iancoleman.io — что это и как пользоваться данным сервисом? + что делать при replay attack

[Alex74532]

22 минуты назад, jam72 сказал:

Что заставило вас поменять мнение?

Мы же пользуемся каким то софтом для того чтобы подписывать оффлайн транзакции. Где гарантии что этот софт не украдет ключи или сид фразы? Даже если использовать кошельки из официальных источников, проверять контрольные суммы и цифровые подписи, то где гарантии, что этот софт не ворует ключи? К примеру, я использую одну сид фразу с кодовой фразой на отдельном оффлайн ноуте и эту сид фразу ввожу в разном софте на этом ноуте, это и electrum и myetherwallet и некоторые другие кошельки из официальных источников с проверенными подписями и контрольными суммами. Знал бы ранее, что существует iancoleman, то изначально, в целях безопасности работал бы по принципу одного ключа и адреса, тоесть принципиально бы не вводил в electrum и myetherwallet целую сид фразу, а вводил бы только какой то один нужный приватный ключ для работы с одним адресом и дробил бы суммы частями на разные адреса. Можно даже было бы завести 2 оффлайн компа, на одном разворачивать ключи в iancoleman, далее на второй оффлайн ноут передавать через вебку и qr код один приватный ключ, а далее во втором ноуте подписывать транзакции оффлайн, соответственно всю инфу передавать с компа на комп ТОЛЬКО через вебки и QR-коды (это чтобы ноутбук, который подписывает транзакции не соприкасался с сид фразой целиком никогда). И даже если бы софт украл у меня приватный ключ, то это был бы только один ключ, а не сид фраза с целой цепочкой ключей. К тому же можно безболезненно пользоваться, например кошельками electrum и myetherwallet а затем купить какой нибудь коин, скачать для него кошелек на оффлайн ноутбук, ввести туда сид фразу и этот софт украдет всю сид фразу со всеми биткоинами, эфирами и т.д. Так что я вижу смысл сначала разворачивать ключи в iancoleman, а только затем импортировать нужные ключи в программы кошельков. Может быть это у меня сверх паранойя, но у меня при хранении крипты на отдельном ноутбуке все еще возникают некоторые вопросы:

1. Как можно убедится в том, что софт которым я подписываю оффлайн транзакции на отдельном ноуте с вечным оффлайном не передаст на онлайн комп приватный ключ или сид фразу?

2. Подписанную транзакцию перед отправкой на онлайн комп можно как то проверить, чтобы убедиться на 100 % что передается только подписанная транакция и ни одним битом информации больше положенного?

3. Какие еще существуют риски при хранении крипты на отдельном ноуте с вечным оффлайном?

[jam72]

27 минут назад, Alex74532 сказал:

Так что я вижу смысл сначала разворачивать ключи в iancoleman, а только затем импортировать нужные ключи в программы кошельков. Может быть это у меня сверх паранойя, но у меня при хранении крипты на отдельном ноутбуке все еще возникают некоторые вопросы:

1. Как можно убедится в том, что софт которым я подписываю оффлайн транзакции на отдельном ноуте с вечным оффлайном не передаст на онлайн комп приватный ключ или сид фразу?

2. Подписанную транзакцию перед отправкой на онлайн комп можно как то проверить, чтобы убедиться на 100 % что передается только подписанная транакция и ни одним битом информации больше положенного?

3. Какие еще существуют риски при хранении крипты на отдельном ноуте с вечным оффлайном?

Если включать сверхпараноика, то в вашем офлайн-компьютере может сидеть троян, который в iancoleman подменяет все ключи ).

Мои ответы на вопросы:

1. Использовать популярный софт с открытым кодом (Electrum, например). Проверять инсталлятор на соответствие подписи разработчика.

2. Несколько байт теоретически можно передать незаметно, как не проверяй.

3. Это всё глубокая теория, на практике рисков, считайте, нет. Про физический доступ к незашифрованному носителю с секретом говорить, думаю, не стоит - это и так понятно.

 

Если паранойя жить мешает - сделайте мультиподписной кошелек из такого кошелька вместе с аппаратником (или несколькими разных производителей ).

[Alex74532]

20 часов назад, jam72 сказал:

Если включать сверхпараноика, то в вашем офлайн-компьютере может сидеть троян, который в iancoleman подменяет все ключи )

Это можно проверить, например ввести сид фразу в аппартном кошельке и в iancoleman на оффлайн компьютере и проверить адреса на идентичность.

 

20 часов назад, jam72 сказал:

3. Это всё глубокая теория, на практике рисков, считайте, нет. Про физический доступ к незашифрованному носителю с секретом говорить, думаю, не стоит - это и так понятно.

Уже писали в этой теме что нужно использовать операционную систему Tails, поддерживаю, в ней и шифрование под рукой. И еще рекомендация для тех, у кого кошелек на оффлайн компьютере. Если ваш оффлайн компьютер для крипты сменит владельца, то он может перестать быть оффлайн компьютером, учтите это. Причин по которым завладеть вашим оффлайн компьютером может кто то другой может быть множество, начиная от банального ограбления. Поэтому рекомендую выломать контакты для LAN разъема, выломать контакты куда можно вставить wi-fi, bluetooth. Если совсем в крайности ударяться, то и выломать все usb порты, чтобы по USB никто не смог подключить какой нибудь wi-fi адаптер ))

20 часов назад, jam72 сказал:

Если паранойя жить мешает - сделайте мультиподписной кошелек из такого кошелька вместе с аппаратником (или несколькими разных производителей )

А можно сделать мультиподпись в кошельке Myetherwallet ?

[Oleg13]

On 1/3/2024 at 11:43 PM, jam72 said:

Вверху (BIP39-passphrase) любое изменение в поле, даже пробел, изменяет все ключи-адреса.

Внизу (BIP38-password) с установленной галочкой изменение поля меняет только третий столбец, поэтому на данном этапе (поиск адреса) сам пароль здесь не важен, важно только установить, была тогда галка установлена или нет? Пароль понадобится, когда адрес найдете, и придет очередь нахождения ключа для этого адреса.

Новый кошелек -> "Импортировать биткоин адреса или приватные ключи", вставляете список адресов, чтобы получилось примерно так:

 

 

Ну и дальше там всё понятно.

 

 

Либо он не понял, что у вас сиды и пароль сохранились, либо не разбирается в этой теме.

спасибо, прежде я не раз пытался в это поле вводить длинный ключ, а не адреса. теперь делаю так, ввожу сед, ввожу предполагаемую пассфразу, и пытаюсь найти нужные адреса, каждый раз изменяя пассфразу) адреса как правило все 4 ввожу вот в Электрум. ?

[jam72]

@Oleg13 Да.

[napilnik]

В 16.12.2023 в 20:49, jam72 сказал:

@Oleg13 Ну не совсем так. Без галочки одни адреса, с галочкой - другие (если бы не криво было сделано в данной программе, то не менялись бы). А если с галочкой просто ввести другой пароль, то адреса меняться не будут. Потому что этот BIP38 пароль создан для шифрования приватных ключей на бумажных кошельках, чтобы засвет такого ключа не приводил к потере монет (предварительно нужно расшифровать ключ этим паролем). То есть смена пароля сам ключ не меняет, меняется только его шифрованное представление.

 

Короче, всё у вас нормально. Когда найдете адрес с деньгами, расскажу, что делать дальше.

Желаю здоров'я. У меня другая проблемка, есть вск с верхнего блока seed, xprv и приватник в bip38 - но как оказалось кошелек рипл - при вводе приватника что начинается с 42 - импортирует не мой адрес. По причине генерации несжатого ключа - импортирует как сжатый с другим адресом. Как можно побороть данную болячку? Перебором адресов без галочки? С меня благодарность)

[napilnik]

В 17.12.2023 в 11:32, Old Miner сказал:

Под Derivation Path есть несколько вкладок. Вкладки BIP32 и BIP44 выдают адреса, начинающиеся с 1... Так что, можете ещё и в другой вкладке проверить.

 

Во всех вариантах галочка Encrypt private keys using BIP38 and this password должна стоять, при этом сам пароль может быть пустым: в вашем случае от пароля ничего не зависит.

Тоже заметил, что не важно какой пароль - адрес остается на том же пути деривации. Но пока не понял: какой алгоритм шифровки оригинального ключа и способ преобразовать ключ в исходный вид - зная или не зная пароль. На заметку xlm вывелось без проблем - xrp открывает иной адрес. Но как бывает обычно: я то проверял работоспособность по хлм при создании 🙂 Тут и поймали за яйко)

[jam72]

47 минут назад, napilnik сказал:

По причине генерации несжатого ключа - импортирует как сжатый с другим адресом. Как можно побороть данную болячку? Перебором адресов без галочки?

Нет, перебирать без галочки бесполезно. Я почти ничего не знаю про xrp (в частности как там кодируются ключи/адреса), не знаю, какой софт существует. Если нет нужного срфта, то ваша проблема может оказаться достаточно серьезной. На гитхабе кто-то писал, что так же попался (может вы?).

[napilnik]

7 часов назад, jam72 сказал:

Нет, перебирать без галочки бесполезно. Я почти ничего не знаю про xrp (в частности как там кодируются ключи/адреса), не знаю, какой софт существует. Если нет нужного срфта, то ваша проблема может оказаться достаточно серьезной. На гитхабе кто-то писал, что так же попался (может вы?).

Таки да, думал на все монетах - тот же принцип, а оказалось повис на перекладине. С gpt написал код поиска - но не доверяю его ответам, и проверить чтотперебирает сложно.

[napilnik]

Скрипт iancoleman, не могу понять  как именно шифрует приватник, перемножает по формуле или сокращет? В теме з гитхаба разработчик очень мало пояснил, но суть как в биткоине - просто сам ключ сжатый. Если бы был биткоин то как можно преобразовать в исходный?

Edited 6 Nov 2025, 13:55 by napilnik

[jam72]

1 час назад, napilnik сказал:

Скрипт iancoleman, не могу понять  как именно шифрует приватник, перемножает по формуле или сокращет?

Математика описана в BIP38.

1 час назад, napilnik сказал:

Если бы был биткоин то как можно преобразовать в исходный?

В https://www.bitaddress.org (в деталях кошелька) можно получить сжатый WIF-несжатый WIF- hex. Получить шестнадцатеричный исходный ключ при наличии сида/мастер-ключа не проблема, но что вы будете с ним делать дальше?