alegotardo (OP)
Legendary
Offline
Activity: 2590
Merit: 1225
☢️ alegotardo™️
|
Viram essa notícia do Criptofácil? A Kraken encontrou uma falha na Trezor One e Trezor Model T. Mas não fiquem tão apavorados pois o processo necessita de acesso físico ao dispositivo e equipamento especializado. A grosso modo, eles usam alta voltagem nos chips para "bugar o equipamento" e obter acesso à seed. Uma solução para o problema, além de obviamente impedir o acesso físico ao dispositivo, é utilizar uma passphrase já que essa wallet oculta não é violada no ataque. Então, a menos que tu seja igual ao @Paredao que tem uma fortuna de bitcoins e não gosta de Ledger (deve ter uma Trezor), ou tem uma Trezor mas faz uso da passphrase... não precisa se preocupar.
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
Forsyth Jones
|
|
February 01, 2020, 04:35:37 PM |
|
Viram essa notícia do Criptofácil? A Kraken encontrou uma falha na Trezor One e Trezor Model T. Mas não fiquem tão apavorados pois o processo necessita de acesso físico ao dispositivo e equipamento especializado. A grosso modo, eles usam alta voltagem nos chips para "bugar o equipamento" e obter acesso à seed. Uma solução para o problema, além de obviamente impedir o acesso físico ao dispositivo, é utilizar uma passphrase já que essa wallet oculta não é violada no ataque. Então, a menos que tu seja igual ao @Paredao que tem uma fortuna de bitcoins e não gosta de Ledger (deve ter uma Trezor), ou tem uma Trezor mas faz uso da passphrase... não precisa se preocupar. Isso mesmo @alegotardo, uma simples função trivial chamada Passphrase BIP39 que já existe em algumas carteiras como a Electrum bitcoin wallet já atenuaria a vulnerabilidade, que cá entre nós, isso já existe faz tempo, por isso o recomendado é utilizar Passphrases em hardware wallets ou usar SEM passphrase somente o valor de "bolso" do dia-a-dia, e sua real fortuna em uma carteira oculta protegida por Passphrase. Isso requer uma responsabilidade especial, se você por exemplo tem o costume de esquecer ou perder senhas, é melhor não usar criptografia BIP39, pois a chance de perder fundos por conta de falha humana é grande. Vai sair um artigo especial sobre quais cuidados tomar ao usar Criptografia BIP39, linko aqui quando estiver pronto.
|
| | . .Duelbits. | │ | ..........UNLEASH.......... THE ULTIMATE GAMING EXPERIENCE | │ | DUELBITS FANTASY SPORTS | ████▄▄▄█████▄▄▄ ░▄████████████████▄ ▐██████████████████▄ ████████████████████ ████████████████████▌ █████████████████████ ████████████████▀▀▀ ███████████████▌ ███████████████▌ ████████████████ ████████████████ ████████████████ ████▀▀███████▀▀ | . ▬▬ VS ▬▬ | ████▄▄▄█████▄▄▄ ░▄████████████████▄ ▐██████████████████▄ ████████████████████ ████████████████████▌ █████████████████████ ███████████████████ ███████████████▌ ███████████████▌ ████████████████ ████████████████ ████████████████ ████▀▀███████▀▀ | /// PLAY FOR FREE /// WIN FOR REAL | │ | ..PLAY NOW.. | |
|
|
|
|
Paredao
Legendary
Offline
Activity: 3500
Merit: 1662
|
|
February 01, 2020, 07:30:14 PM |
|
|
|
|
|
cryptobaboon
|
|
February 01, 2020, 11:00:50 PM Last edit: February 06, 2020, 01:24:34 PM by cryptobaboon |
|
As empresas se defendem dizendo que o gap causado pelo acesso físico não pode ser responsabilidade delas e, de certa forma, eu concordo. Analogamente seria como ter um cofre com a mais alta segurança e que fica no porão da sua residência... durante um assalto alguém a invade e o leva. Com o dispositivo ao seu dispor teriam tempo e facilidade de violá-lo.
A diferença, no entanto, é que aqui falamos de um meio digital e sua violação, mesmo que fisicamente, deveria ser levada em consideração. Mesmo que isso significasse um gatilho auto-destrutivo. Bom, até onde me recordo apenas falhas deste gênero têm dado as caras (como as da KeepKey que o tg mencionou).
Apesar de não plantar minhas seeds esperando por uma árvore de BTC, eu certamente ainda vejo a paper wallet como o método mais seguro para manter seus fundos. Hardware wallets nunca devem ser usadas para guardar grandes volumes, na verdade, elas não devem ser usadas a menos que o montante ali contido seja transacionado com frequência. Diminuir os pontos de falha é a melhor maneira de ficar seguro (às possíveis falhas do dispositivo e seu acesso indevido). Existindo a necessidade, no mínimo que ela siga as diretivas do BIP39, como o Forsyth indicou!
|
|
|
|
bitmover
Legendary
Offline
Activity: 2478
Merit: 6305
bitcoindata.science
|
|
February 02, 2020, 12:42:45 AM |
|
A trezor tem uma vulnerabilidade dessas que não tem correção e foi encontrada pela equipe da ledger. A única forma de se proteger mesmo é usando passphrase. Mas sinceramente, esse tipo de ataque em que um hacker precisa de acesso físico ao dispositivo é coisa de cinema... https://donjon.ledger.com/Unfixable-Key-Extraction-Attack-on-Trezor/Eu sempre preferi a ledger pq é mais barato, agora ainda com esse bug incurável...
|
|
|
|
Alveus
|
|
February 02, 2020, 09:14:15 PM |
|
Essas falhas apenas tem serventia em casos específicos como a morte do proprietário, como é o caso do multimilionário que faleceu e deixou tudo em could wallets. https://livecoins.com.br/500-milhoes-de-dolares-perdidos-em-ripple/Na realidade o método mais usual em pessoas vivas seria o ataque de 5 dólares - que consiste em utilizar qualquer objeto com esse valor, como chave de fendas, para forçar que o detentor da wallet revele a senha da could wallet. fonte:https://cointimes.com.br/conheca-o-ataque-de-5-que-pode-sumir-com-seus-bitcoins-para-sempre/ e xkcd (criador da charge).
|
|
|
|
Paredao
Legendary
Offline
Activity: 3500
Merit: 1662
|
|
February 02, 2020, 10:20:08 PM |
|
Essas falhas apenas tem serventia em casos específicos como a morte do proprietário, como é o caso do multimilionário que faleceu e deixou tudo em could wallets. https://livecoins.com.br/500-milhoes-de-dolares-perdidos-em-ripple/Na realidade o método mais usual em pessoas vivas seria o ataque de 5 dólares - que consiste em utilizar qualquer objeto com esse valor, como chave de fendas, para forçar que o detentor da wallet revele a senha da could wallet. fonte:https://cointimes.com.br/conheca-o-ataque-de-5-que-pode-sumir-com-seus-bitcoins-para-sempre/ e xkcd (criador da charge). Esse método de 5 dólares é infalível. Não adianta nem enterrar a paper wallet como eu faço. Por isso a melhor coisa a se fazer é não revelar para ninguém que você possui criptomoedas. Nem para parentes e amigos.
|
|
|
|
TryNinja
Legendary
Offline
Activity: 3010
Merit: 7434
Top Crypto Casino
|
|
February 02, 2020, 10:44:38 PM |
|
Esse método de 5 dólares é infalível. Não adianta nem enterrar a paper wallet como eu faço. Por isso a melhor coisa a se fazer é não revelar para ninguém que você possui criptomoedas. Nem para parentes e amigos. O esquema é ter mais de uma wallet. Uma fake, com um saldo relativamente baixo e a sua original. Precisa dar seus BTC? Dê a primeira e fique com o resto dos seus BTC. Só precisa ser convincente de que você só tem aquela wallet. Ou você pode até mesmo ir para o próximo nível: duas wallets fakes e uma original. Ladrão: passa a carteira. Você: ok... ok... aqui está (passa a 1 fake). Ladrão: eu sei que você tem mais. Você: não tenho não. Ladrão: vou te matar se não passar. Você: tabom, tabom, aqui está (passa a 2 fake).
|
|
|
|
Paredao
Legendary
Offline
Activity: 3500
Merit: 1662
|
|
February 06, 2020, 03:24:00 AM |
|
O esquema é ter mais de uma wallet. Uma fake, com um saldo relativamente baixo e a sua original. Precisa dar seus BTC? Dê a primeira e fique com o resto dos seus BTC. Só precisa ser convincente de que você só tem aquela wallet. Ou você pode até mesmo ir para o próximo nível: duas wallets fakes e uma original. Ladrão: passa a carteira. Você: ok... ok... aqui está (passa a 1 fake). Ladrão: eu sei que você tem mais. Você: não tenho não. Ladrão: vou te matar se não passar. Você: tabom, tabom, aqui está (passa a 2 fake). Sabe que você me deu uma ideia. Que tal começarmos a produzir cold wallets falsas ? Imagina mandar fazer várias carcaças plasticas de Trezor e de Ledger e vender por uns 40 ou 50 reais. Quando vier o ladrão vc dá a carteira fake(carcaça vazia). Gostou da ideia ?
|
|
|
|
Loganota
|
|
February 06, 2020, 02:05:21 PM |
|
Sabe que você me deu uma ideia. Que tal começarmos a produzir cold wallets falsas ? Imagina mandar fazer várias carcaças plasticas de Trezor e de Ledger e vender por uns 40 ou 50 reais. Quando vier o ladrão vc dá a carteira fake(carcaça vazia). Gostou da ideia ? Acho que os ladrões de hoje devem achar que as trezor e ledger são pen drives. Acho que um cara que está interessado em roubar HW vai é roubar o estoque pra revender igual fizeram com o cara da KriptoBR. Assaltante não quer ter trabalho não, ele quer roubar o que é mais fácil de passar pra frente.
|
|
|
|
sonico
Member
Offline
Activity: 100
Merit: 20
|
|
February 07, 2020, 07:13:16 PM |
|
Exatamente como falaram acima: A carteira com a seed com valor do dia a dia. Uma passphrase anotada com mais um valor pífio como engodo (decoy) E uma passphrase como a minha (swordfish), que só eu sei, com os milhões ganhos com a compra de antshares e venda da neo (sonho meu. E que só vai até aí porque comecei em 2017) Agora, se estiver no bar de um hotel ou pub, avistar o Tom Cruise e uma mina da hora puxar assunto com você, Saque sua hw e a destrua com o pé da cadeira, ou esmagando na junta de uma porta. Porque senão já era...
|
|
|
|
rdluffy
Legendary
Offline
Activity: 2408
Merit: 1453
|
|
February 07, 2020, 10:14:37 PM |
|
Parece que há um bom tempo atrás eu vi uma notícia muito, muito semelhante a essa, de um método que usaria a voltagem para conseguir invadir a carteira, porém é uma coisa MUITO específica e creio que pouquíssimas pessoas no mundo conseguiria fazer isso, mas tem a dificuldade imensa de que:
A pessoa precisa estar com a wallet física Se houver a senha, se tornaria impossível esse processo
Então não vejo motivos para desmerecer a empresa, somente fica o alerta para que corrijam numa próxima remessa
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
tg88
Legendary
Offline
Activity: 2492
Merit: 1491
Payment Gateway Allows Recurring Payments
|
|
February 07, 2020, 11:26:18 PM |
|
Parece que há um bom tempo atrás eu vi uma notícia muito, muito semelhante a essa, de um método que usaria a voltagem para conseguir invadir a carteira
Não é impressão não, eu também pensei o mesmo... achei que era o alegotardo postando noticia velha foram esses casos similares que foram noticiados no ano passado que citei no inicio do tópico
|
|
|
|
TryNinja
Legendary
Offline
Activity: 3010
Merit: 7434
Top Crypto Casino
|
|
February 07, 2020, 11:32:21 PM |
|
A pessoa precisa estar com a wallet física Se houver a senha, se tornaria impossível esse processo
Então não vejo motivos para desmerecer a empresa, somente fica o alerta para que corrijam numa próxima remessa
Isso. Não vi ninguém citando isso especificamente: Lembrando que o usuário que setar uma senha BIP39 na sua seed, ainda está seguro contra esse exploit. No caso, no momento que você obtem acesso físico à wallet, não é tão dificil conseguir desbloqueada (com ou sem exploit, vide o método dos $5).
|
|
|
|
Alveus
|
|
February 09, 2020, 12:28:59 AM |
|
~~Por isso a melhor coisa a se fazer é não revelar para ninguém que você possui criptomoedas. Nem para parentes e amigos. E nem para os auditores da RF . ~~ Sabe que você me deu uma ideia. Que tal começarmos a produzir cold wallets falsas ? Imagina mandar fazer várias carcaças plasticas de Trezor e de Ledger e vender por uns 40 ou 50 reais. Quando vier o ladrão vc dá a carteira fake(carcaça vazia). Gostou da ideia ? É uma ideia boa, o ladrão apenas saberia se era fake ou não horas depois após o roubo - o único incoveniente seria se solicitasse a transferencia de fundos no momento do roubo. É o mesma situação das pessoas que utilizam replicas de joias para salvar as originais.
|
|
|
|
Paredao
Legendary
Offline
Activity: 3500
Merit: 1662
|
|
February 09, 2020, 02:57:00 AM |
|
|
|
|
|
TryNinja
Legendary
Offline
Activity: 3010
Merit: 7434
Top Crypto Casino
|
|
February 09, 2020, 03:46:23 AM |
|
Só eu acho que hoje em dia o ladrão que tentar roubar sua hardware wallet (por entender sobre isso, caso contrário nem saberia o que é o dispositivo) vai pedir para você transferir as moedas para um endereço dele?
|
|
|
|
alegotardo (OP)
Legendary
Offline
Activity: 2590
Merit: 1225
☢️ alegotardo™️
|
|
February 10, 2020, 04:44:51 PM |
|
Só eu acho que hoje em dia o ladrão que tentar roubar sua hardware wallet (por entender sobre isso, caso contrário nem saberia o que é o dispositivo) vai pedir para você transferir as moedas para um endereço dele? Nesse caso então, rola comprar umas BCH... faz a transferência na hora de 0.5 BTC BCH pro endereço que ele informar e diz que a rede do Bitcoin tá congestionada. Todo ladrão tem pressa, após ver que você enviou não ficar mais de 10 minutos na tua frente esperando confirmar, vai sair faceiro da vida achando que tirou a sorte grande
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
Paulo2
|
|
February 14, 2020, 08:16:17 PM |
|
Essa falha em específico tem a necessidade de que o "atacante" tenha acesso físico, tempo e conhecimento técnico para conseguir burlar a segurança da Trezor. Além disso, a Trezor não pode ter passphrase para a falha poder ser explorada. De qualquer forma, fizemos uma matéria que explica um pouco sobre como proteger ainda mais a sua hardwallet.
|
Conheça o melhor portal brasileiro de blockchain e criptomoedas: CriptoFácil
|
|
|
|