URGENTE: NÃO ATUALIZE SEU LEDGER!

[joker_josue]

É exatamente isso que me preocupa mais
Mesmo tendo uma Ledger Nano S, que supostamente não vai ter esse recurso, mesmo não atualizando a firmware, e mesmo não aderindo ao recovery, todos donos de Ledger podem correr perigo por simplesmente existir essa forma de extrair a seed

Agora levanto a questão:
Mesmo isso sendo possível. A pessoa irá precisar ter o PC infetado com um "bichinho" para que algum azar do género aconteça. No final, a pessoa deve continuar a usar tudo com cuidado.

[alegotardo]

O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.

Aí que tá... eu sempre tive na cabeça que a seed era impossível de ser extraída devido à limitações físicas do hardware onde nem um update de firmware poderia ser capaz de ter acesso à essa informação.
Então, mesmo que eles voltem atrás agora e digam que não vão mais lançar, a confiança nos produtos da Ledger está permanentemente arruinada para mim.

E para complicar ainda mais a situação... vocês viram essa notícia aqui?
Ledger pode ser obrigada por governos a revelar senha de cold wallet, admite CEO [link]

Mesmo que eu esteja muito longe de ser considerado um ladrão, criminoso ou algo do tipo, dentre todos que eu gostaria de manter minhas chaves longe, o governo está no topo de minha lista.

[joker_josue]

Andam a tentar apagar o fogo que começaram, mas quanto mais falam, mais lenha metem na lareira.

Acho que é desde que vemos uma das empresas mais antigas e solidas do setor a "cair".

[Paredao]

Mesmo que eu esteja muito longe de ser considerado um ladrão, criminoso ou algo do tipo, dentre todos que eu gostaria de manter minhas chaves longe, o governo está no topo de minha lista.

Hahahaha. Está se escondendo do "Estado Malvadão". Fica tranquilo que tem advogado que cobra baratinho e ainda por cima aceita pagamento de honorários em Bitcoins. Mas pode ficar tranquilo. o "Estado Malvadão" está atrás de peixe grande. Custa muito caro ir atrás de sardinhas, além de ser improdutivo fazer isso. 

[rdluffy]

Agora levanto a questão:
Mesmo isso sendo possível. A pessoa irá precisar ter o PC infetado com um "bichinho" para que algum azar do género aconteça. No final, a pessoa deve continuar a usar tudo com cuidado.

Sim, isso é o básico do básico, sempre se precaver com todos seus dispositivos.
Mas o fato da empresa ter vendido seus dispositivos falando que era impossível extrair a seed, e agora muda tudo, falando que é possível extrair, é muito preocupante.
Não sabemos o que isso pode representar no futuro sobre possíveis exploits, pode ser que nunca tenha um, como pode ser que consigam de forma que ainda não imaginamos...

Um exemplo bem simples mas que já aconteceu com a Electrum, uma vez eles conseguiram colocar somente uma mensagem no aplicativo, mais nada, até aí tudo bem. Porém com essa mensagem eles fizeram algumas pessoas baixarem uma versão hackeada da carteira e aí retiraram seus fundos.
Imagina uma coisa dessa acontecendo com a Ledger Live e aí alguém clica, vai pra uma página e tem sua seed extraída...

São só ideias, mas podem acontecer

[l3pox]

O maior problema é que eles já deixaram claro que é possível lançar um update de firmware que lê a seed do dispositivo. Basicamente, há um vetor de ataque onde as suas private keys podem ser extraídas do hardware, coisa que nunca deveria ser possível.

Aí que tá... eu sempre tive na cabeça que a seed era impossível de ser extraída devido à limitações físicas do hardware onde nem um update de firmware poderia ser capaz de ter acesso à essa informação.
Então, mesmo que eles voltem atrás agora e digam que não vão mais lançar, a confiança nos produtos da Ledger está permanentemente arruinada para mim.

E para complicar ainda mais a situação... vocês viram essa notícia aqui?
Ledger pode ser obrigada por governos a revelar senha de cold wallet, admite CEO [link]

Mesmo que eu esteja muito longe de ser considerado um ladrão, criminoso ou algo do tipo, dentre todos que eu gostaria de manter minhas chaves longe, o governo está no topo de minha lista.

doidera mesmo
uma coisa curiosa é como a palavra "senha" fica limitada no contexto de hardware wallets
minha primeira reação ao ler a manchete foi pensar, "calma, por senha eles se referem à seed ou ao PIN?"
coisas diferentes

[joker_josue]

uma coisa curiosa é como a palavra "senha" fica limitada no contexto de hardware wallets
minha primeira reação ao ler a manchete foi pensar, "calma, por senha eles se referem à seed ou ao PIN?"
coisas diferentes

Por falar nisso... é impossível mudarmos a seed?
Sim, eu sei que é... mas as vezes podia haver alguma coisa que eu desconhecia.

[TryNinja]

Por falar nisso... é impossível mudarmos a seed?
Sim, eu sei que é... mas as vezes podia haver alguma coisa que eu desconhecia.

A seed é a carteira. Se mudar ela, você tem algo completamente novo (carteira e endereços)... assim como se mudar suas coordenadas geográficas, não é mais o mesmo lugar.

[alegotardo]

uma coisa curiosa é como a palavra "senha" fica limitada no contexto de hardware wallets
minha primeira reação ao ler a manchete foi pensar, "calma, por senha eles se referem à seed ou ao PIN?"
coisas diferentes

Cara!
Tu me pegou, mas acho que é a seed mesmo.

É a seed que nesse novo serviço seria dividida, criptografada e separada pela Ledger.
Seria possível fazer isso com o PIN ao invéz da seed? certamente sim, mas isso só seria útil caso você tivesse esquecido ele e precisasse recuperar sua wallet no mesmo dispositivo.
Se o dispositivo for roubado, perdido, formatado, der pane total ou algo do tipo... a recuperação do PIN não te ajudaria em nada.

[l3pox]

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

[joker_josue]

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Porque é que essa informação mudaria tudo? Passa a ser um serviço viável? Ou tornava tudo mais seguro?

[Paredao]

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Não tenho certeza, mas a passphrase da wallet Trezor não tem como quebra-la. Perdeu a frase, perdeu os valores. Mesmo tendo a seed completa você não consegue recuperar noutra wallet sem a passphrase. Não tenho certeza disso, pois nunca tentei fazê-lo.  

[TryNinja]

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Mas nem as seeds são, mais fácil chegar o fim do sol do que a hora que você vai adivinhar a minha seed.

O sistema da Ledger é de backup das seeds. Qualquer coisa a mais é por fora (pin ou passphrase adicional).

O uso de "senha" no texto foi um erro de tradução da Portal do Bitcoin. Em nenhum momento eles falam em password/passphrase.

[l3pox]

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Porque é que essa informação mudaria tudo? Passa a ser um serviço viável? Ou tornava tudo mais seguro?

seria menos preocupante, só usar passphrase e vc teria uma camada extra de segurança forte

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Não tenho certeza, mas a passphrase da wallet Trezor não tem como quebra-la. Perdeu a frase, perdeu os valores. Mesmo tendo a seed completa você não consegue recuperar noutra wallet sem a passphrase. Não tenho certeza disso, pois nunca tentei fazê-lo. 

pesquisei e não tem como
mesmo que desse para ver as contas em algum dispositivo (não daria) você precisaria da pasphrase para mover os fundos

esse mecanismo de extração da seed extrairia as passphares também?
pq as pessoas tem falado pouco sobre isso, e pelo que ouvi a ledger é muito mais limitada no uso de passphrases que a trezor

essa informação muda tudo, passphrases não são simples de só "tentar adivinhar"

Mas nem as seeds são, mais fácil chegar o fim do sol do que a hora que você vai adivinhar a minha seed.

O sistema da Ledger é de backup das seeds. Qualquer coisa a mais é por fora (pin ou passphrase adicional).

O uso de "senha" no texto foi um erro de tradução da Portal do Bitcoin. Em nenhum momento eles falam em password/passphrase.

ah sim, acho que escrevi mal a mensagem original

mas já pensou que por mais improvável a chance de abrir uma carteira aleatória, por mais difícil que seja, não é impossivel
acho isso fascinante

a melhor analogia que ouvi é que acertar uma seed aleatória é como vc ir na praia de ipanema, escolher um grão de areia aleatório sem que eu saiba, depois eu ir à praia e escolher o mesmo grão de areia.

[rondolfo]

Eu também estou tranquilo. Não tenho Ledger. Prefiro a Trezor.  

Trezor não entrega pro Brasil, comprou onde?

Uma comprei fora do Brasil e a outra comprei do Jefferson da Kriptobr. O cara é antigo na venda de hardwallets e na comunidade de bitcoins no Brasil. Conheço ele há vários anos. Antes mesmo dele se mudar para os Estados Unidos. Lembro quando ele começou. Vendia numa banquinha dentro das primeiras Bitcoinf.  

Obrigado pela menção, já são mais de 6 anos nesse mercado, com + 200 mil clientes em 32 países.

[Paredao]

Obrigado pela menção, já são mais de 6 anos nesse mercado, com + 200 mil clientes em 32 países.

Até que enfim você apareceu por aqui. O pessoal vive precisando de dicas sobre hardwallet. Nem o João que trabalha contigo tem aparecido ultimamente por aqui. Quem sabe você não manda umas promoções aqui para o pessoal. Cara, um abraço para ti e para todo o pessoal da Kriptobr.