Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах

casio

Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

Какая-то непонятная шляпа: кошелек Ledger вроде не первый год как юзается многими пользователями и не было никаких траблов. А тут вдруг выясняется что в нем под систему безопасности заложена целая бомба ... :(

Да там простой глюк, вы отправляете на свой адрес якобы деньги, а крот меняет там адрес на свой. И не одно устройство вам тут не поможет избежать этого, если вы сами внимательны не будите конечно.

Ivan Ivanov

@casio а если новый адрес будет отличаться всего лишь несколькими символами? вполне возможно, что вы и не заметите подмены. обычно сравнивают начало адреса и конец.

casio

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio а если новый адрес будет отличаться всего лишь несколькими символами? вполне возможно, что вы и не заметите подмены. обычно сравнивают начало адреса и конец.

Это вероятность одна из двойки в двадцать шестой степени. Так что такой вариант фантастика будет просто.

Markov

Лучше самим найти ошибки и оповестить об этом пользователей, чем чтобы они нашли их сами. Временная антиреклама и самокритика, но хотя бы есть шанс оправдать свое честное имя и все исправить.

Gordeev

@markov угу... Как-то исправлять эту ошибку надо, а в случае с аппаратным кошельком, которым является Леджер, это куда сложнее, чем просто заплатку на сайт воткнуть.

Ivan Ivanov

@casio может такой вирус напишут, чтобы адреса похожие были и подмена не бросалась в глаза. хакеры не стоят на месте )

casio

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio может такой вирус напишут, чтобы адреса похожие были и подмена не бросалась в глаза. хакеры не стоят на месте )

Еще нужно будет такие же адреса получить в свой кошелек, а это дело не легкое.

Ivan Ivanov

@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.

okela

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.

Этот вариант бесполезен, т.к. количество возможных комбинаций превышает пределы воображения ...

casio

Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.

Этот вариант бесполезен, т.к. количество возможных комбинаций превышает пределы воображения ...

Это даже не пределы воображения ... это уже фантастика. Помню сыр такой какой то был.

7ambrion

@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...

Если кто то сможет так хеши под заказ делать, то им прямой путь в майнинг. Будут блоки без работы создавать, они же умеют хеши подгонять ))

7ambrion

@casio а я и не исключаю что один из альткоинов в действительности это и осуществляет :) а возможно и не один

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...

Интересно из каких расчетов вы сделали вывод, что для данной задачи не нужен ни бюджет большой, ни длительный интервал решения ?

7ambrion

@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат

Вы хоть приблизительно представляете себе время на одну итерацию данной задачи ? :(
Общее количество биткойн-адресов ~2^160 штук. Для сравнения: песчинок на всех пляжах нашей планеты всего 2^63 штук !

7ambrion

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

Вопрос как вы эту всю халобуду на устройство буратины загрузить сможете, а это не пара мегабайт данных будет. А может несколько гигабайтов, даже десятков.

7ambrion

@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих

можно конечно и в облаке это все сделать, но ваше облако быстро думаю антивирусы перехватят. Если конечно человек не дурак, и брандмаузер не отключил у себя в настройках