично», так как для этого кошелек необходимо менять на аппаратном уровне. В Kraken Security Labs пояснили, что проблема касается микроконтроллера в KeepKey.

Исследователи выяснили, что атака на такие девайсы обойдется злоумышленникам в $75. Специалисты по безопасности отметили, что меры разработчиков кошелька по созданию невосприимчивой прошивки к «атакам сбоев» оказались неэффективными."

Источник: https://www.rbc.ru/crypto/news/5df0f6869a7947d7b384f246

Источник: https://blog.kraken.com/post/3245/flaw-found-in-keepkey-crypto-hardware-wallet

На такие "уязвимости", которые требуют физический доступ к устройству я бы вообще внимание не обращал.

[johhnyUA]

Сегодня на веб-сайте РБК появилась информация, об обнаруженной уязвимости в аппаратных кошельках KeepKey.

"Кошелек KeepKey содержит уязвимость, которая позволит преступнику, имеющему физический доступ к устройству, взломать его за 15 минут, утверждают сотрудники Kraken Security Labs. Они объяснили, что при помощи атаки под названием «сбой напряжения» можно извлечь зашифрованную seed-фразу для получения доступа к криптовалюте.

Тоже самое можно и с Трезором делать, просто дампить память. Там обычный контроллер STM32 который не имеет никакой защиты от hardware hacking-a. В Леджере стоит для хранения сида и приватных ключей окроме STM32, еще секьюрный чип из линейки ST31. Но как было показано в одной статье, даже если достать сид нельзя, то при физическом доступе к устройству можно подтверждать транзакции на любые адреса (мозги то все равно от незащищенного STM32, кек)

[madnessteat]

~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

[igor72]

Но как было показано в одной статье, даже если достать сид нельзя, то при физическом доступе к устройству можно подтверждать транзакции на любые адреса (мозги то все равно от незащищенного STM32, кек)

Ссылку на статью дайте, если можно. Есть сомнения как минимум в актуальности этой информации.

Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

А я и сейчас так наивно полагаю ).

[naska21]

Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

А я и сейчас так наивно полагаю ).

Походу  после покупки недурно несколько  раз сбросить сид неправильным пином а потом уже установить свои финальные сид и пин.

[johhnyUA]

Но как было показано в одной статье, даже если достать сид нельзя, то при физическом доступе к устройству можно подтверждать транзакции на любые адреса (мозги то все равно от незащищенного STM32, кек)

Ссылку на статью дайте, если можно. Есть сомнения как минимум в актуальности этой информации.

Вот статья:
https://xakep.ru/2018/12/29/trezor-ledger-flaws/

Кошелек Ledger, в свою очередь, оснастили простейшим аппаратным имплантатом, который позволяет одобрять транзакции без участия пользователя. На это эксперты потратили всего $3,16: установили на устройство RF-переключатель, который можно контролировать удаленно, с помощью радиочастот (как минимум с расстояния в 11 метров, имея передатчик 50W)

А можно почитать еще оригинальный доклад, там побольше интересностей - https://media.ccc.de/v/35c3-9563-wallet_fail
Так что лучше если ваш аппаратник не попадет ни в чьи руки.

[FontSeli]

~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

[Andergriff]

~snip~

Спасибо. Буду иметь ввиду что сам аппаратник нужно беречь не меньше, чем сид фразу. Наивно полагал, что даже если Леджер и попадёт в чужие руки, то сбросит все настройки на заводские при вводе трёх раз неправильного пин кода.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

[igor72]

Вот статья:
https://xakep.ru/2018/12/29/trezor-ledger-flaws/
[....]
А можно почитать еще оригинальный доклад, там побольше интересностей - https://media.ccc.de/v/35c3-9563-wallet_fail

Был официальный ответ леджера на это, где было сказано, что это все ерунда. Можно им не верить, конечно, но никто с тех пор леджер так и не взломал, включая, кстати, и авторов доклада. Они там какой-то недостаток нашли, но до ключей добраться не смогли. Кроме того, с тех пор уже дважды обновлялась прошивка, - даже если и было там что-то, то уже наверняка залатали.

Так что лучше если ваш аппаратник не попадет ни в чьи руки.

Это в любом случае лучше, но причин беспокоиться за взлом устройства на данный момент нет.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.

Нет, не то что не равноценно, а и близко не стояло ).

[FontSeli]

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.
Зато флешка имеет преимущество в том, что не каждый подумает о том, что содержится на ней, а если увидят аппаратник, то сразу становится понятно где искать.

Флешку открываете в компьютере, а компьютер заразить проще чем аппаратник. Так что крипту могут украсть так быстро что вы и не заметите.

Свои флешки с криптой я открываю только под Linux. Поэтому за вирусы я не переживаю.

Ну вот и получается, что на флешке хранить крипту в плане безопаности почти равноценно аппаратнику. На аппаратнике только удобнее.

Нет, не то что не равноценно, а и близко не стояло ).

А как насчет способов взлома аппаратника, что скажете, оказывается что это вполне можно сделать?