Ninjastic
PostEdited versionsQuotes to this post
Post
Topic
Board Português (Portuguese)
Re: Como conseguir uma hardware wallet barato (Nano S por $35 ou KeepKey por $50)
by
alegotardo
on 20/02/2018, 13:28:19 UTC
Quote from: pumabit87 on February 20, 2018, 01:18:12 PM
Quote from: alegotardo on February 20, 2018, 12:55:24 PM
Quote from: pumabit87 on February 20, 2018, 12:31:35 PM
[...]

Obs: Até pouco tempo atrás a hardware wallet da Legder era um dos dispositivos mais seguros, mas agora descobriram uma vulnerabilidade, vou deixar o link da matéria

https://guiadobitcoin.com.br/cuidado-hardware-wallet-ledgers-tem-uma-vulnerabilidade-critica/

Cuidado com a veiculação de informações falsas....

Pelo que li, a vulnerabilidade está no software que é instalado no computador, o qual está sujeito a vírus por descuido de seus usuários.
Já o hardware (o dispositivo físico) continua inviolável, tanto que no procedimento descrito pela fabricante o usuário é instruído a confirmar no dispositivo se o endereço de recebimento é o mesmo do que está sendo exibido na tela do computador.

Vou tentar explicar melhor aqui, e aí cada um tome suas conclusões se a vulnerabilidade é ou não da Ledger Grin

Ledwer wallets geram os endereços de recebimento utilizando JavaScript. Isto significa que um malware pode simplesmente trocar o código responsável por gerar o endereço de recebimento, provocando que todos os depositos sejam enviados para outro endereço, o do hacker por exemplo. Para piorar, todo o software da Ledger wallet está localizado na pasta AppData, significando que até mesmo um malware sem privilégios de admin podem modificar os endereços. O ataque troca o endereço durante sua geração, causando até mesmo a troca do QRCode.

Na minha opinião, é uma falha de software que compromete todo funcionamento da Ledger. A propaganda de dizer que era inviolável foi por água abaixo.

Como se proteger de uma forma extremamente simples:

Você deve verificar o endereço de recebimento no display da Ledger



Todo software de computador está vulnerável a ataques se o computador estiver comprometido.
Seja a wallet da própria ledger, bitcoin-qt, electrum, etc...

A diferença está no "token/hardware" da legder que até o momento é INVIOLÁVEL.
Hoje em qualquer gasto que você for fazer, a wallet TE OBRIGA a confirmar a quantidade e o endereço de destino no DISPOSITIVO.
Frente a essa nova vulnerabilidade, agora no RECEBIMENTO, o correto seria a Ledger te obrigar também a confirmar no DISPOSITIVO a public key gerada, e não deixar isso como um opcional.

Então, na minha opinião, o que está vulnerável é o software da ledger instalado no computador, já o hardware não.

Se o usuário fizer o simples procedimento descrito pela fabricante de verificar a carteira gerada no hardware (o qual não pode ser violado) ele já mitiga esse ataque.