Кошельки для Bitcoin (октябрь 2019)

[igor72]

В кошельке, наверное, не должно быть таких кнопок, приводящих к потере средств. На ум как-то не приходит ничего опасного в интерфейсе Электрума

А мне приходит. 

Кнопка " Send" в Электруме может привести к потере средств в случае левого адреса назначения  или неадекватно большого  размера комиссии.

Такая кнопка есть в любом кошельке, нет? )

Поэтому перед использованием любой кнопки или опции  ( как например SigHash в Sparrow) кошелька нужно понимать все последствия её активации.

Это да. Кстати, благодаря этой опции SigHash в Спарроу я случайно обнаружил уязвимость в Электруме (пофиксили в последнем релизе). Это к тому, что даже спустя 10+ лет находятся недоработки, что уж говорить про свежий софт.

Первый из двух приведенных вами практических примеров возможно не так актуален для человека, который редко осуществляет транзакции . Тут можно просто устанавливать комиссии по максимуму, и не париться.

Я там вскользь упомянул, но, подозреваю, вы не ухватили нюанс, поэтому приведу пример.
Допустим, у вас на одном и том же адресе есть 10 utxo по 0.01, вам нужно отправить 0.005. Без ручного коин-контроля большинство (если не все) кошельков оформят транзакцию как 10 входов и два выхода (0.005 и 0.095, комиссию для простоты в примере не учитываю), потому что кошельки ради приватности пытаются потратить сразу все utxo с адреса. А так вы можете взять для траты только один выход, заплатив комиссию за транзакцию раз в 5 меньше (пожертвовав некоторой приватностью, что почти всегда оправдано). Такое имеет смысл делать в период высоких комиссий, если комиссии низкие, то лучше пусть все utxo консолидируются, пока это недорого.

[1714739238]

1714739238

[1714739238]

1714739238

[1714739238]

1714739238

[1714739238]

1714739238

[satscraper]

Это к тому, что даже спустя 10+ лет находятся недоработки, что уж говорить про свежий софт.

Если бы только недоработки.

В Электруме до 4.2.2 существовала дыра, позволяющая хакерам проникать в кошельки пользователей и делать с ними всё, что им заблагорассудиться. И эта дыра существовала из-за отсутствия целостности кода кошелька, потому что его  разработчики вовсю  использовали сторонние библиотеки. Никто не знает сколько в нём еще дыр по той же причине.

Здесь подробности:

https://bitcointalk.org/index.php?topic=5472109.msg63228785#msg63228785

https://bitcointalk.org/index.php?topic=5472109.msg63230916#msg63230916

[Такая кнопка есть в любом кошельке, нет? )

Конечно есть, но вы же сказали что

В кошельке, наверное, не должно быть таких кнопок, приводящих к потере средств.

а оказывается без них не обойтись.

[igor72]

В Электруме до 4.2.2 существовала дыра, позволяющая хакерам проникать в кошельки пользователей и делать с ними всё, что им заблагорассудиться.

Согласитесь, вы тут слегка приукрасили? Мягко говоря.

И эта дыра существовала из-за отсутствия целостности кода кошелька, потому что его  разработчики вовсю  использовали сторонние библиотеки.

Дайте, пожалуйста, цитату, где написано, что виной тому сторонняя библиотека, а то по вашим ссылкам я этого не увидел (а видео там совсем никакое).

Никто не знает сколько в нём еще дыр по той же причине.

Никто не знает, сколько в нем дыр по любой причине. Так же, как никто не знает, сколько дыр в любом софте, в том числе и в Bitcoin Core, и в Sparrow. Последний тоже не гении пишут.

Конечно есть, но вы же сказали что

В кошельке, наверное, не должно быть таких кнопок, приводящих к потере средств.

а оказывается без них не обойтись.

Понятно.

[satscraper]

В Электруме до 4.2.2 существовала дыра, позволяющая хакерам проникать в кошельки пользователей и делать с ними всё, что им заблагорассудиться.

Согласитесь, вы тут слегка приукрасили? Мягко говоря.

И эта дыра существовала из-за отсутствия целостности кода кошелька, потому что его  разработчики вовсю  использовали сторонние библиотеки.

Дайте, пожалуйста, цитату, где написано, что виной тому сторонняя библиотека, а то по вашим ссылкам я этого не увидел (а видео там совсем никакое).

Ничего я не приукрашивал, зачем оно мне нужно, я  только транслировал то, что говорил Eric Michaud  в своей видео презентации. Нужно просто внимательно слушать ( в том числе и о сторонней библиотеке  qrcode), а не смотреть, . Релиз 4.2.2  пофиксил кошелёк так, чтобы сделать невозможным запрос файла через QR код, а 4.3.4.  полностью заменил библиотеку

Видете как оно обернулось. Вы жили в полной уверенности в Электрум,  а оказалось, что до середины 2022 года он был дырявым.

Те кто в работе с Электрум   вовсю использовали  QR коды вполне могли нарваться на эксплойт и потерять свои средства.

[igor72]

Ничего я не приукрашивал, зачем оно мне нужно, я  только транслировал то, что говорил Eric Michaud  в своей видео презентации. Нужно просто внимательно слушать ( в том числе и о сторонней библиотеке  qrcode), а не смотреть, .

Я внимательно (насколько мог, с английским у меня скорее плохо, чем хорошо) послушал, ничего про сторонние библиотеки не услышал (если хотите, дайте точное время в ролике, где это, послушаю еще раз), тем более нигде он не говорил про то, что

дыра, позволяющая хакерам проникать в кошельки пользователей и делать с ними всё, что им заблагорассудиться.

Уязвимость позволяла у пользователя Windows (пользователей линукса/мака это не касается), который воспользовался URI-ссылкой мерчанта для оплаты товара/услуги (этим далеко не все пользуются) угнать логин и хеш системного пароля, и в случае успешного брутфорса этого пароля (что далеко не гарантировано) получить файл кошелька, который у нормального пользователя должен быть закрыт хорошим невзламываемым паролем. 

Релиз 4.2.2  пофиксил кошелёк так, чтобы сделать невозможным запрос файла через QR код, а 4.3.4.  полностью заменил библиотеку

Да при чем тут QR-библиотека? Модифицированную ссылку на оплату фальшивый продавец мог и текстом передать. Там просто ошибка разрабов.

Видете как оно обернулось. Вы жили в полной уверенности в Электрум,  а оказалось, что до середины 2022 года он был дырявым.

Почему вы так решили? Я не жил в полной уверенности ни в Электрум, ни в Bitcoin Core, у обоих раньше были уязвимости и поопасней этой. Вполне допускаю, что и сейчас там есть уязвимости, о которых нам еще предстоит узнать. Это только в Sparrow дырок быть не может.

Те кто в работе с Электрум   вовсю использовали  QR коды вполне могли нарваться на эксплойт и потерять свои средства.

Для этого они должны были:
1. Использовать горячий кошелек
2. Под Windows
3. Оплачивать по URI-ссылке
4. Иметь слабый пароль в винде.
5. Кошелек должен быть тоже закрыт плохим паролем (или не иметь пароля вовсе).
Честно говоря, сочетание 1, 2 и 5 пунктов уже само по себе выглядит стрёмно, независимо от названия программы кошелька. Когда у такого юзера уводят монеты, я ему даже не сочувствую.

[satscraper]

Ничего я не приукрашивал, зачем оно мне нужно, я  только транслировал то, что говорил Eric Michaud  в своей видео презентации. Нужно просто внимательно слушать ( в том числе и о сторонней библиотеке  qrcode), а не смотреть, .

Я внимательно (насколько мог, с английским у меня скорее плохо, чем хорошо)

Ну с аглийским на слух я уж точно не могу помочь.

Он минут десять рассказывает об уязвимости использованной QR библиотеки и разработанном ими QR эксплойте. Слушать нужно начиная с 18:00 минуты. Я кстати указывал на это в той ссылке в общем разделе, но вы видимо не обратили на неё внимание. https://bitcointalk.org/index.php?topic=5472109.msg63228785#msg63228785

[igor72]

Он минут десять рассказывает об уязвимости использованной QR библиотеки и разработанном ими QR эксплойте. Слушать нужно начиная с 18:00 минуты. Я кстати указывал на это в той ссылке в общем разделе, но вы видимо не обратили на неё внимание. https://bitcointalk.org/index.php?topic=5472109.msg63228785#msg63228785

Обратил, к тому же ваша ссылка на видео там с привязкой по времени. Именно про Электрум он говорил почти ровно пять минут. Точно можете дать время, с какой секунды по какую слушать про уязвимость в QR?

[satscraper]

Считаю нужным обратить внимание пользователей Electrum на уязвимость этого кошелька к Phemedrone Stealer

Под угрозой малвари, которая научилась обходить Microsoft Windows Defender SmartScreen, находятся пользователи Windows.

Поэтому не кликайте на что попало.

[igor72]

Считаю нужным обратить внимание пользователей Electrum на уязвимость этого кошелька к Phemedrone Stealer

Да, давайте пугать пользователей винды всякой малварью, может одумаются и начнут переходить на более безопасную операционку. Вот здесь написано про другой зловред, там список уязвимого софта гораздо больше: https://www.resecurity.com/blog/article/new-version-of-medusa-stealer-released-in-dark-web

[satscraper]

Точно можете дать время, с какой секунды по какую слушать про уязвимость в QR?

Точнее, об уязвимости в имплементации QR, выбранной в Злектрум.

Eric Michaud является CEO Unciphered.

Так как у вас плохо с пониманием (на слух) того, что он сказал в своей презентации, пришлось потратить несколько минут чтобы на их сайте (https://www.unciphered.com/kairos) найти ссылку на странице гитхаба, где говорится об уязвимости в QR https://github.com/spesmilo/electrum/security/advisories/GHSA-4fh4-hx35-r355

Может это вам поможет.

, может одумаются и начнут переходить на более безопасную операционку.

А ещё лучше на мультисиг кошельки с подписантами на основе аппаратников  

[igor72]

Точно можете дать время, с какой секунды по какую слушать про уязвимость в QR?

Точнее, об уязвимости в имплементации QR, выбранной в Злектрум.

Eric Michaud является CEO Unciphered.

Так как у вас плохо с пониманием (на слух) того, что он сказал в своей презентации, пришлось потратить несколько минут чтобы на их сайте (https://www.unciphered.com/kairos) найти ссылку на странице гитхаба, где говорится об уязвимости в QR https://github.com/spesmilo/electrum/security/advisories/GHSA-4fh4-hx35-r355

Может это вам поможет.

Это я видел раньше, не надо было искать. Об уязвимости QR-библиотеки там нет ни слова. Вы бы лучше эти несколько минут потратили для поиска места в видео, где он об этом говорил. А с пониманием на слух я разберусь, с большего понимаю. Если вдруг что-то не расслышу, кто-нибудь поможет (вы, например)).

, может одумаются и начнут переходить на более безопасную операционку.

А ещё лучше на мультисиг кошельки с подписантами на основе аппаратников  

Это уже для параноиков типа нас с вами .

[BVeyron]

Попалась мне как-то на днях очеркдная рекламка кошельков от Blockchain.com, тот что раньше был  Blockchain.info.
Вспомнил я, что и уменя когда та на заре криптодеятельности были какие то эти кошельки.
Решил почитать, что там с этой конторой здесь на форуме  в англотопиках.
И надо сказать обалдел от количества разных топиков именно по вопросам с этим кошельком.
Причем там у них был переход с их какой-то дурацкой кодировки приваткея на нормальную BIP39.
Все претензии по старым кошелькам и про подтверждение по почте. Криптаны теряли старые мыло и ку ку. Эти чмыри им доступ не открывают, если не пришлешь какой то безумный кусь, с фото мордой с доками и бумажками с написанными от руки какими то еще данными. Бред, бля.

Так что если кто вздумает им пользоваться, то сразу в помойку саму эту крамольную  мысль.
Дрянь а не криптанский кошелек.

[satscraper]

Последние дни принесли обновление ещё одному замечательному кошельку, а именно BlueWallet, который обновился сначала до версии 6.4.15, а затем, буквально через несколько дней до 6.4.16.

Столь быстрая череда обновлений была вызвана тем, что несмотря на целый воз исправлений, привнесенный в BlueWallet его версией 6.4.15, для пользователей  операционок macOS и iPadOS исчезла  возможность активации "Settings" в меню кошелька.

[BVeyron]

Последние дни принесли обновление ещё одному замечательному кошельку, а именно BlueWallet, который обновился сначала до версии 6.4.15, а затем, буквально через несколько дней до 6.4.16.

Столь быстрая череда обновлений была вызвана тем, что несмотря на целый воз исправлений, привнесенный в BlueWallet его версией 6.4.15, для пользователей  операционок macOS и iPadOS исчезла  возможность активации "Settings"

Тоже пользуюсь, периодически правда и  только мобильным приложением, но так по мелочам конечно. Мне нравится, что у них все красиво, так малость разноцветно: зеленая,  красная, синяя, голубая карточки, нормально придумали раскрасить разные кошельки. Удобно  видно какой из них. И еще  хавает сиды и приваты разные только так.
Но по моему как-то он плохо советует комиссию ставить, вроде как не очень она подходит, приходится отдельно смотреть на других ресурсах. 

[witcher_sense]

Тоже пользуюсь, периодически правда и  только мобильным приложением, но так по мелочам конечно. Мне нравится, что у них все красиво, так малость разноцветно: зеленая,  красная, синяя, голубая карточки, нормально придумали раскрасить разные кошельки. Удобно  видно какой из них. И еще  хавает сиды и приваты разные только так.
Но по моему как-то он плохо советует комиссию ставить, вроде как не очень она подходит, приходится отдельно смотреть на других ресурсах. 

Я вообще перестал доверять встроенным в кошельки "подсчитывателям" актуальных комиссий, очень часто приходиться перед отправкой транзакции заходить куда-нибудь типа mempool.space и вручную выставлять приемлемую комиссию. Так гораздо эффективнее получается защитить себя от "застрявших" транзакций. Вообще в кошельках должна быть настройка "провайдеры информации о текущих комиссиях", где можно будет выбрать либо из списка одобренных сервисов, либо вручную добавить ссылку на сайт или апишку, откуда и будут забираться актуальные комиссии. А для тех кто не хочет заморачиваться будет предлагаться дефолтная настройка как сейчас.

[Smartprofit]

Тоже пользуюсь, периодически правда и  только мобильным приложением, но так по мелочам конечно. Мне нравится, что у них все красиво, так малость разноцветно: зеленая,  красная, синяя, голубая карточки, нормально придумали раскрасить разные кошельки. Удобно  видно какой из них. И еще  хавает сиды и приваты разные только так.
Но по моему как-то он плохо советует комиссию ставить, вроде как не очень она подходит, приходится отдельно смотреть на других ресурсах.  

Я вообще перестал доверять встроенным в кошельки "подсчитывателям" актуальных комиссий, очень часто приходиться перед отправкой транзакции заходить куда-нибудь типа mempool.space и вручную выставлять приемлемую комиссию. Так гораздо эффективнее получается защитить себя от "застрявших" транзакций. Вообще в кошельках должна быть настройка "провайдеры информации о текущих комиссиях", где можно будет выбрать либо из списка одобренных сервисов, либо вручную добавить ссылку на сайт или апишку, откуда и будут забираться актуальные комиссии. А для тех кто не хочет заморачиваться будет предлагаться дефолтная настройка как сейчас.

Чувствую, что в этих комиссиях майнеров следует разобраться, потому что в долгосрочной перспективе они растут, и выставляя оптимальную комиссию можно неплохо так сэкономить....
Опять-таки эти ординалсы приводят к тому, что комиссии зашкаливают. У меня сейчас очень мало транзакций в биткоине, я редко совершаю операции по передаче сатошей в сети.
Поэтому для меня приоритет, просто чтобы транзакция не застряла надолго. Такого мне точно не хочется.
Соответственно, я выбираю максимальную транзакцию, чтобы она попала в следующий блок. Кошелек Electrum это позволяет. Так надёжнее.
Может конечно я что-то переплачиваю, но для меня важнее, чтобы транзакция была осуществлена.
При этом, я осознаю, что эта тактика со временем, с учётом роста комиссий может быть очень невыгодной финансово. И придётся её менять. И что-то новое придумывать.

[bakasabo]

Я вообще перестал доверять встроенным в кошельки "подсчитывателям" актуальных комиссий, очень часто приходиться перед отправкой транзакции заходить куда-нибудь типа mempool.space и вручную выставлять приемлемую комиссию. Так гораздо эффективнее получается защитить себя от "застрявших" транзакций. Вообще в кошельках должна быть настройка "провайдеры информации о текущих комиссиях", где можно будет выбрать либо из списка одобренных сервисов, либо вручную добавить ссылку на сайт или апишку, откуда и будут забираться актуальные комиссии. А для тех кто не хочет заморачиваться будет предлагаться дефолтная настройка как сейчас.

Я так же не доверяю предлагаемым кошельками комиссиям. Сперва я обжегся с онлайн кошельком, который выставлял все на максимально возможно высокой комиссии (попадание в следующий блок). Позже стал перепроверять то что предлагает ledger. Так как когда mempool.space указывал 50-60sat/b, ledger не смущаясь показывал 150-200-250. Вот и сейчас, перепроверил и тот же ledger автоматом выставляет все почти в 2 раза выше чем видно на mempool.space.

[igor72]

Я так же не доверяю предлагаемым кошельками комиссиям. Сперва я обжегся с онлайн кошельком, который выставлял все на максимально возможно высокой комиссии (попадание в следующий блок). Позже стал перепроверять то что предлагает ledger.

Лучше леджер подключать к нормальному интерфейсу (Electrum, Sparrow), там, кроме прочих преимуществ, и комиссию адекватную показывает (только в Электруме для этого нужно в окне выбора комиссии установить параметр "Мемпул"). Но всё равно я тоже предпочитаю самостоятельно анализировать тенденцию по графику - часто можно предугадать изменение комиссии через несколько часов и выбрать более правильное значение.

[BVeyron]

Я так же не доверяю предлагаемым кошельками комиссиям. Сперва я обжегся с онлайн кошельком, который выставлял все на максимально возможно высокой комиссии (попадание в следующий блок). Позже стал перепроверять то что предлагает ledger.

Лучше леджер подключать к нормальному интерфейсу (Electrum, Sparrow), там, кроме прочих преимуществ, и комиссию адекватную показывает (только в Электруме для этого нужно в окне выбора комиссии установить параметр "Мемпул"). Но всё равно я тоже предпочитаю самостоятельно анализировать тенденцию по графику - часто можно предугадать изменение комиссии через несколько часов и выбрать более правильное значение.

Да наверное и большинство тут из нас, пользователей форума  сами комисию выясняют и ставят. Это дело такое, кто много раз сталкивался примерно представляет как оно пойдет дальше.

Кстати взглянул тут в начале часа на ВиаБтс, там картина такая прям в первую секунду кликнул было 11 свободных транзакций, а уже следующее обновление уже ноль. Так что сложно вписаться все таки, до чего мне не нравятся все эти гонки за то чтоб  быть в первых счастливчиках в какой то очередной раздаче чего то в интернете.

[witcher_sense]

Я так же не доверяю предлагаемым кошельками комиссиям. Сперва я обжегся с онлайн кошельком, который выставлял все на максимально возможно высокой комиссии (попадание в следующий блок). Позже стал перепроверять то что предлагает ledger. Так как когда mempool.space указывал 50-60sat/b, ledger не смущаясь показывал 150-200-250. Вот и сейчас, перепроверил и тот же ledger автоматом выставляет все почти в 2 раза выше чем видно на mempool.space.

У разработчиков Ledger такое же мышление как и владельцев различных централизованных сервисов: клиент по умолчанию очень глупый, сам он настраивать кошелек не любит и не умеет, но мы не хотим потерять ни одного клиента, поэтому обеспечиваем им "мгновенные" транзакции через искусственно завышенную комиссию. Кто научился проверять комиссии самостоятельно, тот научится подключать кошелек к стороннему софту, а потом еще и сам кошелек захочет поменять на более функциональный и настраиваемый. Нет, лучше уж не позволять пользователям эволюционировать, пусть продолжают отправлять транзакции за большие деньги.