Как думаете. Зачем ребята из Trezor в течение многих лет обещали на своём официальном вебсайте "100% безопасность" и "100% анонимность", когда почти любая статья о защите компьютерных сетей и инфосеке скажет вам, что этих вещей не существует в природе?
И почему они убрали эти обещания в январе 2025 года, как раз когда в ЕС вступили в силу законодательные регуляции MiCA, в которых запрещается дезинформация в рекламе?
Зайдите на сайт Трезор - там больше нет этой секции. А раньше, она была самой первой.
#trezor
И почему они убрали эти обещания в январе 2025 года, как раз когда в ЕС вступили в силу законодательные регуляции MiCA, в которых запрещается дезинформация в рекламе?
Зайдите на сайт Трезор - там больше нет этой секции. А раньше, она была самой первой.
#trezor
🤯1
Многие ли юзеры Trezor в курсе этого важного правила пользования своим кошельком?
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".
#trezor
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".
#trezor
🍓4✍1
Со-основатель Ripple хранил ключи от 150 миллионов баксов в менеджере паролей
Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.
До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.
~
#bqwallets #passwordmanager
Жалоба, направленная вчера следаками в судебные органы США показывает, что причиной взлома одного из ко-фаундеров Ripple, Криса Ларсена, на 283 миллиона токенов XRP, или 150 млн баксов, произошедшая в январе 2024 года, была результатом хранения приватных ключей в менеджере паролей LastPass, который был несколько раз взломан с момента запуска проекта.
До вчерашнего дня, Крис Ларсен публично не разглашал причину кражи.
~
#bqwallets #passwordmanager
🌚1🍓1
Любой hardware кошелёк с USB соединением - дыра в безопасности, о которой вам не расскажут криптопресса и блоггеры
USB - старый и незащищённый протокол, по нему вирусы и дрейнеры могут легко проникнуть в девайс.
Пока вы думаете, что ваш кошелёк защищён, даже если он подключён к компьютеру, полному вирусов, просто потому, что он железный и его все рекомендуют, в любой момент может случиться непоправимое:
Ваша крипта исчезнет.
И все ваши переживания за рост и падение курса Биткоина, все ваши недоспаные ночи, проведенные за графиками, все отказы проводить время с семьей и друзьями из-за необходимости управлять армиями торговых ботов, фьючерсными контрактами, стоп-лоссами и тейк-профитами, все удачно проданные NFTшки и вовремя "отгруженные" в руки хомяков, не читающих этот канал, альтки... пропадут даром.
Не допустите, чтобы ваши усилия по заработку в крипте были напрасны, залетайте в Cool People, где вы узнаете о всех уязвимостях в кошельках, и получите инструкцию по безопасному хранению крипты.
#usb
USB - старый и незащищённый протокол, по нему вирусы и дрейнеры могут легко проникнуть в девайс.
Пока вы думаете, что ваш кошелёк защищён, даже если он подключён к компьютеру, полному вирусов, просто потому, что он железный и его все рекомендуют, в любой момент может случиться непоправимое:
Ваша крипта исчезнет.
И все ваши переживания за рост и падение курса Биткоина, все ваши недоспаные ночи, проведенные за графиками, все отказы проводить время с семьей и друзьями из-за необходимости управлять армиями торговых ботов, фьючерсными контрактами, стоп-лоссами и тейк-профитами, все удачно проданные NFTшки и вовремя "отгруженные" в руки хомяков, не читающих этот канал, альтки... пропадут даром.
Не допустите, чтобы ваши усилия по заработку в крипте были напрасны, залетайте в Cool People, где вы узнаете о всех уязвимостях в кошельках, и получите инструкцию по безопасному хранению крипты.
#usb
🔥4
Самый главный пункт в безопасном хранении крипты - Знания Юзера
Если вы не обладаете Знаниями, а просто полагаетесь на валлет, даже "самый безопасный" - совсем не обязательно, что это спасёт вас.
И я говорю не только о классике взломов личных кошельков, вроде клика по фишинговой ссылке или аппрува скаммерского смарт-контракта. Я говорю о куда более глубоких вещах, на которые обычно не обращают внимания.
К примеру, то же USB соединение. Более половины всех кошельков, которые можно купить за деньги, используют USB, даже не шифруя коммуникацию между ПК/телефоном и крипто кошельком. В то время, как рекламные буклеты всех валлетов рассказывают нам, что "ваши коины в безопасности даже если на вашем ПК целая куча вирусов", в реальности - дела обстоят как раз наоборот. Отсутствие дрейнеров на ПК является обязательным условием для безопасного использования железяки, подключаемой через USB.
Чуваки из Трезор, к примеру, прекрасно это знают, именно поэтому они оставили для себя юридическую лазейку на случай судебных исков в будущем, написав в Документации к валлету - которую никто и никогда не читает, ибо это скучно, да и "зачем?" - что надо бы "подключать устройство только когда на ПК не запущено ни одно другое приложение".
Они не выносят такие супер-важные вещи на главную своего веб-сайта - потому что, это уничтожило бы им продажи.
"Запусти Paint и твоя крипта испарится" - вот правдивый слоган, который им стоило бы использовать в рекламе, вместо вранья про "Безопасность, сделанную лёгкой".
Есть способ уменьшить риск использования USB валлетов.
Но ребята из Трезор не юзают его. 🤷
Также, как и ребята из Леджер. 🤷♀️
#ledger #trezor #bqwallets
Если вы не обладаете Знаниями, а просто полагаетесь на валлет, даже "самый безопасный" - совсем не обязательно, что это спасёт вас.
И я говорю не только о классике взломов личных кошельков, вроде клика по фишинговой ссылке или аппрува скаммерского смарт-контракта. Я говорю о куда более глубоких вещах, на которые обычно не обращают внимания.
К примеру, то же USB соединение. Более половины всех кошельков, которые можно купить за деньги, используют USB, даже не шифруя коммуникацию между ПК/телефоном и крипто кошельком. В то время, как рекламные буклеты всех валлетов рассказывают нам, что "ваши коины в безопасности даже если на вашем ПК целая куча вирусов", в реальности - дела обстоят как раз наоборот. Отсутствие дрейнеров на ПК является обязательным условием для безопасного использования железяки, подключаемой через USB.
Чуваки из Трезор, к примеру, прекрасно это знают, именно поэтому они оставили для себя юридическую лазейку на случай судебных исков в будущем, написав в Документации к валлету - которую никто и никогда не читает, ибо это скучно, да и "зачем?" - что надо бы "подключать устройство только когда на ПК не запущено ни одно другое приложение".
Они не выносят такие супер-важные вещи на главную своего веб-сайта - потому что, это уничтожило бы им продажи.
"Запусти Paint и твоя крипта испарится" - вот правдивый слоган, который им стоило бы использовать в рекламе, вместо вранья про "Безопасность, сделанную лёгкой".
Есть способ уменьшить риск использования USB валлетов.
Но ребята из Трезор не юзают его. 🤷
Также, как и ребята из Леджер. 🤷♀️
#ledger #trezor #bqwallets
Telegram
BQ Wallets
Многие ли юзеры Trezor в курсе этого важного правила пользования своим кошельком?
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".…
Держу пари, оно не написано жирным шрифтом на рекламных листовках, отправляемых в посылках с устройством.
⚜️Скрин из закрытого "Исследования Безопасности Хранения Крипты".…
✍1
При совершении транзакции с железного кошелька, замена вашего биржевого адреса получения на адрес хакера возможна "на лету"
Благодаря использованию популярными валлетами дырявых протоколов коммуникации типа Protobuf, JSON и т.п., в момент подписания транзакции на железном кошельке адрес получения может быть заменён на адрес хакера.
Как такое возможно?
USB - протокол, которому почти три десятка лет. Он был впервые представлен публике в январе 1996 года. В девяностых и двухтысячных в Сети не было ни развитой банковской коммуникации/коммерции, ни биткоинов, ни каких-то особо важных систем контроля инфраструктур, дорог, больниц, атомных станций, тюрем и т.п.
И поэтому, весь Интернет был нешифрованным, а код приложений - жутко дырявым.
Олдфаги ещё помнят, когда всё работало на HTTP протоколе, - предшественнике HTTPS. Нешифрованные соединения устанавливались между всеми компьютерами, подсетями и сетями в Интернете, и так осуществлялась (легко перехватываемая и читаемая спецслужбами) связь.
Шифрование не добавляли на вебсайты аж до 2012 года - или исходя из логики "всё равно по календарю Майя будет конец света", или просто из лени. Ведь протокол HTTPS, также известный, как SSL, был впервые представлен в 1994 году, разработчиками Netscape Navigator.
Кодеры из Netscape смотрели в будущее, но они были "впереди своего времени", ведь люди тогда не понимали, "зачем бы им шифровать передаваемые друг другу фотки собачек и кошечек".
Назначение шифрованных соединений стало очевидным для публики, как только в Интернет добавили... Деньги.
Да, деньги, в виде возможности покупать китайский хлам на Алиекспрессе за кредитку, или просто заходить в личный кабинет на сайте банка. Отсутствие шифрования могло привести к утечке данных вашей банковской карты при совершении транзакций, поэтому его внедрение в Сеть стало необходимостью, а не просто "капризом гиков".
В эту же эпоху формировался и протокол USB - он прошёл путь в 25 лет, постоянно усложняясь. Чем больше периферии "нарастало" вокруг Персональных Компьютеров - мышки, клавиатуры, веб-камеры, принтеры, блютузы - тем больше кода надо было внедрять в USB протокол.
В результате многолетней эволюции, вокруг протокола USB скопились сотни тысяч страниц документации, которую нужно изучить, чтобы полностью разобраться во всех аспектах его работы.
Ни для одного программиста, ни для команды программистов, не является возможным прочитать всё это, с целью вычислить все векторы атаки и найти накопленные за годы баги и уязвимости.
Из-за чего, полный аудит протокола USB в принципе невозможен, как и гарантии, что передача через него чувствительной финансовой информации полностью безопасна.
Таким образом, использующие USB соединение железные кошельки подвержены неограниченному количеству потенциальных опасностей, например, что дрейнер подменит адрес получателя во время совершения транзакции "на лету". Вы будете думать, что отправили деньги себе на биржу, но по факту они уйдут хакеру.
#bqwallets #ledger #trezor
Благодаря использованию популярными валлетами дырявых протоколов коммуникации типа Protobuf, JSON и т.п., в момент подписания транзакции на железном кошельке адрес получения может быть заменён на адрес хакера.
Как такое возможно?
USB - протокол, которому почти три десятка лет. Он был впервые представлен публике в январе 1996 года. В девяностых и двухтысячных в Сети не было ни развитой банковской коммуникации/коммерции, ни биткоинов, ни каких-то особо важных систем контроля инфраструктур, дорог, больниц, атомных станций, тюрем и т.п.
И поэтому, весь Интернет был нешифрованным, а код приложений - жутко дырявым.
Олдфаги ещё помнят, когда всё работало на HTTP протоколе, - предшественнике HTTPS. Нешифрованные соединения устанавливались между всеми компьютерами, подсетями и сетями в Интернете, и так осуществлялась (легко перехватываемая и читаемая спецслужбами) связь.
Шифрование не добавляли на вебсайты аж до 2012 года - или исходя из логики "всё равно по календарю Майя будет конец света", или просто из лени. Ведь протокол HTTPS, также известный, как SSL, был впервые представлен в 1994 году, разработчиками Netscape Navigator.
Кодеры из Netscape смотрели в будущее, но они были "впереди своего времени", ведь люди тогда не понимали, "зачем бы им шифровать передаваемые друг другу фотки собачек и кошечек".
Назначение шифрованных соединений стало очевидным для публики, как только в Интернет добавили... Деньги.
Да, деньги, в виде возможности покупать китайский хлам на Алиекспрессе за кредитку, или просто заходить в личный кабинет на сайте банка. Отсутствие шифрования могло привести к утечке данных вашей банковской карты при совершении транзакций, поэтому его внедрение в Сеть стало необходимостью, а не просто "капризом гиков".
В эту же эпоху формировался и протокол USB - он прошёл путь в 25 лет, постоянно усложняясь. Чем больше периферии "нарастало" вокруг Персональных Компьютеров - мышки, клавиатуры, веб-камеры, принтеры, блютузы - тем больше кода надо было внедрять в USB протокол.
В результате многолетней эволюции, вокруг протокола USB скопились сотни тысяч страниц документации, которую нужно изучить, чтобы полностью разобраться во всех аспектах его работы.
Ни для одного программиста, ни для команды программистов, не является возможным прочитать всё это, с целью вычислить все векторы атаки и найти накопленные за годы баги и уязвимости.
Из-за чего, полный аудит протокола USB в принципе невозможен, как и гарантии, что передача через него чувствительной финансовой информации полностью безопасна.
Таким образом, использующие USB соединение железные кошельки подвержены неограниченному количеству потенциальных опасностей, например, что дрейнер подменит адрес получателя во время совершения транзакции "на лету". Вы будете думать, что отправили деньги себе на биржу, но по факту они уйдут хакеру.
#bqwallets #ledger #trezor
👀1
Почему "крипто эксперты" не рассказывают об этом в своих роликах на Ютубе?
1. Они не "шарят" в крипте также глубоко, как опытные программисты (являясь скорее шоуменами, чем технарями)
2. Трушные технари, которые "всё прекрасно осознают", молчат обо всём этом, т.к. им пофиг, что вы потеряете деньги
3. Трушные технари берут от 60К долларов за аудиты кода и тысячи долларов за персональные консультации, им не выгодно раскрывать всю эту информацию в личных блогах, статьях и видосах на Ютубах "просто так, за Идею"
Кодеры не работают "за Идею" и тратят десятки лет на приобретение Знаний. И, если вы не в состоянии оплатить их дорогостоящую экспертизу, они не видят причин помогать вам.
В банковском секторе есть лицензирование приложений и протоколов коммуникации, а также проверки, штрафы и даже тюремные сроки за бекдоры в софте. Банкиры понимают - если на создателя банковской приложухи не "повесить" риск попадания в тюрьму, то он, скорее всего, сунет в неё бекдор и ограбит целую кучу клиентов, не оставляя следов.
Крипта - не банковская отрасль. Здесь на создателей приложений не накладывается никакой юридической ответственности за сохранность ваших денег, как по лицензиям, так и по договорам.
Они не несут ответственности за ваши деньги, поэтому им всё равно, что будет с вашей криптой.
🤖Многие не осознают до конца смысл фразы "Будь сам себе банком", которую так любят мусолить крупные крипто корпорации, продвигающие Биткоин, щиткоины и стейблы в массы. Если вы хотите быть "сами себе банком" то у вас и модель безопасности должна быть банковского уровня, а не потребительского.
Вы не должны "доверять" кошелькам, вы должны всё проверить и быть уверенными.
#ledger #trezor #bqwallets
1. Они не "шарят" в крипте также глубоко, как опытные программисты (являясь скорее шоуменами, чем технарями)
2. Трушные технари, которые "всё прекрасно осознают", молчат обо всём этом, т.к. им пофиг, что вы потеряете деньги
3. Трушные технари берут от 60К долларов за аудиты кода и тысячи долларов за персональные консультации, им не выгодно раскрывать всю эту информацию в личных блогах, статьях и видосах на Ютубах "просто так, за Идею"
Кодеры не работают "за Идею" и тратят десятки лет на приобретение Знаний. И, если вы не в состоянии оплатить их дорогостоящую экспертизу, они не видят причин помогать вам.
В банковском секторе есть лицензирование приложений и протоколов коммуникации, а также проверки, штрафы и даже тюремные сроки за бекдоры в софте. Банкиры понимают - если на создателя банковской приложухи не "повесить" риск попадания в тюрьму, то он, скорее всего, сунет в неё бекдор и ограбит целую кучу клиентов, не оставляя следов.
Крипта - не банковская отрасль. Здесь на создателей приложений не накладывается никакой юридической ответственности за сохранность ваших денег, как по лицензиям, так и по договорам.
Они не несут ответственности за ваши деньги, поэтому им всё равно, что будет с вашей криптой.
🤖Многие не осознают до конца смысл фразы "Будь сам себе банком", которую так любят мусолить крупные крипто корпорации, продвигающие Биткоин, щиткоины и стейблы в массы. Если вы хотите быть "сами себе банком" то у вас и модель безопасности должна быть банковского уровня, а не потребительского.
Вы не должны "доверять" кошелькам, вы должны всё проверить и быть уверенными.
#ledger #trezor #bqwallets
🐳1
🙈Они идут за вашими деньгами
Сначала валлет MetaMask внедряет "аддон", позволяющий автоматический подсчёт налогов и отправку отчётности прям вашему налоговому агенту на е-мейл. Чтобы он мог вечерком, сидя за чаем с овсяным печеньем, просматривать ваши транзакции и радоваться зашкаливающему уровню вашей ответственности перед системой.
https://metamask.io/news/metamask-tax-hub-crypto-tax-calculator
Теперь этим же занялся Railway Wallet, в партнёрке с Koinly:
https://koinly.io/integrations/railway-wallet/
Пока криптанам рассказывают сказки о "некастодиальном хранении", создавая у них в голове ложную иллюзию "невидимости" средств на личных валлетах для налоговой (ЭТА ЖИЖ ВАМ НИ БИРЖА!!!11111), разработчики кошельков строят планы по прогибу под государство, чтобы их не выперли из биза или, чего хуже, не привлекли.
Представляю лица тех "инвесторов в налоговую гавань", которые узнают, что налоги начисляют на сумму "на момент отчётности" (даже если Шиба или Догикоин на следующий день утратили 90% своей стоимости, что в крипте происходит с разными токенами... примерно каждый день), и что "личный валлет" это вовсе не гавань, если ты неправильно выбрал этот валлет. 🤷
Вот удивления-то будет. Ага, это вам не скам условного Байбита. Где ты "вовремя выскочил" - и красава. Или даже не заходил.
Тут трахнут всех. Даже тех кто "успел выскочить" в фиатик ДО начала действия нового закона.
Вы и правда думаете, что, имея у себя в услужении такую мощную штуку, как "блокчейны" - где данные невозможно ретроспективно удалить за взятку - они будут просто ждать, пока вы сами, честно, во всём признаетесь?
#bqwallets #metamask
Сначала валлет MetaMask внедряет "аддон", позволяющий автоматический подсчёт налогов и отправку отчётности прям вашему налоговому агенту на е-мейл. Чтобы он мог вечерком, сидя за чаем с овсяным печеньем, просматривать ваши транзакции и радоваться зашкаливающему уровню вашей ответственности перед системой.
https://metamask.io/news/metamask-tax-hub-crypto-tax-calculator
Теперь этим же занялся Railway Wallet, в партнёрке с Koinly:
https://koinly.io/integrations/railway-wallet/
Пока криптанам рассказывают сказки о "некастодиальном хранении", создавая у них в голове ложную иллюзию "невидимости" средств на личных валлетах для налоговой (ЭТА ЖИЖ ВАМ НИ БИРЖА!!!11111), разработчики кошельков строят планы по прогибу под государство, чтобы их не выперли из биза или, чего хуже, не привлекли.
Представляю лица тех "инвесторов в налоговую гавань", которые узнают, что налоги начисляют на сумму "на момент отчётности" (даже если Шиба или Догикоин на следующий день утратили 90% своей стоимости, что в крипте происходит с разными токенами... примерно каждый день), и что "личный валлет" это вовсе не гавань, если ты неправильно выбрал этот валлет. 🤷
Вот удивления-то будет. Ага, это вам не скам условного Байбита. Где ты "вовремя выскочил" - и красава. Или даже не заходил.
Тут трахнут всех. Даже тех кто "успел выскочить" в фиатик ДО начала действия нового закона.
Вы и правда думаете, что, имея у себя в услужении такую мощную штуку, как "блокчейны" - где данные невозможно ретроспективно удалить за взятку - они будут просто ждать, пока вы сами, честно, во всём признаетесь?
#bqwallets #metamask
Koinly: Calculate Your Bitcoin and Crypto Taxes
How to file your Railway Wallet taxes with Koinly
Connect Railway with Koinly to calculate your crypto taxes easily. All you need to do is upload a CSV file and Koinly can calculate your RAIL taxes for you.
👍1🐳1🌚1
Читаем тему на форуме BitcoinTalk, посвящённую вопросу юзера: Использует ли кошелёк Electrum (которым юзер, очевидно, сам пользуется) библиотеку Libbitcoin Explorer для генерации сидов?
И находим интересный список проектов, затронутых этой уязвимостью. Судя из обсуждения, разработчики любимого кошелька Чанпена - Trust Wallet - а также любимого кошелька более 50 подписчиков этого канала - юзали дырявую библиотеку для генерации сидов исключительно на основании текущего времени на девайсе, что привело к дистанционным дрейнам на сумму в более чем 900 000 баксов.
В число дырявых валлетов вошли:
- Trust Wallet
- Cake Wallet
- Dark Wallet
- Сhip Chap
- Airbitz (позже переименованный в EDGE)
- Darkleaks
- OpenBazaar (ныне почивший)
- CanCoin
- Slur
Уязвимость сидела во всех этих проектах (рекомендуемых "уважаемыми" сайтами типа bitcoin.org) ГОДАМИ, и распространилась не только на блокчейн Биткоина, а и на Эфириум, Zcash, Солану и даже Dogecoin.
#trustwallet #edge #cake
И находим интересный список проектов, затронутых этой уязвимостью. Судя из обсуждения, разработчики любимого кошелька Чанпена - Trust Wallet - а также любимого кошелька более 50 подписчиков этого канала - юзали дырявую библиотеку для генерации сидов исключительно на основании текущего времени на девайсе, что привело к дистанционным дрейнам на сумму в более чем 900 000 баксов.
В число дырявых валлетов вошли:
- Trust Wallet
- Cake Wallet
- Dark Wallet
- Сhip Chap
- Airbitz (позже переименованный в EDGE)
- Darkleaks
- OpenBazaar (ныне почивший)
- CanCoin
- Slur
Уязвимость сидела во всех этих проектах (рекомендуемых "уважаемыми" сайтами типа bitcoin.org) ГОДАМИ, и распространилась не только на блокчейн Биткоина, а и на Эфириум, Zcash, Солану и даже Dogecoin.
#trustwallet #edge #cake
✍2🌚1
Так в чём же суть генерации уязвимых сидов при помощи Libbitcoin Explorer?
В августе 2023 года, после того как Trust Wallet слегка "почистил" карманы своих фанатов, команда исследователей из Distrust выкатила детальный обзор на уязвимость.
Оказалось, созданная в 2014 году библиотека bx - авторов Амир Тааки и Коди Уилсон, также известных в криптосообществе как Отцы КриптоАнархии и Великие Кодеры Которым Надо Чуть Ли Не Поклоняться Вместо Иисуса, - генерит сидки для кошельков, используя энтропию в 32 бита, вместо положенных 256 битов. 🤨
"Для энтропии в 32 бита, количество возможных привключей равно:
4,294,967,296 👀
Тогда как, в нормальном сиде, где у нас 256 бит энтропии, возможных привключей будет:
115792089237316195423570985008687907853269984665640564039457584007913129639936 👀
В целом, хакеру понадобится менее, чем 1 день, чтобы сбрутить приватники, т.к. в целом нужно пробрутить половину от 2³².
...Как только конфигурация настроена, становится легко сбрутить ключи."
#trustwallet
В августе 2023 года, после того как Trust Wallet слегка "почистил" карманы своих фанатов, команда исследователей из Distrust выкатила детальный обзор на уязвимость.
Оказалось, созданная в 2014 году библиотека bx - авторов Амир Тааки и Коди Уилсон, также известных в криптосообществе как Отцы КриптоАнархии и Великие Кодеры Которым Надо Чуть Ли Не Поклоняться Вместо Иисуса, - генерит сидки для кошельков, используя энтропию в 32 бита, вместо положенных 256 битов. 🤨
"Для энтропии в 32 бита, количество возможных привключей равно:
4,294,967,296 👀
Тогда как, в нормальном сиде, где у нас 256 бит энтропии, возможных привключей будет:
115792089237316195423570985008687907853269984665640564039457584007913129639936 👀
В целом, хакеру понадобится менее, чем 1 день, чтобы сбрутить приватники, т.к. в целом нужно пробрутить половину от 2³².
...Как только конфигурация настроена, становится легко сбрутить ключи."
#trustwallet
👀2
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (1)
Тема на Reddit, 2 года назад:
"Будь Сам Себе Банком" идёт по плану: Libbitcoin Explorer (bx seed) - используемый множеством крипто кошельков для генерации энтропии приватных ключей (даже рекомендуемых в Mastering Bitcoin) уязвим, и хакеры по-тихому дрейнили деньги людей сразу в нескольких блокчейнах ¯\_(ツ)_/¯" - пишет Dirt Purple.
#trustwallet
Тема на Reddit, 2 года назад:
"Будь Сам Себе Банком" идёт по плану: Libbitcoin Explorer (bx seed) - используемый множеством крипто кошельков для генерации энтропии приватных ключей (даже рекомендуемых в Mastering Bitcoin) уязвим, и хакеры по-тихому дрейнили деньги людей сразу в нескольких блокчейнах ¯\_(ツ)_/¯" - пишет Dirt Purple.
#trustwallet
🌚1
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (2)
Юзер KenYN в комментах:
"На Libbitcoin Explorer версий 3.х, сидка в Libbitcoin Explorer использует Генератор псевдо-рандомных чисел Mersenne Twister, который берёт за базовую энтропию 32 бита из текущего системного времени на устройстве. 👀
Это уморительно грустно: этот код не должен был пройти даже базовый аудит безопасности — все должны бы знать, что вы должны использовать Генератор специально под криптовалюты, а не просто красивенький srand, основанный на текущем времени."
#trustwallet #edge #cake
Юзер KenYN в комментах:
"На Libbitcoin Explorer версий 3.х, сидка в Libbitcoin Explorer использует Генератор псевдо-рандомных чисел Mersenne Twister, который берёт за базовую энтропию 32 бита из текущего системного времени на устройстве. 👀
Это уморительно грустно: этот код не должен был пройти даже базовый аудит безопасности — все должны бы знать, что вы должны использовать Генератор специально под криптовалюты, а не просто красивенький srand, основанный на текущем времени."
#trustwallet #edge #cake
🌚1
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (3)
Коммент от Chapelierfou:
"Mersenne Twister это Генератор, который используют все в тусовке C++. Засев при помощи 32 бит энтропии - популярная ошибка новичков. Использовать его для криптографии - просто некомпетентность. Никто не увидел эти ужасные ошибки в течение лет, тогда как они и правда не должны были пройти даже базовую проверку кода, что многое говорит нам о том, каким же фестивалем клоунов является "крипто индустрия".
#trustwallet #edge #cake
Коммент от Chapelierfou:
"Mersenne Twister это Генератор, который используют все в тусовке C++. Засев при помощи 32 бит энтропии - популярная ошибка новичков. Использовать его для криптографии - просто некомпетентность. Никто не увидел эти ужасные ошибки в течение лет, тогда как они и правда не должны были пройти даже базовую проверку кода, что многое говорит нам о том, каким же фестивалем клоунов является "крипто индустрия".
#trustwallet #edge #cake
🌚1
Почему сотни кодеров крипто кошельков должны бы сидеть в тюрьме, включая Амира Тааки, Коди Уилсона, и бывшего гендира Binance, Чанпена Джекичао? (4)
Коммент от nyancient:
"Учитывая экстремальный уровень некомпетентности, проявленный здесь, - кто угодно кто прошел курс криптографии или читал посты в блогах насчет рандомной криптографической генерации ключей, сразу же осознает, как тупа показанная уязвимость - я бы сказал, что этим клоунам надо держаться как можно дальше от "переосмысления цифровой безопасности."
#trustwallet #edge #cake
Коммент от nyancient:
"Учитывая экстремальный уровень некомпетентности, проявленный здесь, - кто угодно кто прошел курс криптографии или читал посты в блогах насчет рандомной криптографической генерации ключей, сразу же осознает, как тупа показанная уязвимость - я бы сказал, что этим клоунам надо держаться как можно дальше от "переосмысления цифровой безопасности."
#trustwallet #edge #cake
🌚1
"Доим Терпил" как ещё один способ Чанпена "заработать" на Trust Wallet, или просто Вселенский Тупёж?
Основная волна обчистки сидов пользователей прошла 12 июля 2023, тогда как предварительные пробы проходили в чуть меньших масштабах в мае 2023.
Похожая уязвимость в разных кошельках для крипты проявилась в ноябре 2022, и может считаться "предтечей" этого инцидента.
Может, Milk Sad это "грустное молоко", но мне больше нравится интерпретация где Milk выступает в роли глагола, нежели существительного. И выходит... "Доим Терпил".
🔆Больше информации можно узнать на milksad.info.
~
Эта инфа должна стать поводом для того, чтобы поскорее уйти от использования дырявых продуктов Бинанса. Ведь, если Чанпен и другие фаундеры/кодеры не задумывали грабеж юзеров Trust Wallet, Cake Wallet и EDGE намеренно, то они просто тупые дегенераты.
Куда уходить с Trust Wallet поможет понять моё закрытое Исследование.💖
#trustwallet
Основная волна обчистки сидов пользователей прошла 12 июля 2023, тогда как предварительные пробы проходили в чуть меньших масштабах в мае 2023.
Похожая уязвимость в разных кошельках для крипты проявилась в ноябре 2022, и может считаться "предтечей" этого инцидента.
Может, Milk Sad это "грустное молоко", но мне больше нравится интерпретация где Milk выступает в роли глагола, нежели существительного. И выходит... "Доим Терпил".
🔆Больше информации можно узнать на milksad.info.
~
Эта инфа должна стать поводом для того, чтобы поскорее уйти от использования дырявых продуктов Бинанса. Ведь, если Чанпен и другие фаундеры/кодеры не задумывали грабеж юзеров Trust Wallet, Cake Wallet и EDGE намеренно, то они просто тупые дегенераты.
Куда уходить с Trust Wallet поможет понять моё закрытое Исследование.💖
#trustwallet
✍2
А прикольно, что в 99% Юзер Агриментов криптовалютных кошельков для персонального хранения делается чёткий акцент на том, что "любая потеря криптовалют это только ваша ответственность".
Создатели кошельков "перенесли" Социальный Договор блокчейна Биткоина, а также блокчейнов других криптовалют, на свои продукты.
Великолепная подмена понятий/манипуляция.
Ведь "вы ответственны за свои коины" - правило Шифропанка, применяемое ИСКЛЮЧИТЕЛЬНО к отношениям между Юзером и выбранным Блокчейном. Потому что, у большинства блокчейнов нет централизованных лидеров и юридически оформленных команд разработки, так что и претензии в случае проблем предъявлять типа некому.
Но у крипто кошельков всегда есть СЕО, СТО, а также централизованная команда, несущая ответственность за проект.
Каким образом они "свободны от ответственности за потери юзера"?
Представьте, ваш банк присылает вам уведомление:
"Уважаемый клиент, с завтрашнего дня банк не будет нести никакой ответственности за потерю ваших денег в случае взлома наших серверов или пропажи денег в результате бага в мобильном приложении или на нашем официальном вебсайте. Если хакеры украдут деньги с ваших счетов по вине наших программистов, то - вы сами в этом виноваты."
Абсурд, не так ли? 🙂
#bqwallets
Создатели кошельков "перенесли" Социальный Договор блокчейна Биткоина, а также блокчейнов других криптовалют, на свои продукты.
Великолепная подмена понятий/манипуляция.
Ведь "вы ответственны за свои коины" - правило Шифропанка, применяемое ИСКЛЮЧИТЕЛЬНО к отношениям между Юзером и выбранным Блокчейном. Потому что, у большинства блокчейнов нет централизованных лидеров и юридически оформленных команд разработки, так что и претензии в случае проблем предъявлять типа некому.
Но у крипто кошельков всегда есть СЕО, СТО, а также централизованная команда, несущая ответственность за проект.
Каким образом они "свободны от ответственности за потери юзера"?
Представьте, ваш банк присылает вам уведомление:
"Уважаемый клиент, с завтрашнего дня банк не будет нести никакой ответственности за потерю ваших денег в случае взлома наших серверов или пропажи денег в результате бага в мобильном приложении или на нашем официальном вебсайте. Если хакеры украдут деньги с ваших счетов по вине наших программистов, то - вы сами в этом виноваты."
Абсурд, не так ли? 🙂
#bqwallets
🔥4🌚2
Карточки от создателей железных кошельков для записи Сид Фраз
Это. Тупая. Идея. 🤣
Производителям таких кошельков надо прекратить класть карточки в посылку. На них крупным шрифтом на английском языке, всегда указано, что это:
RECOVERY SEED, или MNEMONIC, или нечто вроде того, а также часто присутствует слово “SECRET” и “MONEY”.
Дополнительные комментарии вида "Не делитесь этим ни с кем" и "Не делайте цифровых копий", прям рядом с логотипом Trezor, должны бы отпугнуть вора, или ввести его в заблуждение.
Не так ли? 🙄
Развернув буклетик, можно увидеть пронумерованные поля от 1 до 12 или до 24 слов, в которые вписаны от руки слова из Фразы с криптой.
Это на случай, если к вам залезет тупой вор.
Чтобы он точно догадался, что перед ним доступы к крипте, а не к вебсайтам, счетам в оффшорах или ячейкам в местном банке.
Первое правило безопасного хранения крипты: "Чем больше удобства, тем меньше безопасности. Чем больше безопасности, тем меньше удобства."
🤩Пример хорошо замаскированного хранилища Сид Фразы: карманный словарь английского языка, в котором много пометок и записей ручкой, среди которых вы отмечаете 12 слов вашей Сид Фразы.
#trezor
Это. Тупая. Идея. 🤣
Производителям таких кошельков надо прекратить класть карточки в посылку. На них крупным шрифтом на английском языке, всегда указано, что это:
RECOVERY SEED, или MNEMONIC, или нечто вроде того, а также часто присутствует слово “SECRET” и “MONEY”.
Дополнительные комментарии вида "Не делитесь этим ни с кем" и "Не делайте цифровых копий", прям рядом с логотипом Trezor, должны бы отпугнуть вора, или ввести его в заблуждение.
Не так ли? 🙄
Развернув буклетик, можно увидеть пронумерованные поля от 1 до 12 или до 24 слов, в которые вписаны от руки слова из Фразы с криптой.
Это на случай, если к вам залезет тупой вор.
Чтобы он точно догадался, что перед ним доступы к крипте, а не к вебсайтам, счетам в оффшорах или ячейкам в местном банке.
Первое правило безопасного хранения крипты: "Чем больше удобства, тем меньше безопасности. Чем больше безопасности, тем меньше удобства."
🤩Пример хорошо замаскированного хранилища Сид Фразы: карманный словарь английского языка, в котором много пометок и записей ручкой, среди которых вы отмечаете 12 слов вашей Сид Фразы.
#trezor
👍2👀2✍1