Уязвимости аппаратных кошельков.

[Xal0lex]

Сегодня натыкался на новость, что леджеровцы, под влиянием жёсткой критики от сообщества отменили спорную свою инициативу. Щас лень искать ссылки, но новость дуду цитировать, кому-нибудь да попадётся на глаза.
   Интересно другое: что сподвигло леджеровцев на такие странные "функции". Вроде разрабы знакомы с криптанским мировоззрением, объяснять им не надо.

Далеко ходить не надо, у нас в разделе "Новости" есть такой топик [2023-05-24]Ledger откладывает выпуск службы восстановл&#

[1714497237]

1714497237

[1714497237]

1714497237

[1714497237]

1714497237

[klarki]

Далеко ходить не надо, у нас в разделе "Новости" есть такой топик [2023-05-24]Ledger откладывает выпуск службы восстановл&#

Т.е они явно ответили, что их решение небезопасно?) Исходный код сказали сделают открытым (речь о Recovery). Только вот самый главный посыл комьюнити до них так и не дошел.

upd.
Перевод статьи немного некорректен.

[witcher_sense]

Сегодня натыкался на новость, что леджеровцы, под влиянием жёсткой критики от сообщества отменили спорную свою инициативу. Щас лень искать ссылки, но новость дуду цитировать, кому-нибудь да попадётся на глаза.
   Интересно другое: что сподвигло леджеровцев на такие странные "функции". Вроде разрабы знакомы с криптанским мировоззрением, объяснять им не надо.

Они ее не отменили полностью, а лишь приостановили ее внедрение: я так понял до того момента пока не сделают весь необходимый код открытым. Для чего они ввели или предложили такую функцию объяснить довольно просто: деньги. Когда на рынке было 1,5 аппаратных кошелька, то продажи приносили им неплохие деньги и этого было достаточно. Но с ростом конкуренции они решили предложить нечто необычное для аппаратного кошелька, подобие кастодиального хранения. Разумеется, они это все объяснили иначе, типа бабушки не могут самостоятельно хранить сид, но на самом деле они заботяться не о бабушках, а о пополнении собственного кармана. Негатив в сообществе вызвал у них беспокойство, они могут потерять даже доход с продаж, значит теперь логичным шагом будет скормить историю об опенсорс и ввести функцию немного позднее, когда все уже успокоятся и позабудут о фейле Леджера. То есть Леджер лишь выжидает, идея расшарить ваш сид и заработать на этом все еще кажется им очень привлекательной.

[satscraper]

Возможные уязвимости MCU используемого в аппаратных кошельках.

Эти модули  могут быть уязвимы к различным атакам, и хотя их схематика  позволяет противодействовать многим из них, производители HW должны принимать дополнительные специальные меры для устранения / смягчения возможных угроз.

Даже MCU бесконтактного кошелька  может оказаться под угрозой. Скажем, те кошельки , которые  уже используют протокол NFS для связи с программными прокси или будут спользовать его , могут быть уязвимы, если у этого протокол с дырами.  Вот почему очень важно чтобы для HW  были с  открытым исходным кодом.

Очень опасны (и в то же время наиболее затратны) аппаратно-инвазивные атаки, которые возможны при прямом доступе к устройству. Таким образом, каждое HW, которым владеете вы, должно рассматриваться как устройство, к которому имеете доступ только вы и никто другой.

[Julien_Olynpic]

Иногда мне кажется, что аппаратники вообще лучше не использовать. Как вам такое мнение? Ведь в случае с получением физического доступа злоумышленника к вашему аппаратнику есть весьма и весьма ненулевая вероятность выковыривания крипты оттуда.
  Как по мне, достаточно раскидать баланс по многим сид-фразам, хорошо зашифровать-запутать их и лишь помаленьку вставлять в десктопные или андроид кошели.
Опасностей не больше и не меньше, но, по-моему, аппаратник - это просто лишняя ебля или самообман. Хотя допускаю, что неправ.

[satscraper]

Иногда мне кажется, что аппаратники вообще лучше не использовать. Как вам такое мнение? Ведь в случае с получением физического доступа злоумышленника к вашему аппаратнику есть весьма и весьма ненулевая вероятность выковыривания крипты оттуда.
  

Чтобы эта вероятность "выковыривания крипты оттуда" стала ненулевой нужно ещё два условия - злоумышленник должен обладать соответствующими знаниями. Людей с такой квалификацией можно пересчитать по пальцам.   И второе условие - необходимо иметь очень и очень дорогостоящее оборудувание для "выковыривания крипты оттуда".

  Как по мне, достаточно раскидать баланс по многим сид-фразам, хорошо зашифровать-запутать их и лишь помаленьку вставлять в десктопные или андроид кошели.
Опасностей не больше и не меньше, но, по-моему, аппаратник - это просто лишняя ебля или самообман. Хотя допускаю, что неправ.

"лишняя ебля или самообман" как раз в случае если " раскидать баланс по многим сид-фразам, хорошо зашифровать-запутать их и лишь помаленьку вставлять в десктопные или андроид кошели"


 Очень не хотелось бы чтобы тема превратилась во флуд.

просьба избавить тему от разговоров "ни о чём" (типа как всё плохо, надо хранить на бумаге и не пользоваться аппаратными кошелькакми, холодное хранение на компьютере лучше и тому подобные никому не нужные рассуждения) или как ещё говорят "не лить воду" обсуждая тему.

В противном случае закрою её.

Пример флуда
        II
        V

[light_warrior]

Иногда мне кажется, что аппаратники вообще лучше не использовать. Как вам такое мнение? Ведь в случае с получением физического доступа злоумышленника к вашему аппаратнику есть весьма и весьма ненулевая вероятность выковыривания крипты оттуда.
  Как по мне, достаточно раскидать баланс по многим сид-фразам, хорошо зашифровать-запутать их и лишь помаленьку вставлять в десктопные или андроид кошели.
Опасностей не больше и не меньше, но, по-моему, аппаратник - это просто лишняя ебля или самообман. Хотя допускаю, что неправ.

Очень даже поддержу такое мнение. Я считаю что это лишний выброс денег. А различные компашки просто зарабатывают на страхе трудового народа потерять нажитое непосильным трудом так сказать. Я так думаю.

В противном случае закрою её.

Вот ты урод. Это мнение а не флуд. Не нравится мнение не по твоему? Это форум и все могут высказываться как могут. А чего ж ты на Julien_Olynpic не наезжаешь? Он же тоже "флудит" по твоему. Да закрывай свою говно тему. Другую откроют кому надо будет.

[satscraper]

                                                                                                                           ^
Тема закрыта до тех пор пока модераторы не уберут вышеозначенное низкого качества сообщение, имеющее целью зафлудить тему постами, не имеющими к ней никакого отношения .