> Бывали ли случаи закладок в аппаратных кошельках?
да
> Настораживает то, что, например, на озоне типа в оффициальном сторе леджер стоит 12к, а в vasyan228shop в джва раза дешевле. Есть ли риск нарваться на протрояненный кошелек?
огромный.
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/
https://www.coindesk.com/tech/2021/06/17/scammers-are-sending-ledger-users-fake-hardware-wallets/
> Чисто софтверный кошелек не хочу. Хочу аппаратный.
мобила с чистым андроидом типа Replicant или CopperheadOS.
если умеешь хорошо пердолиться с андроидом, то можно и LineageOS.
А почему не хранить свои фантики просто на Метамаск кошельке? Никуда с него не подключаясь, а вот просто хранить там?
>Есть с ним какие-то подводные камни, о которых мне стоило бы знать?
Нету, если покупаешь на офф сайте. Покупать сейф с рук - затея так себе по определению. Пользуюсь Ledger X, полет нормальный. Доступ с пеки и телефона, блютус, поддержка миллиона коинов и нфт, топчик короче.
Так я и ходлю в кошельках на пекарне. Аппаратный кошелек мне нужен для активного использования, когда пекарни нет под рукой, оплата условной шавухи например, мелкие бытовые сделки. Чтобы немного крипты было всегда в кармане.
Ну как с рук - рандомный магазин на озоне, например. Во всех кошельках есть же проверка подлинности. Или это уже тоже научились обходить и фейковые кошели проходят все проверки в оффициальном софте?
Видел как китайцы б/у айфоны упаковывают? Хуй отличишь. Вот и тут так же, с левыми магазинами. Поэтому только через официальный стор я бы брал
>Так я и ходлю в кошельках на пекарне.
Есть транзакции/скрипты дрейнейры, которые выкачивают все с твоего кошелька. Леджер для этого и нужен, чтобы закидывать на него самое важное и не подпускать к кошельку левые транзакции. Только ввод/вывод средств. Платить, минтить нфт, подключать к сайтам Леджер строго не рекомендуется. Для этого есть горячие кошельки.
>транзакции/скрипты дрейнейры, которые выкачивают все с твоего кошелька
Каков механизм их работы?
Вам не пугает, что если вы проебете физический кошель, то проебете все бабки? С кошельком на бумажке кажется что проще, фразу в конце концов можно запомнить.
Так сидит фраза то есть
Типа если у меня есть фраза от одного, скажем, леджера, я его случайно смыл в унитаз, все могу на новом по фразе восстановить? Или что
да, гугли seed phrase
Так это же обычный фишинг. Точно так же можно на странице сайта оставить форму ввода сид фразы. Атака на долбоебов короче, как обычно.
Ты слишком самоуверен в себе, если думаешь что не попадешься на такую транзакцию, сможешь отличить ее от нормальной.
>мобила с чистым андроидом
Сасунг s20 норм?
Зачем тебе платить с крипты, дурик? Переводи крипту в рубли и плати рублями за щавуху.
> > типа Replicant или CopperheadOS.
ты бы хотя бы список поддерживаемых устройств посмотрел.
Будет 5 кошельков Nano S Plus через месяц в РФ, есть желающие купить - пишите в тг: @henodevinu
Могу организовать Nano X или Trezor, отправляю из Швитых через КЗ, оплатите в рублях или крипте моему посреднику перед отправкой по РФ. Трэкинг предоставлю от КЗ до вашего назначения. Могу запечатать с видеопруфом, чтобы не было опасений что девайс открывался.
Могу организовать Nano X или Trezor, отправляю из Швитых через КЗ, оплатите в рублях или крипте моему посреднику перед отправкой по РФ. Трэкинг предоставлю от КЗ до вашего назначения. Могу запечатать с видеопруфом, чтобы не было опасений что девайс открывался.
Я выбрал леджер. Заказывал с офмагаза из франции. Нужно было юрать подороже с блютузом, не удобно проводом к телефону цеплять.
Как сейчас покупать хз. Стандартные предосторожности: запечатаная упаковка, приведствие при первом включении, не совсем левый магаз. и тд
Сейчас есть нано с плюс, прикольный. У меня самого трезор ван, тоже неплох, если прям параноик в плане закрытого по на леджере
чому trezor может отправить в рф и позволяет оплатиить криптой, а ledger пишут что гг, нет доставки?
>Аппаратные криптокошельки
Не нужны.
Пересекаешь границу с этой ебаниной — все, тебе пизда.
Не нужны.
Пересекаешь границу с этой ебаниной — все, тебе пизда.
пруфы??
Ждите Trezor Model R с открытым secure чипом и покупайте его, и все будет заебись.
Зачем он нужен когда есть ledger s+
В гугле нет никакой инфы на этот счет. Только это https://github.com/trezor/trezor-firmware/issues/2331
Сам выдумал?
У леджера закрытый код у Secure Element, никто не знает что там, а значит есть вероятность бекдоров ебучих. Придет какой-нибудь мудила и спиздит ВСЕ твои коины, которые там хранятся.
Плюс в конце года у Трезора будет встроен CoinJoin, а еще уже есть поддержка Tor'a - в этого же время у Ledger'а информация по твоему железу передается на их сервера (включая Айпи)
https://blog.trezor.io/introducing-tropic-square-why-transparency-matters-a895dab12dd3
https://tropicsquare.com/
Ебать, подумай сам, почему на ссылке, которую ты дал коммиты про гкакой-то новый трезор R.
Если потерять trezor, то нужно бояться что гг, с ledger'ом можно не паниковать
По твоей ссылке 20год - уже забили
Хотя если искать на реддите tropicalsquare, то есть резульататы, но все же думаю в продажу они поступят не скоро
Я брал себе tangem с комплектом из 3 карт.
Предыстория: Долго голову ломал какой кошель взять: trezor, ledger или safepal. Сам я работаю продавцом в магазине бытовой техники, поэтому за маркетинговые штучки-дрючки шарю. И вот в один прекрасный рабочий день к нам заезжает на продажу это чудо, тангем. Я взял рекламный буклет, чтоб ознакомится че к чему и вычитал кучи, как мне показалось, маркетинговой хуйни, мол ipx68, генерация ключей, которые вообще никто не знает, какой-то супер защищенный чип, отсутствие аккумулятора и прочее. В общем, настроен я был супер скептично к этому (повторюсь – как мне показалось) говну. Но глянув пару обзоров, где ебучие блогеры умеют тебе на пустом месте раздуть потребности, мне показались эти карточки привлекательными. Через 3 месяца я-таки решился на их покупку. Короче, кошельки очень даже заебись. Всё, что вы вычитаете в рекламных буклетах и увидите у блогеров – чистейшая правда. Очень нравится форм-фактор, можно закинуть в физический кошелёк и ебись он там конём, всегда под рукой. Невозможно сломать, утопить, высадить батарею в отличии от гаджетов. Тех поддержка в тг невероятно отзывчивая. Там челы напросили на добавление сетей полкадота, кусамы и дэша. Можно просить какую хош – они со временем добавят. В скором времени добавят свапалку в самом приложении, хотя и с валлетконнектом норм работается. Ну, и самое главное: если ты долбаёб и проебал свои лунцы с рипплами, у тебя есть ещё 2 карты, которые ты надежно спрятал дома, у мамки дома, в банковской ячейке, закопал в озеро (да, так тоже можно, ведь пластиковой карточке похуй где ей физически храниться). Короче, заебатая тема, советую. В будущем один хуй хочу прикупить что-то из гаджетного, тупо чтобы было.
Щито? И там и там сидфраза генерится по bip39, ты на любом кошельке, который это поддерживает можешь восстановить свои монеты. Я бы волновался бы не о том, как кошелек не проебать, а как купить оригинальный кошелек так, чтобы в случае очередного слития дб леджера/трезора/whatever твои данные не у тех людей не оказались бы. Ну это больше для тех для криптомиллионеров.
В 24 году я думаю точно поступят в продажу, может даже в 23
> а как купить оригинальный кошелек
Хочешь сказать подтверждение в ledger live не дает подтверждения оригинальности? Заказал на авито потыкать nano s plus, но у меня крипты нет)
Ну ты шутишь, бро, конечно не дает. Покупая у каких-то Васянов с Авито -- тебе по-хорошему первое, что нужно сделать -- это вскрыть его и посмотреть нет ли там каких-то припаянных лишних элементов. Будь у меня какая-то большая сумма и если бы мне приспичило пользоваться аппаратным кошельком - я бы сразу же отмел идею покупать аппартки не на официальных сайтах, мало ли что.
>припаянных лишних элементов
А этот смышленый. Я закупаю криптокошельки, потом припаиваю внутри секретный элемент, который все ключи ворует и отправляет мне их по секретному каналу связи (ну или тразу заменяет, на худой конец). Столько денег уже поднял на этом.
Что за ехидность? Сколько людей понакупали кошельков у Васянов и остались без монет. Хуйня какая-то пришитая/прошивка васянская/и тд. Куча всего может быть.
Сколько? Тащи хоть один пруф.
Да на реддите этих историй дохуя просто, например https://www.docdroid.net/EWxd1hJ/the-story-of-a-ledger-robbing-pdf, одно, другое - загляденье. Доверять им или нет - я не знаю.
Ну а про покупку у Васянов, опять же, повторюсь: если ты планируешь покупать леджер у Васяна с целью хранения больших средств, и вдруг окажется, что пусть Васян банально флешку какую-нибудь туда внутрь припаял, как в случае с рассылкой паленных леджеров в 21 (https://www.bleepingcomputer.com/news/cryptocurrency/criminals-are-mailing-altered-ledger-devices-to-steal-cryptocurrency/), то использовать это - себя не уважать. Это, так сказать, просто самая минимальная проверка того, что туда ничего не сували и тебя не наебывают.
Не зря даже ledger рекомендует проверять внутренности - https://support.ledger.com/hc/en-us/articles/4404382029329-Check-hardware-integrity?support=true
А если говорить про секретный элемент и другую критическую составляющую, то достаточно просто заставить секретный элемент создавать сид из выборочных твоих слов. Учитывая то, что у Леджера сурс закрыт - то почему бы какому-то знающему китайцу, следуя верности партии (хинт - https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies ) не сделать что-то подобное, и уже никакой genuine check в LL тебе ничего не выдаст.
>банально флешку какую-нибудь туда внутрь припаял
Дальше читать нет смысла. Это уже уровень подавления воли вышками 5джи. Кстати, ссылка на эту новость не существует. Ты сам то читал свои ссылки?
Убрать скобку ты не додумался?
Это насчет леджера. А насчет Trezor так вообще -- стоит выкинуть просто из головы покупку у Васянов. Если тебя как и меня еще не подавило вышками 5джи, читай:
https://blog.trezor.io/stay-safe-shopping-for-hardware-wallets-543f144e3d24
Смотри скрин.
Я вообще против ВСЕХ аппаратных кошельков, чтобы ты понимал. Намного безопаснее сделать офлайн машину на ноутубке с зашифрованным диском, где будут храниться приватные ключи. Часть пароля условно оставить в каком-нибудь ирл месте, например в банке (чисто к примеру), где ты можешь обратиться за помощью к охране в случае чего. Так у тебя не смогут забрать монеты, если даже пытать будут и никто не поймет, что у тебя эти монеты есть, ибо не найдут аппартного кошелька. И, самое главное, что не смогут с помощью каких-нибудь бэкдоров найдя аппаратный кошелек утащить у тебя все деньги.
Но я над этим не запаривался, ибо у меня крипты нету, но есть смысл над этим подумать, если у тебя много денег и ты боишься за свою жизнь.
Спасибо за ссылки. Возможно, я погорячился, анон. Положительного пнл тебе.
У челика по первой ссылке была хакнутая прога
Ну он утверждает, что программа была официальная -- это во-первых. Во-вторых, даже если программа была хакнута, то монеты все равно невозможно украсть без подтверждения на стороне устройства, ибо приватные ключи на устройстве все дела, но он говорит, что ничего не подтверждал, сид не палил.
Мне-то откуда знать :>
Думаешь отказаться?)
Челик кстати цену скинул
https://www.avito.ru/moskva/tovary_dlya_kompyutera/ledger_nano_s_plus_2600473687
Думаю это он же https://www.avito.ru/moskva/tovary_dlya_kompyutera/kriptokoshelek_ledger_nano_s_plus_2477852597
Не знаю почему отличается цена. Он говорил что есть 20+ штук и будет еще каждый месяц
Братан, сам думай, я выше свое мнение по всевозможным лично мне неприятным эксцессам писал, брать эти сообщения во внимание или нет -- это на твое усмотрение.
У меня есть старый ноут 2 гига 2 ядра. Биткоин кор обязательно устанавливать на отдельном устройстве, ПК с которого я ежедневно захожу в интернет не подойдёт? Я хотел купить холодный кошелек потому что он понятен даже неофитам. Как зашифровать диск я не знаю.
А игровая видео карта присутствует?
Да
>Как зашифровать диск я не знаю.
Ну так узнай, блеать. Мы живем во времена когда почти любая инфа доступна бесплатно почти отовюду. Еще лет 30 назад люди сидели сутками в библиотеках, пытаясь найти какие-то специфические сведения, сейчас это вопрос нескольких минут. Как можно чего-то не знать, если оно связатно с темой, в которой ты заинтересован?
>не знать, если оно связатно с темой, в которой ты заинтересован?
Ты и к докторам, видимо, не ходишь. Можно же и самому все погуглить, да и тема важная, чтобы доверять кому попало.
Чел, гений, сравнил жопу с пальцем, 5 million IQ move, как стать таким же крутым и успешным, как ты?
Зумер, у тебя баттхёрт.
На доктора учится 8 лет. Про шифрование диска почитать полчаса.
>Я хотел купить холодный кошелек потому что он понятен даже неофитам.
Ну купи Леджер, епта. То, что я пишу - это исключительно мое мнение, как бы делал я, будь у меня много денег в криптовалюте. Возможно, даже слишком перегибаю в некоторых моментах, ибо для меня, например, пиздец, что Леджер Лайв столько инфы собирает и куда-то там отправляет, а для кого-то - нет. Но ведь если меня послушаешь, то хуже от этого явно не станет.
Вообще, все это в зависимости от задачи, ты будешь исключительно холдить или покупать постоянно что-то? Так и так хранить на онлайн машине ключи - это бред.
>ПК с которого я ежедневно захожу в интернет не подойдёт?
Тебе нужно два пк, чтобы один работал как аппаратный кошелек (т.е был оффлайн) для того, чтобы подписывать транзакции, а другой, соответственно, чтобы эти транзакции отправлять. Если у тебя есть деньги на аппаратный кошелек, то думаю на говноноут тоже найдутся. Дальше ставь дистрибутив Линукса, который поддерживает шифрование сразу из инсталлера, например Дебиан, ибо разбираться ты не хочешь (хотя надо бы, и лучше какой-нибудь дистр с openrc). Устанавливай туда Электрум, сверяй gpg сигнатуры (https://electrum.readthedocs.io/en/latest/gpg-check.html), дальше вырубай интернет и создавай кошелек. Если хочешь, то можешь еще погуглить про multisig, дабы еще больше себя обезопасить от внешнего вмешательства, в случае чего.
На втором пк делай то же самое, но уже не создавай кошелек, а экспортируй публичный ключ, короче, следуй гайду - https://electrum.readthedocs.io/en/latest/coldstorage.html. Можешь скачать еще Tor и запустить Электрум с -p socks5:localhost:9050, чтоб ноды не видели твой айпи. Вот тебе и получится защищенный кошелек. ПК на котором публичный ключ может хоть виндой быть, если ты запариваться вообще не хочешь. Просто положи тогда публичный ключ и/или wallet.dat в скрытый контейнер TrueCrypt 7.1a/Veracrypt
Можешь для начала попробывать вместо второго пк юзать просто второй диск и бутиться в офлайн-моде просто
Ещё: Электрум создает сид фразу из 12 слов по умолчанию используя, по крайней мере раньше, свой стандарт сид-фразы. Если хочешь 24 слова, то в консоли пиши make_seed(256) и восстанавливай кошелек, импортируя этот сид.
Если хочешь бип39, то нужно создать с отключенным интернетом на iancoleman.io/bip39/, либо самому компилить - https://github.com/iancoleman/bip39
и импортировать в электрум тыкнув галочку bip39
Но девы Электрума хейтят bip39, так что думай сам -
https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2015-March/007642.html
https://twitter.com/electrumwallet/status/893735523403145216
https://twitter.com/electrumwallet/status/1358004520605929473
Сап Двач,
Сейчас запускается интересный проект http://bsa.today
Они позиционирует себя как площадку посредника между частными инвесторами и управляющими капиталом/трейдерами/стартапами в мире криптовалюты.Подробно можно почитать на сайте.
У них там жесткая верификация аккаунтов и прочие интересные вещи.
Сейчас запускается интересный проект http://bsa.today
Они позиционирует себя как площадку посредника между частными инвесторами и управляющими капиталом/трейдерами/стартапами в мире криптовалюты.Подробно можно почитать на сайте.
У них там жесткая верификация аккаунтов и прочие интересные вещи.
Чет уже несколько раз генерю сид и заметил что какие-то слова повторяются
> Тебе нужно два пк, чтобы один работал как аппаратный кошелек (т.е был оффлайн)
Можно на флешку линупс записать и с неё загружаться для оффлайн подписи транзакций.
нет, нужно два отдельных пк - на первом может быть заражён биос.
>Tangem card technology dictates a «security through obscurity» approach. Disclosure of the source code within secure elements would render hardware wallets vulnerable.
Бля, ну как так-то. Керкхоф же, ну.
Бля, ну как так-то. Керкхоф же, ну.
Мог бы и ссылку приложить.
Там новый le joure представили с eink экраном c тачскрином и его задизайнил челик, который дизайнил ipod)
Это скам.
Мамка твоя скам, зумерок.
Ну некоторые могут повторяться, а что такого?
С одной стороны, легко ищется, а с другой - действительно, пускай будет:
https://www.reddit.com/r/ledgerwallet/comments/z7ram9/newly_created_bitcoin_adress_already_contains/
Подождите, а в чём отличие этого девайса от моего 3" китайского телефона с алика + electrum кошелька?
Электрум только биток поддерживает, а там любые.
>любые
>usdt нету
Ага, ясно понятно
С чего ты решил, что нету? Потому что на рекламной картинке всё не уместилось?
Конечно есть.
>Переводи крипту в рубли
Наибуллина, спок
Насколько я понял, что в леджере, что в трезоре, монеты не хранятся, а хранят чисто только приватные ключи.
А где сами монеты тогда лежат? И какой кошелёк выбрать непосредственно для хранения, максимально защищённый и пр?
А где сами монеты тогда лежат? И какой кошелёк выбрать непосредственно для хранения, максимально защищённый и пр?
Ты прежде чем кошелёк покапать разобрался бы.
Да я уж понял, что монеты на сайте, а что тензор что леджер чисто для подтверждения нужны, какие это ещё кошельки тогда, больше на замки похоже.
А во всех обзоров блохеров только их и предлагают, остальные варианты ещё хуже.
Где тогда лучше хранить то?
Вообще уже начал задумываться о покупке и перепрошивке мобилы под эту тему. Но опять надо будет форумы читать, где только и обсирают все варианты.
>Да я уж понял, что монеты на сайте, а что тензор
Чё несёт, сайты какие то. Ты нихуя не понял Вася, иди дальше разбирайся.
Заебал. Сам уже понял, что хуйню написал.
Что там тогда сливали у Леджера? Онлайн базу какую-то, они типа сиды или как там у себя на сервере хранили?
А тензор не хранит? Вдруг тоже сольют.
А я ведь сразу понял, что ты тугой.
Ты сам как думаешь, если бы вдруг внезапно вскрылось, что леджер всем пиздит и хранит где то сид-фразы и еще и сливает их куда то, то существовал бы он до сих пор или нет? Кому он нахуй нужен был бы, у него единственная функция держать сид фразу в защищенном хранилище.
Ты выше там спрашивал, где же хранятся монеты, ты в этом разберись для начала и хотя бы основы того, как крипта работает, а потом насчет кошельков парься. Потому что если ты этого не понимаешь, то проебешься один хуй хоть с кошельком хоть без.
А я ведь сразу понял, что ты тугой.
Ты сам как думаешь, если бы вдруг внезапно вскрылось, что леджер всем пиздит и хранит где то сид-фразы и еще и сливает их куда то, то существовал бы он до сих пор или нет? Кому он нахуй нужен был бы, у него единственная функция держать сид фразу в защищенном хранилище.
Ты выше там спрашивал, где же хранятся монеты, ты в этом разберись для начала и хотя бы основы того, как крипта работает, а потом насчет кошельков парься. Потому что если ты этого не понимаешь, то проебешься один хуй хоть с кошельком хоть без.
Слушай я уж не совсем тупой, понимаю, что там прямого взлома не было. Никто не пиздил ключи и пр. Слили небось почты и ещё что нибудь что вводишь при регистрации. Про монеты я уже написал, что проебался, ладно, хуй с вами.
Скажи лучше что есть толкового с открытым кодом кроме трезора и я съебусь, пока совсем хуями не закидали.
Если ты сам сид не скомпрометируешь, то вообще похуй где хранить.
Ясно. А что за залупы стальные везде, кружочки-пластинки и прочее, стоят дохуя. Чем лучше "листочка" типа не уничтожимо + понты?
Ну листочек тоже не панацея и может проебаться. Тем более играет роль сценарий использования, как часто ты собираешься делать переводы, куда и пр..
Но в целом, если скажем, поставить чистый линукс, сгенерировать кошелек на нормальном сервисе, переписать фразу на листок и не проебать его, использовать кошель чисто как копилку, то это как минимум не хуже апаратника.
А еще лучше размножить фразу, придумать способ как зашифровать ее, не забыть как ты зашифровал ее и спрятать зашифрованные листки куда-нибудь в разные места.
Даже если кто-то найдет листок с фразой, а ты заменишь там 2 слова на какие то свои, при этом, не забудешь, что сделал замену, хуй он что сделает.
Но это как вариант, а так вариантов полно, у каждого свои плюсы и минусы.
Про хранение сид фразы - плюсую про шифрование. Когда изучал материалы по теме как лучше защитить свою сид фразу, почему-то никто вообще не упоминает шифрование. И я не про шифрование txt файла с фразой, а про превращение самой фразы в шифр, который уже куда-то записывается. Все говорят про выбивание на металле, хранение в капсулах, сейфах и тд, запароленый архив в облаке, но все почему-то хранят ее в открытом виде из 12-24 слов. Т.е. если вдруг каким-то образом к левому человеку попадется твоя металлическая пластинка с фразой или капсула с листочком, и если этот человек в курсе, что эти записанные 12 слов - не заклинание, а сид фраза, то ты потеряешь свои деньги, потому что там фраза записана в явном виде.
Я думаю, что лучше всего придумать какой-то алгоритм для шифрования, чтобы превратить сид фразу из 12 слов в зашифрованную строку и уже этот шифр хранить в сейфе, капсуле, на металле. Даже если эта металлическая пластинка попадет к злоумышленнику, но может даже не понять что перед ним сид фраза. Плюс уже в таком виде фразу можно хранить на облаке, не боясь что в случае утечки файлов с облака кто-то получит доступ твоей крипте. Офк главное в этом случае не забыть сам алгоритм шифрования и не рассказывать его никому.
А чем плох вариант ЗАПОМНИТЬ ее? Это же просто базовые английские слова, вас не просят запоминать 256 знаков в разных регистрах и со спецсимволами. Более того, в чем смысл ее шифровать, прятать где-то? Типа, забыть 12 слов боишься, а проебать миллион своих листочков или забыть мастер-ключ от шифрования — норм? Да и удобства тут никакого, если у тебя реально много денег в крипте, чтобы ты так запаривался, кто знает, куда тебя жизнь завтра забросит, так, что ни один листочек не под рукой будет. Другое дело, если у тебя там копейки, вроде 100 баксов, чисто решил попробовать, что вообще крипта из себя представляет. Но там и шифровать смысла нет ничего, ну проебешь, да и не страшно.
Шиз, во первых в лежОре 24 слова, в десятых, есть еще passphrase
долбоеб у тебя ключей от этой залупы нет
проект закрылся всем спасибо все свободны
Ну таки голый сид как бэкап это полная хуйня, вот кста вчера видео вышло по теме
https://www.youtube.com/watch?v=fYDIJuMpvZg
Лично я не могу найти место, где я бы мог сказать, что это на 100% надежное место для харнения бумажки или железяки с сидом. Запароленную карту/флешку хотя бы не так просто взять и прочитать, точнее никак нельзя, если она нормально зашифрована.
Лично я пока нашел изи решение, как обойти дырявость сида - просто добавить к нему пароль, а сам пароль хранить в зашифрованном виде в менеджере паролей. Даже если взломают менеджер, то толку от пароля нет от сида, а если найдут сид, то нихуя без пароля сделать не смогут.
Все что делают эти карточки, так это по сути упрощают дыру в виде сида, в принципе для нуба это лучше чем стандартный лежор или трезор, потому что он или проебет бумажку или бумажку найдут не те люди. А, ну и идея косить карточку внезапно в КОШЕЛЬКЕ тоже охуенная, меня только напрягает тот факт, почему до этого раньше додумались более крупные производители кошельков, в чем подводные....
>устраняют дыру в виде сида
>Переводи крипту в рубли
лол, чмоня, тинкоф тебе еще карту за перевод 100 рушлёв не банил нахуй со всеми баьками? ну давай, переволи, лел
Ну если ты не делаешь 10 транзакций по 100к в день, то никто не будет блочить
Например, ты решил продать ноут за условные 50-100к, чел тебе скинул на карту. Должен идти блок?
Нет, там не так работает. Есть скомпрометированные аккаунты, на которые приходит постоянно дохуя денег, вот их то под ноготь кладут, плюс там наркота какая нибудь ещё. Ну и бан веером на этот акк.
И да, блочат за просто так. У меня подрабатывал хер, я ему сороковушку перевёл с тинька на хуй пойми какой банк, молниеносный бан и звонок из СБ тинька, где я полагаю часа доказывал, что не Эскобар не СБУ и меня не хотят поиметь и пр.
Раскидываешь первые 12 слов куда только можно. Вторые 12 запоминаем. Доп фразу делаешь простую, ибо сид из 12 уже очень нихуевая защита.
Ну и нахуй ты это высрал, долбоеб. Думаешь твой код будет кто-то вводить?
Ты только что описал верный способ проебать бабки в случае, если сид реально будет нужен.
Я проебался с палёным кошельком с озона, но успел вывести крипту и вернуть за него деньги даже после нескольких месяцев использования. А как вам такой вариант? Я-то вскрою его сразу.
и если вы скажете, что все нормальные люди берут с оффсайта – с ним свои риски связаны
Что за продавец был на озоне? Там же вроде есть официальные дистрибьюторы кошельков
>Я проебался с палёным кошельком с озона
С паленым лежором? Как паленость отпределил?
Разобрал. Там один чип отличался формой и на нём что-то левое начиркано было. У продавца "товар закончился" к этому моменту.
На оффсайте есть примеры того, как он должен изнутри выглядеть.
Незначительные отличия это ок, шиз
Смею подозревать, что я зря пересрался, но вот.
У меня чип с скошеными концами, т.е. восьмиугольник.
Что будешь делать, когда придет такой же?))
а ещё местные барыги могут леджеролахту устроить, но я шапочку из фольги надел
Понял тебя. Отпиши как второй разберешь. похихикаю
А как же все эти охуительные истории как лежор сам себя проверяет и ничего там невозможно подделать?
Наверно этот шиз побоялся даже втыкать в комп
Можно даже без ledger live проверить
Поясните за Tangem. В ДС разве можно таким вариантом где-либо расплачиваться?
Чел, это не кошелек для ПОС-терминалов, он только мобильной приложухой совместим. Алсо я тоже подумывал над его покупкой, но мне как-то спокойней думать что "я знаю" штабильный сид, а не самые умные разработчики спрятали его от меня. Лежор форева.
Почему в таком случае ledger, а не safepal? Во втором вроде даже есть защита от вскрытия (установлен светочувствительный датчик)
за 2 года не исправили?
судя по тому что о нем я вижу инфу только в пределах рунета, какая-то мутная тема от наших кабанчиков. не нравится завязка на их приложение, которое внезапно может исчезнуть из сторов и отсутствие сида. леджер я могу восстановить по сид фразе, даже если компания леджер перестанет существовать.
и еще непонятно как они генерят ключ, насколько он рандомен. в этом плане я и леджеру не особо доверяю.
по моему самый ок кошелек это трезор, тк у них и софт и прошивка опенсорсные, а у леджера только софт открытый. Но трезор не поддерживет трон, а на троне удобно хранить usdt.
>в этом плане я и леджеру не особо доверяю
ну в лежоре никто тебе не мешает самостоятельно сгенерировать сид такой хуйней например https://www.youtube.com/watch?v=dCAr2urEe1o и ввести его в лежор
в тангеме жри, что дают просто верь, что разрабы не пиздят. Но сама идея крутая, но ее еще нужно дорабать, сделать сид хотя бы опциональным, а не анально огораживать его от юзера.
Вот ты меня надоумил! Можно же сгенерить фразу в оффлайне.
Нашел вот такую тулзу: https://getcoinplate.com/wp-content/uploads/2022/07/Coinplate-bip39-generator-standalone-offline-v102.html
Можно сохранить html страницу, закинуть себе на облако, и открывать оффлайн.
Далее в Advanced mode -> Show entropy details, выбираем тип энтропии, вводим саму энтропию, запоминаем ее и получаем сид фразу. Для hex энтропии и 24 слов подойдет SHA-256. Получаете хэш-строку и на ее основе генерите фразу.
Получается нужно запомнить только саму энтропийную фразу, а не сид.
Подводные только в том что для восстановления фразы понадобится вот эта тулза.
Купил леджер, перекидываю на него свои копейки, закидываю BNB, уже 1000 подтверждений прошло, а на счету в ledger live до сих пор 0. Гуглю ledger bnb, захожу на их сайт, а там плашка с февраля: у нас в ledger live сломался бинас смарт чейн, если вам нужно отправить/получить монеты, юзайте метамаск)))
Пздц конечно, а еще считается лидером рынка кошельков.
Пздц конечно, а еще считается лидером рынка кошельков.
>BNB
Может проблема не в лежоре, а в том что поделка чаньпеня говно.
Да не, тут как раз в леджоре. Сейчас даже баланс не видно, он тупо 0, а в bscscan-е видно что там не 0. В чем проблема тупо взять адрес и найти его баланс - не понятно.
Но зато nano s можно по usb-c - usb-c подрубить к мобиле и с мобилы делать транзакции. Вот этого я не ожидал, я думал это только на нано x который с блютусом.
Так что я теперь защищенный пздц.
нано с плюс конечно
Отвисти BNB на леджере, неужели йоба
Тебе не обязательно смотреть баланс через леджер лайф, подойдет любой софтверный кошель интересующего тебя блохчейна с поддержкой аппаратных кошельков. Просто прикол в том, что я хз вообще есть ли для бонобо нормальный кошель)))
Trust wallet for chrome?
Заявляют поддержку
Баланс можно смотреть вообще в сканере, но тут вопрос удобства. Хочется чтоб была одна няшная программка где были бы все монеты, а не так что на каждый токен свой софт
Если уж обсуждение аппаратных кошельков утихло или все просто сошлись, что леджер намбер ван, то что думаете о операционной системе ПК, в которой втыкается кошелек? Читал, что с пиратских семерок много кошельков угнали. ОС это же тоже точка обсуждения для шизиков.
Ты потому и покупаешь аппаратник, чтобы тебе было похуй на потенциальные дыры ОС. Они заработаны с тем предположением, что малварь у тебя УЖЕ на компе. Ну а вообще на семерке лучше вообще не сидеть и стабильно обновлять систему.
Устанавливается еще леджер лайв тот же. Через него может быть произведен взлом жопы потенциально или такой вариант уже шиза? Хотя меня не покидает ощущение, что вендор может сид фразу спокойно скомпрометировать.
Шиза, даже подмена кошелька на который отправляешь не прокатит если ты не слепой и на самом свистке сверяешь адресс
Какие подводные камни если хранить крипту на метамаске/трастваллете?
И чем холодный кошель лучше?
Хочу брать леджор точно. Какой именно брать, если не планирую часто пользоваться? Подключение к мобиле не особо нужно, онли пк.
>если не планирую часто пользоваться
Никакой
Лучше сделай мультисиг.
Тут анон замечательный случай описывал. У чела угнали крипту, по тому что он постоянно её гонял туда-сюда (торговля, обмен), тупо ломанули машину и всё спёрли. Вот для такого случая и нужен железный кошель. Остальное - криптоонанизм.
там Z выбита на чипе все норм проверено скрпеами. Можеш смело пользоватся ZOV
Любой, который тебе удобен.
Нужно понимать, что ты не хранишь на кошельке крипту. Кошелёк это хранилище приватных ключей, всего лишь подписывалка транзакций. Сведения, о том сколько у тебя крипты, хранятся в цепочке блоков.
Охуенная штука Ledger.
«Мы в любой момент могли поменять прошивку так, чтобы можно было получить приватные ключи»
Пиздец. «Неизвлекаемые» приватные ключи из «защищённого чипа».
Ёбаны насос!
«Мы в любой момент могли поменять прошивку так, чтобы можно было получить приватные ключи»
Пиздец. «Неизвлекаемые» приватные ключи из «защищённого чипа».
Ёбаны насос!
Тебя это так удивило?
Если честно - нет, не удивило.
Удивило, что они всё-таки об этом сообщили.
А в чем прикол тогда? Зачем мне покупать вот эту флешку с чипом внутри?
В том, что приватные ключи хранятся в защищённом чипе и неизвлекаемы, т.е. никогда не покидают защищённого хранилища, как недавно выяснилось, например у Ledger, этого нет, разрабы пиздели с самого начала
Это правильно и удобно, так как можно не париться о том, что кто-то их спиздит когда ты будешь подписывать транзы - спокойно можно совать кошель в любой комп.
Проблема в том, что нет принципиальной разницы, покидают ли они кошелек или нет - все строится на доверии к прошивке, которую ты туда загружаешь. Если прошивка злонамеренна, то когда ты инициируешь транзакцию, она может показывать тебе сообщение, как будто ты подписываешь правильную транзакцию, ты нажмешь на подтверждение, а на самом деле подпишется и отправится транзакция, отправляющая монеты злоумышленнику. Нет разницы: извлечь и спиздить сид/приватный ключ или просто сразу спиздить таким образом монеты. Отличие леджера, например, от trezor в открытости прошивки последнего и большем доверии.
Ну как бэ неизвлекаемость один из постулатов.
А что именно этим приватником подписывается - это головная боль подписанта.
Трезор не лучше.
Есть ещё Bitfi, Onekey и Kastelo. По ним хз. Но я бы лично никакие покупные не советовал...
Принципиально, разница в том, что в одном случае у тебя угонят одну транзу, а в другом всю кассу.
Ну не одну транзу, а все монеты одного типа тогда уж. И это если предполагать, что для подписания всегда нужно физическое нажатие кнопки на устройстве (т.е. что это зашито железно и не обойти программно) и одно нажатие = одно подписание.
Не уверен, в идеальном случае, когда приватник невозможно извлечь. Ведь это нам обещают производители железных кошельков
Транза собирается на незащищённом устройстве и передаётся на подписание в защищённый анклав, там подписывается (после правильного ввода пин-кода/нажатия кнопки) и выплёвывается обратно для передачи в сеть.
Одной транзой можно выгрести все токены с адреса?
Один анон в закреп треде посоветовал keystone pro
Вот его сообщение
>Мне больше всех понравился keystone pro. Он опенсорсный и airpgapped, полностью на куарах, т.е. не нужно подсоединять его к онлайн пеке по юсб, и поддерживает много щиткоинов.
На а вообще внизу точно написали - все альтернативы леджеру и трезору - ноунеймы которые еще только предстоит исследовать.
Вот его сообщение
>Мне больше всех понравился keystone pro. Он опенсорсный и airpgapped, полностью на куарах, т.е. не нужно подсоединять его к онлайн пеке по юсб, и поддерживает много щиткоинов.
На а вообще внизу точно написали - все альтернативы леджеру и трезору - ноунеймы которые еще только предстоит исследовать.
А на счет обычного надежного биткоин кошелька для браузера для того что бы может быть пару раз в год им пользоваться?
Если пользуешься часто или/и небольшие суммы - любой из популярных горячих.
Если хранишь большие суммы - только тогда есть смысл смотреть в сторону аппаратных. Но там лучше ноут настроенный в ячейке держать.
Хорошо бы какие нибудь примеры. Сейчас развелось 10 тонна скама,
некоторые кошельки под санкциями. Нужен такой который работает с сайта без всяких навязываемых приложений. Раньше я пользовался блокчейн орг что ли, но он соблюдает санкции.
Не надо срать человеку в черепную коробку.
Для хранения - папер или брейн валет, а ещё лучше брейн мультисиг.
Для нечастого использования - любой некастодиальный кошель.
Дле постоянного использования - железяка.
>блокчейн орг
точнее сказать com
>брейн валет, а ещё лучше брейн мультисиг
Ты ебанутый?
Дахуя умный? Парируй ёпта!
Есть сайтик со всеми аппаратными крипто-кошельками: https://wallets.thebitcoinhole.com/
Аппаратный криптокошелек OneKey с 30 сентября прекратит принимать новых пользователей из России. Об этом говорится в сообщении компании.
Помимо пользователей из России, ограничения также затронут граждан Ирана, Северной Кореи, Сирии, Северной Македонии, материкового Китая, Судана, Венесуэлы и Зимбабве. При этом пользователи, которые уже активировали карту, не будут затронуты и смогут использовать ее в обычном режиме. В OneKey отметили, что это делается в строгом соответствии с местными законами и нормативными требованиями.
https://ru.beincrypto.com/apparatnyj-koshelek-onekey/
Помимо пользователей из России, ограничения также затронут граждан Ирана, Северной Кореи, Сирии, Северной Македонии, материкового Китая, Судана, Венесуэлы и Зимбабве. При этом пользователи, которые уже активировали карту, не будут затронуты и смогут использовать ее в обычном режиме. В OneKey отметили, что это делается в строгом соответствии с местными законами и нормативными требованиями.
https://ru.beincrypto.com/apparatnyj-koshelek-onekey/
Kastelo и Bitfi не вижу.
> SATS
)))
купи словарь английского языка. Найди там все слова из сид фразы и пронумеруй карандашиком из порядок. Прямо рядом со словам ставь циферку 1,2 или 5. На последней странице запиши номера страниц со словами. Все. Если даже кто-то найдет этот словарь он врятли догадается что это сид фраза.
А если словарь проебётся, сгорит, вода прольётся, ребенок страницу вырвет? Или будешь переезжать - затеряется где-то. Такое возможно?
Можно сгенерировать оффлайн фразу, загрузить ubuntu live usb, установить gpg, отключить пк от интернета и зашифровать фразу паролем с экранированным выводом (это даст текстовый вывод, а не двоичный), скопировать шифротекст на флешку и отключить live usb. После этого можно создать и раскидать сколько угодно копий шифртекста в разных местах. Это надежно, т.к. сид-фраза никогда не будет на пк, подключенному к интернету (если даже считать, что ubuntu live usb заражена или установка gpg ее заразит, у фразы не будет возможности покинуть пк).
>После этого можно создать и раскидать сколько угодно копий шифртекста в разных местах.
Я имею в виду, в распечатанном виде. Но и в электронном можно тоже.
так ты его не бросай где попало. Поставь его в книжный шкаф вместе с другими книгами. Нихуя ему не сделается.
Еще можно кинуть кусок бумаги в бутылку а лучше в три бутылки и закопать. Или опять не подходит? Наводнение может случится! Мировой потоп!
Там SafePal S1 Pro Max вышел, еси чо.
Чем от старого отличается, кроме материалов корпуса?
Возрождаю тред
Хардварные кошельки себя скомпрометировали. Если для того чтобы юзать кошелёк его нужно подключать к девайсу с софтиной (не дай бог подключаемой к интернету) твою сид фразу рано или поздно продадут сами разрабы.
Опен Сорс код софтины конечно помогает, но я что-то не вижу статей от хаккеров которые прочитали бы его и могли со 100% уверенностью сказать что код не хранит и не отправляет твою сид фразу разрабам.
Air Gapped дорогие кошельки, где гарантия что через месяц он не начнёт слать твою сид фразу в виде QR когда пока ты делаешь перевод через твой любимый BlueWallet. Всего-то надо договорится с разрабами BlueWallet.
Где разборы девайсов с подтверждением того что они действительно Air Gapped, и не имеют WiFi модуля на борту?
Последний вариант. Самодельный PiZero Air Gapped кошелёк, по типу SeedSigner.
Вроде всё защищено, QR коды и всё такое. Но кто-то читал их опен соурс код? Кто-то может поручиться что они не смогут тупо отправлять твою сид фразу в виде QR кода, который ты не можешь понять просто глядя на него?
Дискасс
Хардварные кошельки себя скомпрометировали. Если для того чтобы юзать кошелёк его нужно подключать к девайсу с софтиной (не дай бог подключаемой к интернету) твою сид фразу рано или поздно продадут сами разрабы.
Опен Сорс код софтины конечно помогает, но я что-то не вижу статей от хаккеров которые прочитали бы его и могли со 100% уверенностью сказать что код не хранит и не отправляет твою сид фразу разрабам.
Air Gapped дорогие кошельки, где гарантия что через месяц он не начнёт слать твою сид фразу в виде QR когда пока ты делаешь перевод через твой любимый BlueWallet. Всего-то надо договорится с разрабами BlueWallet.
Где разборы девайсов с подтверждением того что они действительно Air Gapped, и не имеют WiFi модуля на борту?
Последний вариант. Самодельный PiZero Air Gapped кошелёк, по типу SeedSigner.
Вроде всё защищено, QR коды и всё такое. Но кто-то читал их опен соурс код? Кто-то может поручиться что они не смогут тупо отправлять твою сид фразу в виде QR кода, который ты не можешь понять просто глядя на него?
Дискасс
Блять, столько лет криптой пользуемся, и никто не придумал системы чтобы без ебучих бэкдоров?
Ну скажет тебе ноунейм какой "посмотрел код, отвечаю не взломать", и ты сразу поверишь ему? Верунство какое-то.
Проще на хукерских форумах заказать взлом или промониторить были ли кейсы у них, вот тогда ясно и будет.
На чем генерить?
И нужен хороший пароль на текст
Что значит "отправлять твою сид фразу в виде QR кода"? Как оффлайн устройство отправит что-то в интернет?
Я сделал хардварный кошелек из андроид мобилы.
Пользуюсь только биткоином и usdt в троне, поэтому для битка закачал приложение https://airgap.it/ а для трона кошелек тронлинк, оба доступны через apk. Оба этих приложения умеют работать в режиме холодного хранения. Так же зачачал туда оффлайн версию страницы https://iancoleman.io/bip39/ с гитхаба и свой скриптик для расчета sha256 чтобы вычислить сид фразу на полность оффлайн девайсе. Больше к компу телефон не подключал. На мобиле выключил вайфай, мобильный интернет, блютус, перевел в авиарежим.
В качестве read-only кошелька для биткоина юзаю sparrow wallet на пеке, а для трона tronlink на мобиле.
Пользуюсь только биткоином и usdt в троне, поэтому для битка закачал приложение https://airgap.it/ а для трона кошелек тронлинк, оба доступны через apk. Оба этих приложения умеют работать в режиме холодного хранения. Так же зачачал туда оффлайн версию страницы https://iancoleman.io/bip39/ с гитхаба и свой скриптик для расчета sha256 чтобы вычислить сид фразу на полность оффлайн девайсе. Больше к компу телефон не подключал. На мобиле выключил вайфай, мобильный интернет, блютус, перевел в авиарежим.
В качестве read-only кошелька для биткоина юзаю sparrow wallet на пеке, а для трона tronlink на мобиле.
Наверное, он имеет в виду, что оффлайн-пека генерирует транзакцию и отображает в виде QR кода, а считать надо каким-то закрытым мобильным кошельком и что если оба устройства злонамеренные, то сид-фраза может передаться в этом QR.
Двачуны, а смог кто-нибудь приспособить для хранения приватных ключей всякие рутокены, джакарты и прочие убикеи? Но не просто записать их внутрь, а именно чтобы, например, электрум или биткойнкор к ним обращались за подписью?
Есть такие стулья:
Ledger Nano S
Trezor One
Tangem Wallet
SafePal S1
Пока склоняюсь к Ledger Nano S. Есть с ним какие-то подводные камни, о которых мне стоило бы знать? Или лучше выбрать другой? Может есть что-то не из списка?
Бывали ли случаи закладок в аппаратных кошельках? Ну когда пользуешься кошельком, а потом битки уходят на левые адреса например? Настораживает то, что, например, на озоне типа в оффициальном сторе леджер стоит 12к, а в vasyan228shop в джва раза дешевле. Есть ли риск нарваться на протрояненный кошелек?