Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах

casio

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio может такой вирус напишут, чтобы адреса похожие были и подмена не бросалась в глаза. хакеры не стоят на месте )

Еще нужно будет такие же адреса получить в свой кошелек, а это дело не легкое.

Ivan Ivanov

@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.

okela

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.

Этот вариант бесполезен, т.к. количество возможных комбинаций превышает пределы воображения ...

casio

Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.

Этот вариант бесполезен, т.к. количество возможных комбинаций превышает пределы воображения ...

Это даже не пределы воображения ... это уже фантастика. Помню сыр такой какой то был.

7ambrion

@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...

Если кто то сможет так хеши под заказ делать, то им прямой путь в майнинг. Будут блоки без работы создавать, они же умеют хеши подгонять ))

7ambrion

@casio а я и не исключаю что один из альткоинов в действительности это и осуществляет :) а возможно и не один

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...

Интересно из каких расчетов вы сделали вывод, что для данной задачи не нужен ни бюджет большой, ни длительный интервал решения ?

7ambrion

@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат

Вы хоть приблизительно представляете себе время на одну итерацию данной задачи ? :(
Общее количество биткойн-адресов ~2^160 штук. Для сравнения: песчинок на всех пляжах нашей планеты всего 2^63 штук !

7ambrion

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

Вопрос как вы эту всю халобуду на устройство буратины загрузить сможете, а это не пара мегабайт данных будет. А может несколько гигабайтов, даже десятков.

7ambrion

@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих

можно конечно и в облаке это все сделать, но ваше облако быстро думаю антивирусы перехватят. Если конечно человек не дурак, и брандмаузер не отключил у себя в настройках

7ambrion

@casio по идее адреса или название процесса в черном списке защитника появиться должны чтоб их блокировало... По крайней мере у меня на десятой винде не ругается на облако, но и антивирусов никаких сторонних нет, так что возможно вы и правы

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio по идее адреса или название процесса в черном списке защитника появиться должны чтоб их блокировало... По крайней мере у меня на десятой винде не ругается на облако, но и антивирусов никаких сторонних нет, так что возможно вы и правы

Ну тут я бы вам посоветовал бы в начале немного книг почитать по блокчейну, как там все устроенно. И как адреса получаются и как они действуют. Думаю некоторые вопросы у вас отпали бы сами собой.

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

Потихоньку перебрать у вас вряд-ли получится, т.к. задействованных биткойн-кошельков уже насчитывается 23 млн., а количество адресов у одного кошелька может быть намного больше одного и все использованные адреса нужно держать где-то в файле и постоянно дергать этот файл для чтения-записи.

7ambrion

@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлял

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлял

Вы что-то неправильно поняли: аппаратный кошелек хранит внутри устройства все приватные ключи и seed-фразу для восстановления доступа. Сервер нужен только для подгрузки блокчейна.

7ambrion

@okela был не внимателен, благодарю за поправку. Но момент с сервером все равно привносит недоверие...

Вы осведомленнее меня, поправьте пожалуйста если сейчас где то буду не прав в полной картине:

1. Крипты состоят из блоков блокчейна где каждый блок одна монета
2. Изначально известно сколько блоков/монет будет всего, но цепочка строится майнерами в реальном времени
3. Все блоки/монеты имеют принадлежность к определенным адресам/приватным ключам
4. Что бы воспользоваться приватными ключами всегда нужна контрольная фраза, которую всегда генерирует именно "провайдер" кошелька
5. Монета внутри кошелька состоит из миллиарда сатошей возможно раскиданных по всей цепочки блоков блокчейна
6. Вся цепочка блоков хранится только у владельцев холодных кошельков и на серверах обслуживающих остальные кошельки
7. Все имеют доступ ко всей цепочки блоков
8. Существует какой то центральный источник где цепочка дополняется намайнеными блоками, хранится как оригинал и выгружается всем остальным