Леджер - аппаратный кошелек для хранения к

[dakota.org]

Ранее Леджер сообщил, что его база данных электронной коммерции была взломана в прошлом месяце после того, как злоумышленник получил доступ к базе данных через неисправный ключ API третьей стороны.
Нарушение привело к тому, что хакер получил доступ к примерно 1 миллиону адресов электронной почты, а также к личной информации еще 9500 пользователей.
Pellevoizin подтвердил, что это подробная личная информация, которая была выставлена включены почтовые адреса, имена, фамилии, и / или» телефонные номера. Зарегистрированные данные поступают от клиентов, предоставленных клиентами при покупке продуктов Ledgers.
Вот теперь ловите письма счастья владельцы 9500 аппаратных кошелёй.

Леджер уже по электронной почте планирует отправить подробные электронные письма для 9500 пострадавших лиц, у которых их личная информация была украдена.
Леджер не планирует какую-либо компенсацию пострадавшим пользователям, пока расследование продолжается с французскими властями.

https://decrypt.co/37122/bitcoin-wallet-ledger-vp-responds-data-hack

Гавнюки, профукали базу данных, подставили кучу людей и даже никаким образом не компенсируют это. Да это подстава натуральная. Даже если письма от Леджер получат все владельцы кошельков, это не приведет к тому что они начнут менять почты. И все равно останутся объектами для фишинга и прочего. Улет короче.

[1715115604]

1715115604

[1715115604]

1715115604

[1715115604]

1715115604

[1715115604]

1715115604

[1715115604]

1715115604

[1715115604]

1715115604

[TopTort777]

И можно ли чтобы у этих кошельков были разные пароли/24 фразы ?

Можно, но вам придется для смены 24 слов пользоваться двумя кнопками леджера - неудобно и долго. А зачем вам сид менять?
[/quote]

Возможно я не правильно поставил вопрос.

Необходимо иметь 2 адреса эфирных, 2 биткойна, и чтобы для подтверждения отправки из каждого адреса нужен был разный пароль (у меня не было аппаратника никогда и в вопрос особо не углублялся).

На одну комбинацию кошельков биткойн+эфирный собирать краны/баунти/дропы/светить их во всяких раздачах. А вторую комбинацию кошельков биткойн+эфирный использовать уже для хранения собственных средств. Чтобы в случае засвета первой пары, каким-нибудь чудесным образом не просрать накопления на второй паре.

Это как иметь телефон с двумя симками, но разными пинами. Один номер для семьи/близких/определенного круга людей, второй номер например для торговли на авито  Те не таскать с собой 2 телефона. Можно ли подобное организовать на леджере или ином аппаратнике?

[igor72]

Необходимо иметь 2 адреса эфирных, 2 биткойна, и чтобы для подтверждения отправки из каждого адреса нужен был разный пароль (у меня не было аппаратника никогда и в вопрос особо не углублялся).

На одну комбинацию кошельков биткойн+эфирный собирать краны/баунти/дропы/светить их во всяких раздачах. А вторую комбинацию кошельков биткойн+эфирный использовать уже для хранения собственных средств. Чтобы в случае засвета первой пары, каким-нибудь чудесным образом не просрать накопления на второй паре.

Это как иметь телефон с двумя симками, но разными пинами. Один номер для семьи/близких/определенного круга людей, второй номер например для торговли на авито  Те не таскать с собой 2 телефона. Можно ли подобное организовать на леджере или ином аппаратнике?

Да, на леджере можно сделать вход с двумя пинами: первый пин - одно адресное пространство, второй - другое. В трезорах такой фичи пока нет. Но если вводить пароль (passphrase), то такое можно устроить и там, и там в неограниченных количествах. Вход по пину более удобен.

[delfastTions]

Leger может заставить тратить биткойн вместо альткоинов
 
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.

[Domain_THEME]

Leger может заставить тратить биткойн вместо альткоинов
 
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.

Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

[igor72]

Насколько я понял, чтобы "заработать" на этой уязвимости, злоумышленник должен был:
1. Распространить модифицированный софт (Ledger Live, например). Что уже очень непросто, по-моему.
2. Как-то заставить жертву сделать ему перевод (то есть продать ему товар или услугу). Причем относительно экзотической монетой, что подозрительно (обычно расчеты производятся в битках или эфирах).
3. При этом сохранить анонимность (так как вскоре станет очевидно, что именно он и есть злодей). Пока не очень представляю, как это сделать.
4. Наконец, на кошельке жертвы должно быть нужное количество битков. То есть если товар/услуга стоит 10$, то при оплате в LTC битков в кошельке должно быть 0.2, а при оплате в DOGE должно быть уже 3000 BTC )).

Кстати, эта уязвимость была и в трезорах (уже вышла прошивка с фиксом), и, наверняка, в других аппаратниках.

[dakota.org]

Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Как я понимаю тому кто не работает с шитками, а отправляет только биткойны найденная уязвимость не грозит. Лишний раз убеждаюсь, что мультивалютные кошельки это палка о двух концах. Как ни старайся, а какая-нибудь засада да и найдется.

Насколько я помню из описания в Трезоре том же можно не активировать мультивалютность, а пользоваться им лишь для хранения битков. Но что есть то есть - и у Трезора были моменты не очень приятные и тут аналогично.

[igor72]

Насколько я помню из описания в Трезоре том же можно не активировать мультивалютность, а пользоваться им лишь для хранения битков.

Да, в трезоре можно залить спец. прошивку "только для BTC", без поддержки альтов. Я, правда, так и не понял, какой в этом смысл. Никто не мешает изолировать разные монеты по разным аккаунтам или даже по разным сидам. В случае с сидами - это просто делается изменением passphrase при входе в трезор (к примеру, btcqwerty12345, xrpqwerty12345, ethqwerty12345 итд.), в леджере тоже можно, но там это глубоко запрятано - быстро надоест.

[Domain_THEME]

Да, в трезоре можно залить спец. прошивку "только для BTC", без поддержки альтов.

Трезор как мне кажется даже если не брать в расчет то что у Леджера  в последнее время полоса неудач, все-таки более функционален. Там помимо основного функционала как кошелька есть еще хорошая вещь. Менеджер паролей. Который например очень удобно использовать с хромом для почты gmail.

[delfastTions]

У леджера видно с финансами не очень, мало того, что цены снизили на леджер, так ещё в Leger Live v 2.9.0 рекламку впендюрили
Раньше вроде не видел, глаза не мозолила.

[CreativeCoin]

Почитал за леджеры, устройство классное тут и придраться не к чему. Только ситуации разные бывают, что бы пользоваться таким устройством нужно должное обращение с ним, впринципе задумка классная, хоть сам и не пользовался лично, скажу ток то что как криптовалюта идёт в перёд так и технологии начали подгонять под нее, а это прогресс друзья мои. Приятно видеть что есть перспективы в будущем, хотя и прийдеться перетерпеть многое, пользоваться и развивать разными способами крипту это наш долг

[Aeshman]

Leger может заставить тратить биткойн вместо альткоинов
 
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.

Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Вероятность попасть на такую ситуацию практически равна нулю. Для начала надо суметь заразить свой кошелек (не буду пересказывать маловероятность этого, в постах выше все описано), и потом, я как-то мало себе представляю человека, у которого на леджере лежит свыше 5 битков и он при этом оправляет 5 (пять) догов. )) Кто вообще в наше время отправляет куда-то 5 догов, зачем, с какой целью? 
И вообще, я думаю, что люди, у которых количество битков исчисляется целыми единицами, десятками и паче того, скорей всего создали для этих целей реально холодный кошелек, а не хранят доступ к этим биткам на леджере или трезоре. Леджер иди трезор - это, имхо, компромиссный вариант, между настоящим холодным кошельком и всякими горячими вариантами, клиентами и т.д. Будь у меня овер 5 битков, я бы их положил на настоящий холодный, хотя леджер люблю и пользуюсь им регулярно для всяческой альты.   

[delfastTions]

Технический директор Ledger обсуждает безопасность кошельков после нескольких неудач компании в сфере безопасности

В том числе оригинальным мне показалась его заявление о том, что (выделено в тексте) :
....
Фишинг-мошенничество происходит, когда злоумышленник отправляет электронное письмо маскируясь под другое лицо или компанию, в попытке получить конфиденциальную информацию от клиента.  «Мы никогда не будем спрашивать у наших клиентов 24 слова из их фразы для восстановления», - сказал Гиллеме, призвав клиентов использовать двухфакторную аутентификацию, а также указал на образовательную информацию по безопасности, которую можно найти на сайте Ledger.

 Помимо фишинговых атак, Ledger защищает и от вредоносных программ.  «Устройства Ledger предназначены для защиты средств пользователей от вредоносных программ на компьютерах пользователей, в том числе от поддельных приложений Ledger Live», - пояснил Гиллемет, ссылаясь на настольное приложение Ledger для взаимодействия с устройствами-кошельками.  Он уточнил, что пользователи должны убедиться, что получили приложение на официальном онлайн-сайте Ledger или в магазине приложений.

 Yocom-Piatt также рассказала о защите от утечки данных компании, например, от которой пострадала Ledger.  «Поскольку системы электронной коммерции обычно имеют слабую защиту, я рекомендую пользователям, заказывающим эти устройства, отправлять их на адрес, который не является их основным местом жительства», - сказал он.

 Использование другого физического адреса защищает клиентов от разоблачения их места жительства в случае такого нарушения, помогая защититься от потенциальной личной кражи устройства кошелька Ledger. «Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Это как же понимать по отношению в леджер лайф  

Хотя, да... Может быть, может быть...

[Aeshman]

«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.

[igor72]

«Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.

Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.

[Aeshman]

Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.

Да, Вы правы, спасибо за уточнение, еще раз перечитал статью в Коинтелеграфе:

Yocom-Piatt also spoke on protection against company data breaches, such as the one Ledger suffered. “Since e-commerce systems typically have weak security, I recommend that users ordering these devices have them sent to an address that is not their primary residence,” he said.

Конечно такая цитата довольно странно смотрится в статье, где Ledger CTO отвечает на вопросы и критику. После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt, но возможно журналист Коинтелеграфа не счел необходимым получить ответ от Charles Guillemet по этому поводу. ))

[igor72]

После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt

По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.

[Aeshman]

После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt

По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.

Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:

when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy

что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Да, можно трактовать это как "ЛЛ, установленный на вашем компе выдает вас как владельца Леджера с потрохами" - и опасность потери конфиденциальности таком вот образом довольно призрачна, а вот с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Так что будь на на месте СТО, я бы где-то вот так парировал. ))

[igor72]

Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:

when possible, you should avoid using the wallet software supplied by the hardware wallet vendor to maximize your privacy

что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".

Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ).

с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ.

Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет.

[Aeshman]

Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций.

Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Тогда да - критика ЛЛ вполне уместна, согласен.