Ninjastic
PostEdited versionsQuotes to this post
Post
Topic
Board Português (Portuguese)
Re: Como conseguir uma hardware wallet barato (Nano S por $35 ou KeepKey por $50)
by
pumabit87
on 20/02/2018, 15:55:47 UTC
Quote from: alegotardo on February 20, 2018, 01:28:19 PM
Quote from: pumabit87 on February 20, 2018, 01:18:12 PM
Quote from: alegotardo on February 20, 2018, 12:55:24 PM
Quote from: pumabit87 on February 20, 2018, 12:31:35 PM
[...]

Obs: Até pouco tempo atrás a hardware wallet da Legder era um dos dispositivos mais seguros, mas agora descobriram uma vulnerabilidade, vou deixar o link da matéria

https://guiadobitcoin.com.br/cuidado-hardware-wallet-ledgers-tem-uma-vulnerabilidade-critica/

Cuidado com a veiculação de informações falsas....

Pelo que li, a vulnerabilidade está no software que é instalado no computador, o qual está sujeito a vírus por descuido de seus usuários.
Já o hardware (o dispositivo físico) continua inviolável, tanto que no procedimento descrito pela fabricante o usuário é instruído a confirmar no dispositivo se o endereço de recebimento é o mesmo do que está sendo exibido na tela do computador.

Vou tentar explicar melhor aqui, e aí cada um tome suas conclusões se a vulnerabilidade é ou não da Ledger Grin

Ledwer wallets geram os endereços de recebimento utilizando JavaScript. Isto significa que um malware pode simplesmente trocar o código responsável por gerar o endereço de recebimento, provocando que todos os depositos sejam enviados para outro endereço, o do hacker por exemplo. Para piorar, todo o software da Ledger wallet está localizado na pasta AppData, significando que até mesmo um malware sem privilégios de admin podem modificar os endereços. O ataque troca o endereço durante sua geração, causando até mesmo a troca do QRCode.

Na minha opinião, é uma falha de software que compromete todo funcionamento da Ledger. A propaganda de dizer que era inviolável foi por água abaixo.

Como se proteger de uma forma extremamente simples:

Você deve verificar o endereço de recebimento no display da Ledger



Todo software de computador está vulnerável a ataques se o computador estiver comprometido.
Seja a wallet da própria ledger, bitcoin-qt, electrum, etc...

A diferença está no "token/hardware" da legder que até o momento é INVIOLÁVEL.
Hoje em qualquer gasto que você for fazer, a wallet TE OBRIGA a confirmar a quantidade e o endereço de destino no DISPOSITIVO.
Frente a essa nova vulnerabilidade, agora no RECEBIMENTO, o correto seria a Ledger te obrigar também a confirmar no DISPOSITIVO a public key gerada, e não deixar isso como um opcional.

Então, na minha opinião, o que está vulnerável é o software da ledger instalado no computador, já o hardware não.

Se o usuário fizer o simples procedimento descrito pela fabricante de verificar a carteira gerada no hardware (o qual não pode ser violado) ele já mitiga esse ataque.

Tens razão, tecnicamente falando a vulnerabilidade é no software e não no hardware. Mas como o produto deles é composto pelos dois, eu me refiro a Ledger como um todo. Acredito que o mais importante é os usuários ficarem atentos a estes passos de segurança, você acaba comprando um equipamento destes achando que suas moedas nunca serão hackeadas, e por um descuido você acaba sendo roubado.

Quote from:  link=topic=2979076.msg30685686#msg30685686 date=1519133143

Bom mesmo pra quem faz hodl é anotar a chave privada nuns pedaço de papel e amém.. pra fazer trades pequenos é só criar outro endereço..


Concordo @sabotag3x, a Ledger é mais comoda para fazer transações em qualquer computador, pela questão do hardware ser inviolável, por isso no meu ponto de vista comprar uma para hodl não faz sentido. Eu colocaria essa grana e mais um pouco em alguma altcoin e procuraria usar uma carteira de papel ou desktop.