|
satscraper
|
 |
May 23, 2023, 06:00:14 AM
Last edit: May 24, 2023, 06:45:38 AM by satscraper |
|
^ Не следует не только "доверять производителям кошелька " но и навеки прилипать к одному кошельку и становиться его рабом. На рынке появляются новые игроки с решениями, которые бьют и втаптывают в грязь таких "мамонтов" как Леджер и Трезор по многим параметрам в том числе надежности, безопасности, удобству пользования. Поэтому если есть возможность, нужно смело переходить на эти решения, предварительно проведя их всесторонний анализ. Леджер по сути своей ширпотреб, основанный на очень и очень некачественных комплектующих. Чего только стоит один его дисплей. А тут ещё и проявилось его наплевательское отношение к установившейся общественнoй договорённости относительно приватности СИД фразы пользователя. И дело даже не в этом. Самое страшное это то, что их прошивки будут содержать (или уже содержат как в случае Х ) API для манипуляций с SEED фразой, Это по своей сути открытое приглашение для хакеров. Сегодня ещё один адресный "привет" от Леджера. На этот раз пользователям Cardano. У меня нет ни одного шитка, Один только биток. Но шиткохолдерам стоит задуматься.  [/url] Можно конечно ко мне не прислушиваться и пытаться "лепить из дерьма пулю" , но вот что думает по этому поводу один из самых уважаемых экспертов криптосообщества Andreas Antonopoulos, Советую послушать. |
.
.HUGE. | | | | | | █▀▀▀▀
█
█
█
█
█
█
█
█
█
█
█
█▄▄▄▄ | ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.
CASINO & SPORTSBOOK
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ | ▀▀▀▀█
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▄█ | | |
|
|
|
|
|
|
|
|
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
witcher_sense
Legendary
 Offline
Activity: 2310
Merit: 4313
🔐BitcoinMessage.Tools🔑
|
|
May 23, 2023, 07:12:40 PM |
|
^
Не следует не только "доверять производителям кошелька " но и навеки прилипать к одному кошельку и становиться его рабом.
На рынке появляются новые игроки с решениями, которые бьют и втаптывают в грязь таких "мамонтов" как Леджер и Трезор по многим параметрам в том числе надежности, безопасности, удобству пользования. Поэтому если есть возможность, нужно смело переходить на эти решения, предварительно проведя их всесторонний анализ.
Радует, что на рынке аппаратных кошельков происходит жесткая конкуренция и производители все больше присматриваются к решениям с открытым исходным кодом для аппаратной и программной части. Сейчас определенно есть из чего выбрать, но в этом забеге фавориты имеют свойство меняться. Трезор и тем более Леджер не поняли ситуации и проиграли борьбу с позором. Или наоборот поняли, что надо действовать, но не поняли что определенные фичи могут не понравится сообществу. Правильно говорят, что репутацию зарабатывают годами, теряют за секунду и восстанавливают вечность. Леджер по сути своей ширпотреб, основанный на очень и очень некачественных комплектующих. Чего только стоит один его дисплей.
Всегда удивляло, что люди так радуются низкой цене аппаратного кошелька. Комплектующие требуют вложений, а Леджер вывозил на маркетинге и листинге шитков, а не на качестве товара. А тут ещё и проявилось его наплевательское отношение к установившейся общественный договорённости относительно приватности СИД фразы пользователя.
И дело даже не в этом. Самое страшное это то, что их прошивки будут содержать (или уже содержат как в случае Х ) API для манипуляций с SEED фразой, Это по своей сути открытое приглашение для хакеров.
"API для манипуляций с SEED фразой" - точнее и не скажешь. Они всегда могли просто скамануть всех пользователей и скрыться с деньгами, но решили поступить "благородно", монетизировав этот доступ и разделив доход еще с парой компаний. |
|
|
|
Cryptmuster
Legendary
Offline
Activity: 1918
Merit: 1196
Glory To Ukraine! Glory to the heroes!
|
|
May 24, 2023, 06:49:07 AM |
|
CEO Ledger признал возможность доступа властей к активам в кошельке. Правительственные органы могут через суд потребовать доступ к средствам в кошельке Ledger, подключенном к сервису восстановления закрытых ключей Recover. Это подтвердил CEO производителя Паскаль Готье. Однако, выступая в подкасте What Bitcoin Did, он назвал подобный сценарий маловероятным (но кто ж ему поверит). В день выхода подкаста служба поддержки указала, что ПО «всегда разрешало извлечение ключей». Впоследствии твит удалили, но сообщество на него отреагировало резко. Похоже трюм у этого корабля не плохо так протекает... |
|
|
|
|
satscraper
|
|
May 24, 2023, 07:04:07 AM |
|
Ledger продолжает отжигать. У них оказывается open source это SDK (который по определению должен быть открытым, иначе разработчики сторонних приложений -Леджер сам их не разрабатывает- не могли бы их разрабатывать). И позиционирует как open source решение свою белую бумагу "поделись- со -всеми -своим- СИД"-севиса , которую обещают выложить наднях. Белая бумага как open source. Такого бреда я ещё не слышал.  Полностью open source разработчик. А вы на него накинулись. |
.
.HUGE. | | | | | | █▀▀▀▀
█
█
█
█
█
█
█
█
█
█
█
█▄▄▄▄ | ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.
CASINO & SPORTSBOOK
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ | ▀▀▀▀█
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▄█ | | |
|
|
|
jokers10
Legendary
Offline
Activity: 1932
Merit: 2962
|
|
May 24, 2023, 07:14:29 AM |
|
...
В день выхода подкаста служба поддержки указала, что ПО «всегда разрешало извлечение ключей». Впоследствии твит удалили, но сообщество на него отреагировало резко.
Похоже трюм у этого корабля не плохо так протекает...
Собственно, как все и подозревали последнее время! Всё-таки программные продукты с закрытым кодом это, мягко говоря, не совсем кошерно для децентрализованных финансов. И испуганные последствиями своих заявлений разработчики Ledger засуетились, и Гийоме написал, что они постепенно будут открывать код своих программных продуктов, а начнут именно с Ledger Recover. А до публикации кода они повременят с его внедрением. Оно, конечно, похвально, что они пытаются как-то вырулить, но централизованному хранению ключиков от кошельков нет, нет и ещё раз нет, даже с открытым кодом! ... Полностью open source разработчик. А вы на него накинулись. Стыдно, очень стыдно! ... обманывать пользователей и даже просто иметь возможность тырить их ключики от денежек! Даже если в заявленных якобы благих целях! |
.
.BLACKJACK ♠ FUN. | | | ███▄██████
██████████████▀
████████████
█████████████████
████████████████▄▄
░█████████████▀░▀▀
██████████████████
░██████████████
█████████████████▄
░██████████████▀
████████████
███████████████░██
██████████ | | CRYPTO CASINO &
SPORTS BETTING | | │ | | │ | ▄▄███████▄▄
▄███████████████▄
███████████████████
█████████████████████
███████████████████████
█████████████████████████
█████████████████████████
█████████████████████████
███████████████████████
█████████████████████
███████████████████
▀███████████████▀
███████████████████ | | .
|
|
|
|
witcher_sense
Legendary
Offline
Activity: 2310
Merit: 4313
🔐BitcoinMessage.Tools🔑
|
|
May 24, 2023, 07:26:48 AM |
|
Собственно, как все и подозревали последнее время! Всё-таки программные продукты с закрытым кодом это, мягко говоря, не совсем кошерно для децентрализованных финансов. И испуганные последствиями своих заявлений разработчики Ledger засуетились, и Гийоме написал, что они постепенно будут открывать код своих программных продуктов, а начнут именно с Ledger Recover. А до публикации кода они повременят с его внедрением. Оно, конечно, похвально, что они пытаются как-то вырулить, но централизованному хранению ключиков от кошельков нет, нет и ещё раз нет, даже с открытым кодом! После всей критики они даже не осознали ее суть: дело не в том, что код у Ledger Recover открытый или закрытый. Суть в том, что аппаратный кошелек вообще не должен позволять извлекать сид фразу и пересылать ее третьим лицам. Суть в том, что аппаратный кошелек должен защищать от конфискации криптовалюты, а не способствовать ей. Суть в том, что зарабатывать на продаже данных своих клиентов - это как минимум не очень красиво. Но видимо сами эти идеи очень нравятся Ledger, потому что они предвидят неплохие доходы от таких сомнительных услуг, поэтому и не отказываются от них полностью, а просто приостанавливают на время. Ну что ж, частичное открытие исходного кода ничего кардинально не изменит, разве что ухудшит ситуацию и позволит хакерам легче анализировать дыры в безопасности. Я не знаю что движет людьми, которые будут продолжать пользоваться продуктами Ledger после всех этих анонсов, возможно они своего рода криптовалютные мазозисты. |
|
|
|
safar1980
Legendary
Offline
Activity: 1708
Merit: 1615
#SWGT CERTIK Audited
|
|
May 24, 2023, 02:44:56 PM |
|
Собственно, как все и подозревали последнее время! Всё-таки программные продукты с закрытым кодом это, мягко говоря, не совсем кошерно для децентрализованных финансов. И испуганные последствиями своих заявлений разработчики Ledger засуетились, и Гийоме написал, что они постепенно будут открывать код своих программных продуктов, а начнут именно с Ledger Recover. А до публикации кода они повременят с его внедрением. Оно, конечно, похвально, что они пытаются как-то вырулить, но централизованному хранению ключиков от кошельков нет, нет и ещё раз нет, даже с открытым кодом! После всей критики они даже не осознали ее суть: дело не в том, что код у Ledger Recover открытый или закрытый. Суть в том, что аппаратный кошелек вообще не должен позволять извлекать сид фразу и пересылать ее третьим лицам. Суть в том, что аппаратный кошелек должен защищать от конфискации криптовалюты, а не способствовать ей. Суть в том, что зарабатывать на продаже данных своих клиентов - это как минимум не очень красиво. Но видимо сами эти идеи очень нравятся Ledger, потому что они предвидят неплохие доходы от таких сомнительных услуг, поэтому и не отказываются от них полностью, а просто приостанавливают на время. Ну что ж, частичное открытие исходного кода ничего кардинально не изменит, разве что ухудшит ситуацию и позволит хакерам легче анализировать дыры в безопасности. Я не знаю что движет людьми, которые будут продолжать пользоваться продуктами Ledger после всех этих анонсов, возможно они своего рода криптовалютные мазозисты. Вы какими аппаратными кошельками будете теперь пользоваться? Жалко 12 тысяч выкинуть или попробую продать, что купить советуйте? |
|
|
|
|
tenant48
|
|
May 25, 2023, 03:43:10 AM |
|
Для тех, кто хочет и дальше продолжать безопасно использовать свой Леджер, напишу краткую инструкцию на примере с биткоином.
1. Устанавливаем приложение биткоина на кошелек через Ledger Live и затем удаляем Ledger Live со своего комьютера.
2. Устанавливаем на кошелек надежную парольную фразу.
3. Пользуемся кошельком через Електрум. (К Ledger Live больше кошелек не подключаем).
4. Если в будущем возникнет необходимость обновить кошелек через Ledger Live, то после его обнавления, обязательно переносим монеты на новую парольную фразу.
Даже если у сотрудников Леджер получится перехватить ваш Сид через Ledger Live, то до ваших монет они добраться не смогут, так как кошелек будет надежно защищен парольной фразой.
|
|
|
|
fruktik
Sr. Member
Offline
Activity: 952
Merit: 425
Top Crypto Casino
|
|
May 25, 2023, 06:22:01 AM Merited by satscraper (1) |
|
После всей критики они даже не осознали ее суть: дело не в том, что код у Ledger Recover открытый или закрытый. Суть в том, что аппаратный кошелек вообще не должен позволять извлекать сид фразу и пересылать ее третьим лицам. Суть в том, что аппаратный кошелек должен защищать от конфискации криптовалюты, а не способствовать ей. Суть в том, что зарабатывать на продаже данных своих клиентов - это как минимум не очень красиво. Но видимо сами эти идеи очень нравятся Ledger, потому что они предвидят неплохие доходы от таких сомнительных услуг, поэтому и не отказываются от них полностью, а просто приостанавливают на время. Ну что ж, частичное открытие исходного кода ничего кардинально не изменит, разве что ухудшит ситуацию и позволит хакерам легче анализировать дыры в безопасности. Я не знаю что движет людьми, которые будут продолжать пользоваться продуктами Ledger после всех этих анонсов, возможно они своего рода криптовалютные мазозисты.
Может быть это тот случай, когда следует смириться с данным фактом на счет кода и перестать пользоваться этими кошельками? Пусть другие это делают, которые являются ярыми фанами или что-то того. Если есть такое отношение к своим клиентам, то не завидное будущее у производителей подобных устройств. Сами пилят сук, на котором сидят. Да, сейчас "модно" хранить персональные данные пользователей. Эта база будет актуальна долгое время и денег можно заработать весьма приличное количество с этого в любой момент. |
|
|
|
witcher_sense
Legendary
Offline
Activity: 2310
Merit: 4313
🔐BitcoinMessage.Tools🔑
|
|
May 25, 2023, 06:34:59 AM |
|
Вы какими аппаратными кошельками будете теперь пользоваться? Жалко 12 тысяч выкинуть или попробую продать, что купить советуйте?
Сейчас в тренде Passport от Foundation Devices, форк ColdCard от Coinkite, опенсорсный аппаратный кошелек, который использует камеру для передачи и получения информации. Сам я его не использовал, но на форуме многие предпочитают этот кошелек всем другим. Также можно присмотреться к самому ColdCard и его новой модели mk4: этот использует SD карты и NFC для передачи информации и имеет проверяемый код (код открыт, но не может использоваться свободно). Ценники у этих кошельков не маленькие, но зато вы не получите кусок дешеаого пластика как в случае с Ledger. Ну или еще как вариант можно купить старенький ноутбук, отпаять у него всякие Wi-Fi модули и прочее и использовать как холодное хранилище. В свете последних событий, это будет намного безопаснее, чем использовать проприетарное Ledger API для расшаривания секретных ключей со сторонними компаниями. |
|
|
|
|
satscraper
|
|
May 25, 2023, 08:10:36 AM
Last edit: May 26, 2023, 06:33:54 AM by satscraper |
|
^ У ColdCard MK4 нет соряжения через QR коды и это решающий фактор почему я выбрал Passport 2. Последний может работать через QR коды. Кроме того ColdCard MK4 немного замороченный в смысле настроек и работы с ним. Там есть функции, которые при неосторожном с ними обращении могут превратить кошелек в кирпич. Кстати более продвинутая модель от этого производителя - ColdcardQ1. Она должна появиться в 4 квартале сего года и у неё будет возможность работать с QR. Есть ещё очень хорошее и главное не требующее больших капиталовложений решение - Specter-DIY Одно ясно, Нужно выбирать бесконтактный (air-gapped) дивайс с открытыми исходниками. У Passport 2 не только исходники открыты, но и полный его дизайн, включая элементную базу и схемные решения. И у него форм фактор не вызывающий подозрения. Что-то типа старых кнопочных Нокиа. При пересечении границ для меня это очень важное обстоятельство. |
.
.HUGE. | | | | | | █▀▀▀▀
█
█
█
█
█
█
█
█
█
█
█
█▄▄▄▄ | ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.
CASINO & SPORTSBOOK
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ | ▀▀▀▀█
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▄█ | | |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1985
Crypto Swap Exchange
|
|
May 27, 2023, 07:29:29 AM |
|
Даже если у сотрудников Леджер получится перехватить ваш Сид через Ledger Live, то до ваших монет они добраться не смогут, так как кошелек будет надежно защищен парольной фразой.
Теоретически в закрытой прошивке возможен бэкдор, угоняющий BIP32-сид (не путать с BIP39 сид-фразой), в этом случае наличие парольной фразы не спасет. Тут только мультисиг обезопасит. |
|
|
|
|
tenant48
|
|
May 27, 2023, 11:37:31 AM |
|
Теоретически в закрытой прошивке возможен бэкдор, угоняющий BIP32-сид (не путать с BIP39 сид-фразой), в этом случае наличие парольной фразы не спасет. Тут только мультисиг обезопасит.
Что значит наличие парольной фразы не спасет? Прописываете в Электрум правильный путь деривации: m/49'/0'/0' - для segwit адрессов или m/84'/0'/0' - для native segwit И пусть угоняют любой сид. |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1985
Crypto Swap Exchange
|
|
May 27, 2023, 11:43:02 AM |
|
Что значит наличие парольной фразы не спасет?
Прописываете в Электрум правильный путь деривации:
m/49'/0'/0' - для segwit адрессов или
m/84'/0'/0' - для native segwit
И пусть угоняют любой сид. При чем тут Электрум? Секрет можно вывести через любой интерфейс, так как он будет вмонтирован в текст транзакций. |
|
|
|
|
tenant48
|
|
May 27, 2023, 12:08:14 PM |
|
Что значит наличие парольной фразы не спасет?
Прописываете в Электрум правильный путь деривации:
m/49'/0'/0' - для segwit адрессов или
m/84'/0'/0' - для native segwit
И пусть угоняют любой сид. При чем тут Электрум? Секрет можно вывести через любой интерфейс, так как он будет вмонтирован в текст транзакций. Я что то не могу понять ход вашей мысли? Вы написали, в Леджер могут перехватить Сид bip-32, но я в инструкции четко написал, что сначала настраиваем Леджер через Ledger Live, а затем удаляем LL и только затем вводим в кошелек парольную фразу. После ввода парольной фразы сид bip-32 ИЗМЕНИТСЯ на новый и в Леджер до него уже не дотянутся. То что Сид bip-32 изменится можно легко убедится через конвертер iancoleman. |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1985
Crypto Swap Exchange
|
|
May 27, 2023, 12:26:27 PM |
|
Я что то не могу понять ход вашей мысли?
Вы написали, в Леджер могут перехватить Сид bip-32, но я в инструкции четко написал, что сначала настраиваем Леджер через Ledger Live, а затем удаляем LL и только затем вводим в кошелек парольную фразу. После ввода парольной фразы сид bip-32 ИЗМЕНИТСЯ на новый и в Леджер до него уже не дотянутся. То что Сид bip-32 изменится можно легко убедится через конвертер iancoleman.
Я вас понял, и ваш метод, конечно, рабочий против каких-то действий со стороны Ledger Live. Но можно обойтись и без внешнего управления - бэкдор в прошивке будет помещать в каждую подпись от нескольких бит до нескольких байт секрета (зависит от производительности процессора кошелька), а дальше владелец бэкдора просто соберет эту информацию из блокчейна и сконструирует сид. |
|
|
|
|
tenant48
|
|
May 27, 2023, 12:40:18 PM |
|
Я вас понял, и ваш метод, конечно, рабочий против каких-то действий со стороны Ledger Live. Но можно обойтись и без внешнего управления - бэкдор в прошивке будет помещать в каждую подпись от нескольких бит до нескольких байт секрета (зависит от производительности процессора кошелька), а дальше владелец бэкдора просто соберет эту информацию из блокчейна и сконструирует сид.
Давайте сначала закончим с Сид bip-32. Вы признаете что были не правы? Про тот бэкдор, про котрый вы пишете с передачей по нескольк байт через транзакции, можно реализовать на любом аппаратном кошельке, даже с воздушным зазором. Тут выше уже писали что в целях профилактики можно периодически менять Сид как раз из за таких случаев. Кроме того откуда в Леджер узнают, что транзакции идут именно через Леджер кошелек, который подключен к электрум? |
|
|
|
igor72
Legendary
Offline
Activity: 1820
Merit: 1985
Crypto Swap Exchange
|
|
May 27, 2023, 12:57:23 PM
Last edit: May 27, 2023, 01:42:25 PM by igor72 |
|
Давайте сначала закончим с Сид bip-32. Вы признаете что были не правы? Давайте. С удовольствием признаю, если укажете, в чем я неправ. Про тот бэкдор, про котрый вы пишете с передачей по нескольк байт через транзакции, можно реализовать на любом аппаратном кошельке, даже с воздушным зазором. Да, на любом с закрытой прошивкой. Тут выше уже писали что в целях профилактики можно периодически менять Сид как раз из за таких случаев. Не видел. Но согласен, это поможет. Кроме того откуда в Леджер узнают, что транзакции идут именно через Леджер кошелек, который подключен к электрум? Можно в ту же подпись маркер вставить. |
|
|
|
|
satscraper
|
|
May 27, 2023, 01:36:09 PM
Last edit: May 27, 2023, 02:27:07 PM by satscraper |
|
^ Не мучайте уже своего опонента. Он просто не понимает что BIP 32 seed, определяющий иерархическую структуру кошелька, получается из BIP 39 SEED фразы + парольная фраза. Поэтому при утечке BIP 32 seed-а эта парольная фраза что мёртвому припарка. Про тот бэкдор, про котрый вы пишете с передачей по нескольк байт через транзакции, можно реализовать на любом аппаратном кошельке, даже с воздушным зазором. Да, на любом с закрытой прошивкой. иными словами при скомпроментированном проприетарном MCU "открытая" прошивка не является панацеей. |
.
.HUGE. | | | | | | █▀▀▀▀
█
█
█
█
█
█
█
█
█
█
█
█▄▄▄▄ | ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.
CASINO & SPORTSBOOK
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ | ▀▀▀▀█
█
█
█
█
█
█
█
█
█
█
█
▄▄▄▄█ | | |
|
|
|
|
tenant48
|
|
May 27, 2023, 03:47:41 PM
Last edit: May 27, 2023, 04:10:36 PM by tenant48 |
|
Давайте сначала закончим с Сид bip-32. Вы признаете что были не правы? Давайте. С удовольствием признаю, если укажете, в чем я неправ. Я же выше уже написал, что сид bip 32 ИЗМЕНИТСЯ после ввода парольной фразы. Ledger Live успеет перехватить только старый Сид bip-32 во время первоначальной настройки. Что вам еще не понятно. Доступа у кошелька к Ledger Live с установленной новой парольной фразой (и соответственно с новым bip32 сид) больше не будет. И вы ведь выше сами признали: Я вас понял, и ваш метод, конечно, рабочий против каких-то действий со стороны Ledger Live.
Но затем чтобы как то оправдаться, привели пример с крайне редким бэкдором, который к данному случаю не имеет отношения, так как первоначальный вопрос был не в этом а именно с угоном bip-32 Могу вам сказать что Леджер может угнать все что угодно во время обновлений или установки новых приложений. А вот реализовывать такие редкие бэкдоры, которые имеет смысл реализовывать в кошельках с воздушным зазором у них необходимости нет. Да и энергонезависимой памяти в их кошельках крайне мало. Куда проще внедрить фэйковый генератор случайных чисел |
|
|
|
|
