Для работы с аппаратниками важно одно правило - качать по только с официального сайта, тогда по твоей вине у тебя ничего не уведут.
Не совсем так. Одна из основных фишек, которая заявляется для аппаратников - подпись транзакции происходит только на нем самом. Ключи (и уж тем более seed) никогда и ни при каких условиях не передаются из аппаратника вовне.
Поэтому его можно
безопасно использовать для работы с криптой хоть на компе в общественном интернет-кафе (и пофиг какой там стоит софт и какие вирусы).
А разве аппаратник хранит каким то образом сид фразу?
Да, хранит. На своем леджере я всегда могу в меню настроек посмотреть seed (но для этого нужно получить физический доступ к леджеру, разблокировать его правильным pin-кодом и даже тогда я могу посмотреть seed только на экране самого леджера. Seed он никуда не передает).
Может фейк новость, мне казалось никак не достать его оттуда, особенно таким образом
Да вот мне тоже кажется, что юзер тупанул и каким-то образом сам отдал свой seed.
Если он скачал левое ПО, которое попросило его ввести seed, а он как лох этот seed и ввел - то сам идиот.
А вот если и правда этому ПО как-то удалось вытащить seed с самого кошелька леджера - то это конец леджеру, как производителю аппаратных кошельков.
Сам факт что юзер может ввести сид на псевдо софте внешне похожим на леджеровский - тоже угроза.
Нет, это не угроза. Это идиотизм 100-го лвл.
Потому что seed вводится только в одном случае: восстановление кошелька на новом девайсе леджера. И вводится seed в этом случае только на самом девайсе леджера (а не на компьютере).
Если юзер настолько идиот, что этого не знает, то ему вообще никакая защита не поможет.
А если этот софт как-то вытаскивает сид из самого "свистка", то это вообще лол.
Подождем развития ситуации. Пока что история мутная. Сам юзер уверяет, что вводил seed на компе, но всего один раз и пару лет назад (а
зачем он его вводил на компе вообще хоть раз)?
А как оно на самом деле было - точно не известно.
Пока что это похоже на обычную утку.