Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах
-
@casio а я и не исключаю что один из альткоинов в действительности это и осуществляет :) а возможно и не один
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...Интересно из каких расчетов вы сделали вывод, что для данной задачи не нужен ни бюджет большой, ни длительный интервал решения ?
-
@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат
Вы хоть приблизительно представляете себе время на одну итерацию данной задачи ? :(
Общее количество биткойн-адресов ~2^160 штук. Для сравнения: песчинок на всех пляжах нашей планеты всего 2^63 штук ! -
@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.
Вопрос как вы эту всю халобуду на устройство буратины загрузить сможете, а это не пара мегабайт данных будет. А может несколько гигабайтов, даже десятков.
-
@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этих -
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio я далек от новостей железа и софта, по этому и вел речь о том чтоб заплатить а не самому делать. Но из того с чем пересекался в последнее время могу сказать что сейчас почти каждый роутер имеет usb3 разъем и подключив ссд можно сделать достаточно быстрое облако... К тому же так же до сих пор еще есть сервера, если вдруг скорости у роуторов окажутся маленькими. В общем сам клиент можно запросто сделать маленьким. Это конечно если речь идет о создании пула... а в упомянутый мной бюджет это не входило...
Ааа... блин... Написал все это и только сейчас вопрос понял... Я имел введу что адреса вообще всех кошельковый можно добыть а не конкретно этихможно конечно и в облаке это все сделать, но ваше облако быстро думаю антивирусы перехватят. Если конечно человек не дурак, и брандмаузер не отключил у себя в настройках
-
@casio по идее адреса или название процесса в черном списке защитника появиться должны чтоб их блокировало... По крайней мере у меня на десятой винде не ругается на облако, но и антивирусов никаких сторонних нет, так что возможно вы и правы
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio по идее адреса или название процесса в черном списке защитника появиться должны чтоб их блокировало... По крайней мере у меня на десятой винде не ругается на облако, но и антивирусов никаких сторонних нет, так что возможно вы и правы
Ну тут я бы вам посоветовал бы в начале немного книг почитать по блокчейну, как там все устроенно. И как адреса получаются и как они действуют. Думаю некоторые вопросы у вас отпали бы сами собой.
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela так их не нужно же все время все в памяти держать, потихоньку все переберутся. Скорость переборки напрямую будет зависеть от вычислительной мощности.... Можно даже сохранять не подтвердившиеся значения, как потенциально вероятные, и начиная с второго цикла, дело вероятно пойдет быстрее, так как только скрипт валидности будет задействован.
Потихоньку перебрать у вас вряд-ли получится, т.к. задействованных биткойн-кошельков уже насчитывается 23 млн., а количество адресов у одного кошелька может быть намного больше одного и все использованные адреса нужно держать где-то в файле и постоянно дергать этот файл для чтения-записи.
-
@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлял -
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлялВы что-то неправильно поняли: аппаратный кошелек хранит внутри устройства все приватные ключи и seed-фразу для восстановления доступа. Сервер нужен только для подгрузки блокчейна.
-
@okela был не внимателен, благодарю за поправку. Но момент с сервером все равно привносит недоверие...
Вы осведомленнее меня, поправьте пожалуйста если сейчас где то буду не прав в полной картине:
- Крипты состоят из блоков блокчейна где каждый блок одна монета
- Изначально известно сколько блоков/монет будет всего, но цепочка строится майнерами в реальном времени
- Все блоки/монеты имеют принадлежность к определенным адресам/приватным ключам
- Что бы воспользоваться приватными ключами всегда нужна контрольная фраза, которую всегда генерирует именно "провайдер" кошелька
- Монета внутри кошелька состоит из миллиарда сатошей возможно раскиданных по всей цепочки блоков блокчейна
- Вся цепочка блоков хранится только у владельцев холодных кошельков и на серверах обслуживающих остальные кошельки
- Все имеют доступ ко всей цепочки блоков
- Существует какой то центральный источник где цепочка дополняется намайнеными блоками, хранится как оригинал и выгружается всем остальным
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela был не внимателен, благодарю за поправку. Но момент с сервером все равно привносит недоверие...
Вы осведомленнее меня, поправьте пожалуйста если сейчас где то буду не прав в полной картине:
- Крипты состоят из блоков блокчейна где каждый блок одна монета
- Изначально известно сколько блоков/монет будет всего, но цепочка строится майнерами в реальном времени
- Все блоки/монеты имеют принадлежность к определенным адресам/приватным ключам
- Что бы воспользоваться приватными ключами всегда нужна контрольная фраза, которую всегда генерирует именно "провайдер" кошелька
- Монета внутри кошелька состоит из миллиарда сатошей возможно раскиданных по всей цепочки блоков блокчейна
- Вся цепочка блоков хранится только у владельцев холодных кошельков и на серверах обслуживающих остальные кошельки
- Все имеют доступ ко всей цепочки блоков
- Существует какой то центральный источник где цепочка дополняется намайнеными блоками, хранится как оригинал и выгружается всем остальным
Ну тут ответ можно развернуть на целую лекцию ... Отвечу минималистично:
- Нет. Блок из цепочки блокчейна не эквивалентен одной монете и даже ее кусочку.
- Да. Только то, что касается блоков.
- Нет. Тут все мимо.
- Нет. Тут все мимо.
- Да. Возможен и такой вариант. Только не из миллиарда, а из 100 млн. сатошей.
- Да.
- Да.
- Нет.
-
@7ambrion Почитайте на досуге неплохой цикл статей: Про Биткойн за 5 минут
-
Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@7ambrion Почитайте на досуге неплохой цикл статей: Про Биткойн за 5 минут
Если кто знает хорошо английский, то на телеграмм канале https://t.me/tbooks есть несколько полезных книг для новичков. Увы их так на русский и не перевели у нас.
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio и @okela
Еще чуть чуть и мы тут пособие по генерации занятых приватных ключей заварганим :)
Посмотрел сегодня про эти леджер кашельки и разочаровался... Думал на них все средства хранятся, но увы на них только ид для входа на сайт... Сервер опрокинут и тютю... Хреново наверно стать заложником безопасности за которую столько забашлялЛеджер это по сути такой же кошелек электрум. только в виде флешки и с прибамбасами. Я лично купил старый ноутбук за копейки, и его вроде как леджер использую.
-
@okela благодарю, эта серия статей многое прояснило, но появились несостыковки. К примеру, неужели действительно нужно столько майнеров чтоб просто обрабатывать переводы, причем так медленно...
@casio к сожалению у меня нет телеграма. А старый ноут на данный момент я как оптимальный вариант вижу, на втором месте держать холодный кошелек в собственном облаке - это намного практичнее, но безопасность пока под вопросом. Нужно будет попробовать привлечь внимание взломщиков что бы проверить надежность, закинуть туда крохи и пусть трудятся :) -
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela благодарю, эта серия статей многое прояснило, но появились несостыковки. К примеру, неужели действительно нужно столько майнеров чтоб просто обрабатывать переводы, причем так медленно...
Количество самих майнеров может быть и не астрономическое, но их суммарная выч. мощность очень велика сегодня. Поэтому велика и сложность обработки транзакций, а медленная скорость и большие задержки связаны скорее с избирательностью в транзакциях самих майнеров.