joker_josue
Legendary
Offline
Activity: 1848
Merit: 5078
**In BTC since 2013**
|
|
May 18, 2023, 08:01:24 PM |
|
Embora seja sempre recomendado entender o máximo possível sobre os produtos e serviços que utilizamos, reconheço que nem todos têm a capacidade de compreender 100% dos detalhes técnicos de uma hardware wallet. É uma questão de reconhecer nossas próprias limitações e tomar medidas para minimizar os riscos.
Entender o máximo possível é sempre muito subjetivo. Eu tenho de carro, e não percebo de mecânica. Ok, tenho uma ideia de como as coisas funcionam, e consigo perceber algumas coisas, mas nunca me iria aventurar a mexer naquilo. Acho que uma coisa é entendermos como as coisas funcionam, até por uma questão de cultura geral. Mas entender como funciona, não significa que se tem a capacidade de criar, manter, gerir, explorar a fundo, etc., isso que entendemos. Mas, claro que concordo que devemos ter uma ideia de como as coisas funcionam, para entendermos minimamente os riscos que podemos passar e tomar as medidas adequadas ao conhecimento que se tem. E no mercado cripto isso é muito importante, principalmente a nível dos riscos.
|
|
|
|
tg88
Legendary
Offline
Activity: 2506
Merit: 1500
Payment Gateway Allows Recurring Payments
|
|
May 18, 2023, 10:27:05 PM |
|
Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor. Sobre a Trezor também teve noticia polemica essa semana, nada de responsabilidade direta a eles mas a Kaspersky publicou um relatório sobre o aparecimento de HardWallets falsas da Trezor sendo vendidas por lojas não oficiais. Com a troca de componentes internos os invasores conseguiam roubar as chaves privadas. Normalmente a venda é feita por "bons" vendedores em termos de reputação dentro dos marketplaces e isso passa uma sensação de confiabilidade:
|
|
|
|
alegotardo
Legendary
Offline
Activity: 2604
Merit: 1225
☢️ alegotardo™️
|
Qualquer das formas, eu continuo com a sensação que eles falharam na comunicação e as coisas não são bem como aparentam ser. Mas, agora o mal já está feito e dificilmente conseguem dar a volta. De certeza que as vendas baixaram nos últimos dias...
Com certeza, e o pior é que a concorrência parece estar querendo aprovietar esse momento para abocanhar os clientes da Ledger com várias promoções de 10 á 20% ou mais de desconto. E o problema não foi só comunicação não, eles tentaram inventar algo para ser inovador (é assim que se destaca da concorrência) mas acho que a ideia da vez foi do estagiário Vendas perdidas agora, certamente, mas também milhares de futura vendas que nunca mais serão concretizadas pois a Ledger manchou sua reputação e pelas últimos anúncios que andei lendo, parece que não vão voltar atrás. Sorte a minha que não comprei a Nano S, vou escolher outro fabricante para minha próxima aquisição.
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
joker_josue
Legendary
Offline
Activity: 1848
Merit: 5078
**In BTC since 2013**
|
|
May 19, 2023, 11:24:39 AM |
|
Sorte a minha que não comprei a Nano S, vou escolher outro fabricante para minha próxima aquisição.
Eu comprei a minha primeiroa HW wallet (Nano S Plus) há uns 3-4 meses... Enfim, agora, para já aguenta facilmente. Não vou fazer qualquer atualização e para o meu uso é tranquilo. Mas, daqui a uns tempos, talvez tenha de pensar em adquirir outra. Veremos.
|
|
|
|
TryNinja
Legendary
Offline
Activity: 3024
Merit: 7443
Top Crypto Casino
|
|
May 20, 2023, 12:17:42 AM |
|
Sobre a Trezor também teve noticia polemica essa semana, nada de responsabilidade direta a eles mas a Kaspersky publicou um relatório sobre o aparecimento de HardWallets falsas da Trezor sendo vendidas por lojas não oficiais. Com a troca de componentes internos os invasores conseguiam roubar as chaves privadas. Normalmente a venda é feita por "bons" vendedores em termos de reputação dentro dos marketplaces e isso passa uma sensação de confiabilidade
Mas a wallet é lida pelo software da Trezor e dada como original? Interessante a diferença entre os componentes. Provavelmente uma boa abrir a HW e conferir tudo você mesmo, assim como a Ledger tem seu guia com fotos de frente e verso do PCB: https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity
|
|
|
|
tg88
Legendary
Offline
Activity: 2506
Merit: 1500
Payment Gateway Allows Recurring Payments
|
|
May 20, 2023, 12:27:23 AM |
|
Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança. Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowallet
|
|
|
|
TryNinja
Legendary
Offline
Activity: 3024
Merit: 7443
Top Crypto Casino
|
|
May 20, 2023, 12:35:29 AM |
|
Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança. Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowalletParece ser um problema no mecanismo da Trezor. Será que a Ledger é tão suscetível quanto ela? De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1Outras hardware wallets parecem ter pensado melhor em resolver esse problema. Espero que as proximas versões sejam mais bem pensadas: https://shiftcrypto.ch/blog/supply-chain-attacks/
|
|
|
|
rdluffy
Legendary
Offline
Activity: 2422
Merit: 1453
|
|
May 20, 2023, 12:13:54 PM |
|
Confesso aqui que eu fui um paranóico, não resisti e abri minha Ledger depois de uns dias após ter comprado. Deu tudo certo, mas eu fiquei com a pulga atrás da orelha e achei melhor abrir. O processo foi bem simples até, mas bateu tudo certo com as fotos da versão da minha Nano S, pelo menos me deu tranquilidade (até agora rs) Também recomendo abrir a Nano S quem tem, pois é bastante simples, risco quase zero de estragar. Já tem vários vídeos no Twitter das pessoas destruindo as ledgers Fonte
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
non fungible anxiety (OP)
Member
Offline
Activity: 137
Merit: 25
|
|
May 20, 2023, 03:45:43 PM |
|
Por incrível que pareça sim, na foto onde ela aparece aberta parece uma super gambiarra mal feita mas na prática para quem só interage via software ela é bem convincente além de que externamente nada gera desconfiança. Este é o relatório na integra, bem interessante: Case study: fake hardware cryptowalletParece ser um problema no mecanismo da Trezor. Será que a Ledger é tão suscetível quanto ela? De acordo com a Trezor, haveria um alerta no software de que a HW está rodando um firmware não oficial: https://twitter.com/Trezor/status/1658484096040054788/photo/1Outras hardware wallets parecem ter pensado melhor em resolver esse problema. Espero que as proximas versões sejam mais bem pensadas: https://shiftcrypto.ch/blog/supply-chain-attacks/Os meliantes conseguiram burlar a verificação de segurança, você poderia instalar e atualizar o firmware que não seria acusado a alteração do aparelho.
|
|
|
|
TryNinja
Legendary
Offline
Activity: 3024
Merit: 7443
Top Crypto Casino
|
|
May 20, 2023, 03:53:36 PM |
|
Os meliantes conseguiram burlar a verificação de segurança, você poderia instalar e atualizar o firmware que não seria acusado a alteração do aparelho.
Então... problema na arquitetura do dispositivo. Ainda que nada seja 100% infalível, há formas de dificultar esse tipo de adulteração. No caso que linkei, o desenvolvedor da HW assina e verifica mensagens assinadas com uma key própria do chip SE. Se ocorrer uma adulteração no chip, a mensagem já não bate mais. Aí só (também) com um software adulterado (que ninguem mais salva ).
|
|
|
|
tg88
Legendary
Offline
Activity: 2506
Merit: 1500
Payment Gateway Allows Recurring Payments
|
|
May 20, 2023, 05:17:55 PM |
|
Confesso aqui que eu fui um paranóico, não resisti e abri minha Ledger depois de uns dias após ter comprado. Deu tudo certo, mas eu fiquei com a pulga atrás da orelha e achei melhor abrir. O processo foi bem simples até, mas bateu tudo certo com as fotos da versão da minha Nano S, pelo menos me deu tranquilidade (até agora rs)
Também recomendo abrir a Nano S quem tem, pois é bastante simples, risco quase zero de estragar.
Acho que está ai uma coisa que muita gente vai passar a fazer e talvez se torne um dos princípios de segurança a ser seguido. Foi tranquilo para abrir? vi ali no relatório da Kaspersky que a Trezor é bem chata pra abrir pois possui umas colas bem fortes unindo as partes.
|
|
|
|
alegotardo
Legendary
Offline
Activity: 2604
Merit: 1225
☢️ alegotardo™️
|
|
May 20, 2023, 05:32:49 PM |
|
Cara, eu até acredito que seja possível fazer um monte de bloqueios e verificações a nivel de hardware que sejam facilmente verificáveis através de um software. Mas ainda assim eu fico na dúvida se não há sempre algum hacker que consiga utilizar de mecanismos originais da Trezor, por exemplo, ou então fazer um clone idêntico do componente e suas assinaturas e depois simplesmente adicionar algo intermediário apenas para ler o tráfego e eventualmente capturar oque lhe é interessante para injetar códigos mal intencionados. Sei lá... mas hoje um simples "pendrive" de pessoas comuns carrega muito mais valor do que muitas contas bancárias de gente rica/famosa. Não duvido nada que tenha empresas especialistas com muito dinheiro e fnucionários de mentes brilhantes trabalhando para bolar esquemas em cima dessas hardware wallets. A única vez que comprei uma hardware wallet foi direto do fbricante, e ainda tomei todos os cuidados para me certificiar de que a embalagem não estava violada, de que ela aparentemente era original por fora e por dentro e ainda demorou para eu ter a confiança de passar meus míseros satoshis da walletpapper para a Nano S.
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
joker_josue
Legendary
Offline
Activity: 1848
Merit: 5078
**In BTC since 2013**
|
|
May 20, 2023, 07:28:10 PM |
|
Já tem vários vídeos no Twitter das pessoas destruindo as ledgers Acho que isso depois entra na onda do radicalismo. Mas, pronto cada um sabe de si, e gere as coisas da sua maneira. [Pergunta de noob] Já agora, a pessoa com a seed consegue abrir a carteira em qualquer software de carteira, correto?
|
|
|
|
rdluffy
Legendary
Offline
Activity: 2422
Merit: 1453
|
|
May 20, 2023, 08:24:03 PM Last edit: May 20, 2023, 08:36:34 PM by rdluffy |
|
Acho que isso depois entra na onda do radicalismo. Mas, pronto cada um sabe de si, e gere as coisas da sua maneira.
[Pergunta de noob] Já agora, a pessoa com a seed consegue abrir a carteira em qualquer software de carteira, correto?
É a revolta dos usuários por terem mentido Sobre a seed, sim, você pode usar a sua seed da Ledger em um software de carteira que use a BIP 39, Electrum por exemplo https://worldcoin.org/articles/what-is-seed-phraseEdit: Um exemplo que pensei, se caso não confiar mais na Ledger, pode usar a hardwallet para somente gerar seeds e usar com softwares terceiros, tipo a Electrum, e não usar mais a Ledger Live ou atualizar qualquer coisa na Ledger. E sempre ficar de olho nas notícias pra ver se não teve nenhum exploit etc
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
joker_josue
Legendary
Offline
Activity: 1848
Merit: 5078
**In BTC since 2013**
|
|
May 21, 2023, 06:40:55 AM |
|
Edit: Um exemplo que pensei, se caso não confiar mais na Ledger, pode usar a hardwallet para somente gerar seeds e usar com softwares terceiros, tipo a Electrum, e não usar mais a Ledger Live ou atualizar qualquer coisa na Ledger. E sempre ficar de olho nas notícias pra ver se não teve nenhum exploit etc
Basicamente é o que vou fazer. Eu já não usava o Ledger Live. Então basicamente é continuar o que tenho vindo a fazer, usar o Electrum para aceder ao hw quando preciso. Não faço intensões de levar a hw para lado nenhum, e quando achar por bem gastar mais uns euros numa nova hw logo trado disso.
|
|
|
|
Paredao
Legendary
Offline
Activity: 3514
Merit: 1664
Buy on Amazon with Crypto
|
|
May 21, 2023, 07:00:51 PM |
|
Basicamente é o que vou fazer.
Eu já não usava o Ledger Live. Então basicamente é continuar o que tenho vindo a fazer, usar o Electrum para aceder ao hw quando preciso. Não faço intensões de levar a hw para lado nenhum, e quando achar por bem gastar mais uns euros numa nova hw logo trado disso.
Vou te dar uma ideia. Cria um canal no Youtube. Depois pega sua Ledger e passa com o Automóvel em cima dela. Não sendo suficiente, tu dá umas marretadas nela. Destruindo por completo. Filma tudo isso. Depois coloca no Youtube. Garanto que terá umas 300 mil visualizações com o seu vídeo. Monetiza ele. Com essas visualizações dá para arrecadar uns 200 dólares. Daí você compra uma Trezor Modelo T direto de fabrica. Hoje ela está 185 doletas. E ainda sobra 15 doletas para comprar um lanche. Lembrando que em Portugal não tem taxa de importação. Gostou da ideia
|
|
|
|
joker_josue
Legendary
Offline
Activity: 1848
Merit: 5078
**In BTC since 2013**
|
|
May 22, 2023, 11:50:18 AM |
|
Vou te dar uma ideia. Cria um canal no Youtube. Depois pega sua Ledger e passa com o Automóvel em cima dela. Não sendo suficiente, tu dá umas marretadas nela. Destruindo por completo. Filma tudo isso. Depois coloca no Youtube. Garanto que terá umas 300 mil visualizações com o seu vídeo. Monetiza ele. Com essas visualizações dá para arrecadar uns 200 dólares. Daí você compra uma Trezor Modelo T direto de fabrica. Hoje ela está 185 doletas. E ainda sobra 15 doletas para comprar um lanche. Lembrando que em Portugal não tem taxa de importação. Gostou da ideia Gostei da ideia! Mas tenho de ser ainda mais radical. Tipo, atirar de um penhasco. Atirar do 10º andar. Enfim, fazer uma sequencias de peripécias para destruir a Ledger. Já o que toca as taxa de importação, vou ter de pagar o IVA (23%) e ainda taxas administrativas +/-15€. O valor final deverá ficar perto dos 240€.
|
|
|
|
rdluffy
Legendary
Offline
Activity: 2422
Merit: 1453
|
|
May 24, 2023, 01:20:05 AM |
|
E a Ledger deu um passo pra trás depois de tanta repercussão negativa. Eles adiaram o lançamento do nosso serviço de recovery e informaram que antes do lançamento vão oferecer o open source do serviço Porém me parece que nem isso vai bastar pra melhorar a imagem da empresa nesse momento, pois ninguém está gostando da ideia mesmo assim Só achei a notícia em inglês por enquanto: https://www.coindesk.com/business/2023/05/23/crypto-wallet-provider-ledger-postpones-release-of-key-recovery-service-after-public-criticism/
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
TryNinja
Legendary
Offline
Activity: 3024
Merit: 7443
Top Crypto Casino
|
|
May 24, 2023, 06:09:38 AM |
|
E a Ledger deu um passo pra trás depois de tanta repercussão negativa. Eles adiaram o lançamento do nosso serviço de recovery e informaram que antes do lançamento vão oferecer o open source do serviço
Porém me parece que nem isso vai bastar pra melhorar a imagem da empresa nesse momento, pois ninguém está gostando da ideia mesmo assim
O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.
|
|
|
|
rdluffy
Legendary
Offline
Activity: 2422
Merit: 1453
|
|
May 24, 2023, 12:19:18 PM |
|
O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.
É exatamente isso que me preocupa mais Mesmo tendo uma Ledger Nano S, que supostamente não vai ter esse recurso, mesmo não atualizando a firmware, e mesmo não aderindo ao recovery, todos donos de Ledger podem correr perigo por simplesmente existir essa forma de extrair a seed No momento que lançarem o recurso, pode ter certeza que vai ter pessoas ou grupos trabalhando 24h pra encontrar um exploit, afinal vai valer muito a pena caso consigam, a recompensa será enorme
|
| | . .Duelbits│SPORTS. | | | ▄▄▄███████▄▄▄ ▄▄█████████████████▄▄ ▄███████████████████████▄ ███████████████████████████ █████████████████████████████ ███████████████████████████████ ███████████████████████████████ ███████████████████████████████ █████████████████████████████ ███████████████████████████ ▀████████████████████████ ▀▀███████████████████ ██████████████████████████████ | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | ███▄██▄███▄█▄▄▄▄██▄▄▄██ ███▄██▀▄█▄▀███▄██████▄█ █▀███▀██▀████▀████▀▀▀██ ██▀ ▀██████████████████ ███▄███████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ███████████████████████ ▀█████████████████████▀ ▀▀███████████████▀▀ ▀▀▀▀█▀▀▀▀ | | OFFICIAL EUROPEAN BETTING PARTNER OF ASTON VILLA FC | | | | ██ ██ ██ ██
██ ██ ██ ██
██ ██ ██ | | | | 10% CASHBACK 100% MULTICHARGER | │ | | │ |
|
|
|
|