Šta je novo?
Od:
Filteri

Ukradeni koini

Tražim po netu vest, ali nigde ne nalazim. Da li može neka bliža informacija? Ne mislim na ime člana, već na koji način je hakovan bip39.
 
Evo jedan banalan primer kako moze. Kupis wallet od nekoga sa oglasa a taj ga je otpakovao aktivirao i uzeo seed,tebi stigne uredno zapakovan da ne primetis i eto belaja ako nisi ubacio 25-tu rec ili passphase sto objasnjavaju linkovi iznad...


Sent from my iPhone using Tapatalk Pro
 
Pa ja koliko sad evo citam laicki ovaj standard ima manu sto imas ogranicenu i unapred odredjenu listu reci (2048) od kojih se prave seed-ovi.. znaci teorijski brute force metodom mozes da probavas pa da nabodes ...
A drugo vidim da koriste neku "random" metodu za odabir 24 reci iz te liste od 2048. Pa pitanje je i koliko je ta metoda zaista radnom ili je neko uspeo da je provali...
U svakom slucaju za ovakve stvari bih ocekivao da se smisli neki pametniji nacin za kreiranje seed-ova..
 
Apple je napisao(la):
Evo jedan banalan primer kako moze. Kupis wallet od nekoga sa oglasa a taj ga je otpakovao aktivirao i uzeo seed,tebi stigne uredno zapakovan da ne primetis i eto belaja ako nisi ubacio 25-tu rec ili passphase sto objasnjavaju linkovi iznad...


Sent from my iPhone using Tapatalk Pro
Kliknite za proširenje...
To nije moguće. Svako će resetovati wallet u tom slučaju. Nije niko lud da koristi tudj seed.
 
Apple je napisao(la):
Evo jedan banalan primer kako moze. Kupis wallet od nekoga sa oglasa a taj ga je otpakovao aktivirao i uzeo seed,tebi stigne uredno zapakovan da ne primetis i eto belaja ako nisi ubacio 25-tu rec ili passphase sto objasnjavaju linkovi iznad...


Sent from my iPhone using Tapatalk Pro
Kliknite za proširenje...

Ja ne znam da li je moguce onu kutiju od trezor one otvoriti na neki nacin a da se bas ne osteti..
 
Jeste ja dosao pricati pecaroske price ovde a vi kako hocete ;)
 
@Apple
Naravno da je moguće to što si napisao. Ipak, čini mi se da je delevic pominjao sistemski proboj. Čekamo neku konkretnu vest.
 
Tesko da je sistemski proboj i da jeste imate sve gore navedeno da se zastitite sa dodatnom reci na Ledger i pass na Trezor. Btw da je sistemski brujao bi ceo internet zar ne?


Sent from my iPhone using Tapatalk Pro
 
sunce86 je napisao(la):
Pa ja koliko sad evo citam laicki ovaj standard ima manu sto imas ogranicenu i unapred odredjenu listu reci (2048) od kojih se prave seed-ovi.. znaci teorijski brute force metodom mozes da probavas pa da nabodes ...
A drugo vidim da koriste neku "random" metodu za odabir 24 reci iz te liste od 2048. Pa pitanje je i koliko je ta metoda zaista radnom ili je neko uspeo da je provali...
U svakom slucaju za ovakve stvari bih ocekivao da se smisli neki pametniji nacin za kreiranje seed-ova..
Kliknite za proširenje...
Da li si svestan koliki je broj 2048 na stepen 24?

Sent from my SM-N975F using Tapatalk
 
2048x2047x2046x... pa tako 24 puta, skoro na 24 stepen :) . Svakako izuzetno mala šansa da se brute force-om probije zaštita, nešto drugo je u pitanju.
 
@Apple
Slažem se. Delevic je napisao da su svi bip39 novčanici kompromitovani. To je ono što mene (a čini mi se i neke druge čalnove) najviše buni. Djurkash je lepo napsiao da je gotovo nemoguće pronaći kombinaciju reči za oporavak nekog slučajnog novčanika, a pogotovo nekog konkretnog za koji se sumnja da ima dosta novčića na njemu.
 
Ne znam ni ja da li smeju... Ali, ako ćemo teorije zavere, kao što Sunce84 kaze, otkud mi znamo da je sve to baš random? Možda postoji unapred 5.000-10.000 "random" kombinacija koje negde neko tamo čuva i čeprka po potrebi...
Možda intenzivno lupetam, ali, uvek treba pratiti trag novca.
 
Ja nigde ne nađoh da su svi novčanici hakovani.
 
Drugim rečima, kada takav hack bude moguć, cela kripto zamisao će pasti u vodu.

Svaki novčanik će biti moguće isprazniti.
 
ArrowSat je napisao(la):
Ne samo da se ne smeju reci ponavljati, vec je i redosled reci bitan tj nije svejedno kojim redosledom. Dakle, jos teze.
Kliknite za proširenje...
Ispravite me ako grešim, ali čini mi se da u tom slučaju imamo Varijacije bez ponavljanja 2048 klase od 24 elementa , i rezultat bi odokativno imao 70-80 cifara...
Verovatno negde ima info koja procesorska snaga treba za brute force ove cifre, ali sumnjam i da se ujedine svi procesori na svetu da bi trajalo manje od par miliona godina...
2e43b9bd231d107455e242670cb3b075.jpg


Sent from my SM-N975F using Tapatalk
 
Pa zato kažem, brute force nije moguć, jedino ako taj lik nekom na neki način nije "dao" svoje reči (key logger, print screen, ili da je pustio sebi na email za backup), ili možda postoji 5000 "random" kombinacija koje Ledger čuva negde zbog "nečega"...
 
Mislim da će pre biti ovo prvo [emoji56]
 
Da, slazem se da je tesko, ali hakeru ni ne trebaju svi walleti...
Moze npr da uzme jedan podskup od npr 50 adresa, i da isprobava sa njima, ubosce neke adrese :)
Ali ni tako nije bas lako da se ubode, opet je veca sumnja na tom seed randomizeru, pitanje koja metoda se tu koristi i koliko je sigurna, i ako je deterministic da li se moze nekako kompromitovati, treba pogledati source kod
 
Lupetao sam gluposti, da citiram samog sebe :) malo sam pogledao, bip39 se ne moze kompromitovati, inace sto kaze kolega, crypto nema smisla :)

Pogledao sam i https://www.myetherwallet.com/create-wallet i oni koriste bip39 tako da bi i to trebalo da je ok.

Pre ce biti da je neka klasicna prevara, keylogger ili koriscenje neke nepouzdane aplikacije za generisanje seed-a ili slicno...
 
delevic je napisao(la):
Svi novcanici koji imaju 24 reci kao backup su kompromitovani, tj svi bip39 novcanici sa liste https://www.blockplate.com/blogs/blockplate/list-of-bip39-wallets-mnemonic-seed. ukljucujuci i LEDGER.

Clanu sa naseg foruma su jutros ukrali 300+ eth sa Ledger novcanika.

Urgenta preporuka svima je da se obicni nalozi zamene nalozima sa passphrase security opcijom, tj da im se doda 25 rec bez koje nece biti moguce pristupiti novcaniku sa 24 reci koje mogu biti kompromitovane.

https://support.ledger.com/hc/en-us/articles/115005214529-Advanced-passphrase-security
Kliknite za proširenje...

Pozdrav.

Imam jedno pitanje vezano za ovo.

Sledio sam uputstvo sa linka. Kreirao drugi pin i passphrase za njega. U Ledger Live-u sam dodao još jednu ETH adresu.

Kad se šalje sa prve ETH adrese na drugu koju sam kreirao, to može samo kad sam preko ledger-a ulogovan preko prvog pina. Ako bih želeo da iz ledger live-a pošaljem eth nazad na prvu ETH adresu sa koje sam poslao, to ne mogu da uradim jer nisam ulogovan preko drugog pina.

Tako bi i trebalo da funkcioniše. Zanima me samo da li je to to. Da li sam dobro podesio? Drugoj ETH adresi se pristupa preko drugog pin-a, a prvom originalnom ETH wallet-u preko prvog pin-a koji smo podesili kad smo prvi put upalili ledger.

Dakle, da bih zaštitio ETH na prvom wallet-u, samo je potrebno da se kreira drugi pin i passphrase, kreira novi eth wallet i pošalje eth na taj drugi wallet?

Samo proveravam jer mi nije jasno da li sam sve dobro odradio.

Hvala unapred.
 
Poslednja izmena:
To je to.
Ako bih želeo da iz ledger live-a pošaljem eth nazad na prvu ETH adresu sa koje sam poslao, to ne mogu da uradim jer nisam ulogovan preko drugog pina.
Kliknite za proširenje...

Ne moras da budes ulogovan da bi poslao eth na adresu. Moras da budes ulogovan samo na adresu sa koje saljes. A staru eth adresu mozes procitati i bez ledgera, zalice se on da nije verifikovana ali je mozes procitati.
 
Ako sam dobro shvatio, prilikom ubacivanja passphrase u hardverski novčanik, pravi se novi novčanik i na njega se prebacuju sredstva. Originalni novčanik sa 24 reči ostaje prazan. U ovom slučaju se štitimo od mogućnosti da neko u ledgeru/trezoru ima bazu kombinacija 24 reči, koje kasnije može da iskoristi za pristup hardverskom novčaniku.
 
@ nixylive

Nema potrebe da drzis eth ili bilo koji coin na prvoj adresi. Svakako je i ledger siguran (24 reci), ali je bolje iskoristiti passphrase i mirno spavati.

I obavezno obrati paznju da 24 reci i taj passphrase drzis na papiru. Dakle zapisano, nikakav digitalni format. Nema slikanja, backup na cloud, ili da zapises u wordu,excelu ili nekom drugom programu. Dakle samo na jednom papiru i cuvaj ga.
Potrudi se da ti passphrase bude min 12 reci nasumicno izabrani brojevi velika,mala slova (mozes dodati i simbole). Tipa kIFAzU6VV&}'vT
Koristi password tech (bivsi pwgen).Ili ako si na linuksu iskoristi pwgen
 
Difermo je napisao(la):
@ nixylive

Nema potrebe da drzis eth ili bilo koji coin na prvoj adresi. Svakako je i ledger siguran (24 reci), ali je bolje iskoristiti passphrase i mirno spavati.

I obavezno obrati paznju da 24 reci i taj passphrase drzis na papiru. Dakle zapisano, nikakav digitalni format. Nema slikanja, backup na cloud, ili da zapises u wordu,excelu ili nekom drugom programu. Dakle samo na jednom papiru i cuvaj ga.
Potrudi se da ti passphrase bude min 12 reci nasumicno izabrani brojevi velika,mala slova (mozes dodati i simbole). Tipa kIFAzU6VV&}'vT
Koristi password tech (bivsi pwgen).Ili ako si na linuksu iskoristi pwgen
Kliknite za proširenje...

Mislim da je passphrase max 8 karaktera.

Samo mi je čudno da je passphrase (jedna reč) sigurniji od 24 reči. Verovatno zato što je ovaj sa 24 verovatno kompromitovan pa je ovaj drugi wallet sa jednom šifrom sigurniji.


vlayza je napisao(la):
Ako sam dobro shvatio, prilikom ubacivanja passphrase u hardverski novčanik, pravi se novi novčanik i na njega se prebacuju sredstva. Originalni novčanik sa 24 reči ostaje prazan. U ovom slučaju se štitimo od mogućnosti da neko u ledgeru/trezoru ima bazu kombinacija 24 reči, koje kasnije može da iskoristi za pristup hardverskom novčaniku.
Kliknite za proširenje...

Tako sam i ja shvatio. Nek potvrdi neko ko se bolje razume.

Hvala.
 
Da puno ne mislis procitas sa linka na sajtu.


Sent from my iPhone using Tapatalk Pro
 
nixylive je napisao(la):
Mislim da je passphrase max 8 karaktera.

Samo mi je čudno da je passphrase (jedna reč) sigurniji od 24 reči. Verovatno zato što je ovaj sa 24 verovatno kompromitovan pa je ovaj drugi wallet sa jednom šifrom sigurniji.

Hvala.
Kliknite za proširenje...

Ta nova reč se dodaje na prethodnu kombinaciju od 24 reči.
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno