Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах

7ambrion

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

Вопрос как вы эту всю халобуду на устройство буратины загрузить сможете, а это не пара мегабайт данных будет. А может несколько гигабайтов, даже десятков.

7ambrion

@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих

можно конечно и в облаке это все сделать, но ваше облако быстро думаю антивирусы перехватят. Если конечно человек не дурак, и брандмаузер не отключил у себя в настройках

7ambrion

@casio по идее адреса или название процесса в черном списке защитника появиться должны чтоб их блокировало... По крайней мере у меня на десятой винде не ругается на облако, но и антивирусов никаких сторонних нет, так что возможно вы и правы

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio по идее адреса или название процесса в черном списке защитника появиться должны чтоб их блокировало... По крайней мере у меня на десятой винде не ругается на облако, но и антивирусов никаких сторонних нет, так что возможно вы и правы

Ну тут я бы вам посоветовал бы в начале немного книг почитать по блокчейну, как там все устроенно. И как адреса получаются и как они действуют. Думаю некоторые вопросы у вас отпали бы сами собой.

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.

Потихоньку перебрать у вас вряд-ли получится, т.к. задействованных биткойн-кошельков уже насчитывается 23 млн., а количество адресов у одного кошелька может быть намного больше одного и все использованные адреса нужно держать где-то в файле и постоянно дергать этот файл для чтения-записи.

7ambrion

@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлял

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлял

Вы что-то неправильно поняли: аппаратный кошелек хранит внутри устройства все приватные ключи и seed-фразу для восстановления доступа. Сервер нужен только для подгрузки блокчейна.

7ambrion

@okela был не внимателен, благодарю за поправку. Но момент с сервером все равно привносит недоверие...

Вы осведомленнее меня, поправьте пожалуйста если сейчас где то буду не прав в полной картине:

1. Крипты состоят из блоков блокчейна где каждый блок одна монета
2. Изначально известно сколько блоков/монет будет всего, но цепочка строится майнерами в реальном времени
3. Все блоки/монеты имеют принадлежность к определенным адресам/приватным ключам
4. Что бы воспользоваться приватными ключами всегда нужна контрольная фраза, которую всегда генерирует именно "провайдер" кошелька
5. Монета внутри кошелька состоит из миллиарда сатошей возможно раскиданных по всей цепочки блоков блокчейна
6. Вся цепочка блоков хранится только у владельцев холодных кошельков и на серверах обслуживающих остальные кошельки
7. Все имеют доступ ко всей цепочки блоков
8. Существует какой то центральный источник где цепочка дополняется намайнеными блоками, хранится как оригинал и выгружается всем остальным

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela был не внимателен, благодарю за поправку. Но момент с сервером все равно привносит недоверие...

Вы осведомленнее меня, поправьте пожалуйста если сейчас где то буду не прав в полной картине:

1. Крипты состоят из блоков блокчейна где каждый блок одна монета
2. Изначально известно сколько блоков/монет будет всего, но цепочка строится майнерами в реальном времени
3. Все блоки/монеты имеют принадлежность к определенным адресам/приватным ключам
4. Что бы воспользоваться приватными ключами всегда нужна контрольная фраза, которую всегда генерирует именно "провайдер" кошелька
5. Монета внутри кошелька состоит из миллиарда сатошей возможно раскиданных по всей цепочки блоков блокчейна
6. Вся цепочка блоков хранится только у владельцев холодных кошельков и на серверах обслуживающих остальные кошельки
7. Все имеют доступ ко всей цепочки блоков
8. Существует какой то центральный источник где цепочка дополняется намайнеными блоками, хранится как оригинал и выгружается всем остальным

Ну тут ответ можно развернуть на целую лекцию ... Отвечу минималистично:

1. Нет. Блок из цепочки блокчейна не эквивалентен одной монете и даже ее кусочку.
2. Да. Только то, что касается блоков.
3. Нет. Тут все мимо.
4. Нет. Тут все мимо.
5. Да. Возможен и такой вариант. Только не из миллиарда, а из 100 млн. сатошей.
6. Да.
7. Да.
8. Нет.

okela

@7ambrion Почитайте на досуге неплохой цикл статей: Про Биткойн за 5 минут

casio

Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@7ambrion Почитайте на досуге неплохой цикл статей: Про Биткойн за 5 минут

Если кто знает хорошо английский, то на телеграмм канале https://t.me/tbooks есть несколько полезных книг для новичков. Увы их так на русский и не перевели у нас.

casio

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлял

Леджер это по сути такой же кошелек электрум. только в виде флешки и с прибамбасами. Я лично купил старый ноутбук за копейки, и его вроде как леджер использую.

7ambrion

@okela благодарю, эта серия статей многое прояснило, но появились несостыковки. К примеру, неужели действительно нужно столько майнеров чтоб просто обрабатывать переводы, причем так медленно...
@casio к сожалению у меня нет телеграма. А старый ноут на данный момент я как оптимальный вариант вижу, на втором месте держать холодный кошелек в собственном облаке - это намного практичнее, но безопасность пока под вопросом. Нужно будет попробовать привлечь внимание взломщиков что бы проверить надежность, закинуть туда крохи и пусть трудятся :)

okela

Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:

@okela благодарю, эта серия статей многое прояснило, но появились несостыковки. К примеру, неужели действительно нужно столько майнеров чтоб просто обрабатывать переводы, причем так медленно...

Количество самих майнеров может быть и не астрономическое, но их суммарная выч. мощность очень велика сегодня. Поэтому велика и сложность обработки транзакций, а медленная скорость и большие задержки связаны скорее с избирательностью в транзакциях самих майнеров.

7ambrion

@okela исходя из статей, сложность майнинга не связана с количеством майнеров и общей мощностью железа, она несет только запланированный характер (исходя из этого майнеры запланировано получают меньшию долю от комиссий, но кто тогда получает остаток?!)
Как минимум на скорость переводов суммарная мощность точно должна влиять, а этого не происходит (можно допустить что переводов стало больше)
При внедрении лайтнинг нетворк судя по всему будет крах майнеров, так как транзакции будут проходить мимо блокчейна, и в итоге комиссий и соответственно прибыли у майнеров почти не будет. Вероятно останутся только крупные игроки и если один или несколько договорившись займут 51% (или больше) площадки, запросто подменят блокчейн и обычные обыватели если даже не вылетят с карусели, то должны будут признать что эти ребята могут делать почти все что хотят с нашими кошельками и со средствами в своих (очень сильно напоминает банкиров)

okela

@7ambrion Запланированный характер несет снижение через каждые 4 года награды майнерам за найденный и добавленный в цепочку блок. А сложность майнинга напрямую связана с вычислительной мощностью сети.