Jump to content

iancoleman.io — что это и как пользоваться данным сервисом? + что делать при replay attack


Recommended Posts

22 минуты назад, jam72 сказал:

Что заставило вас поменять мнение?

Мы же пользуемся каким то софтом для того чтобы подписывать оффлайн транзакции. Где гарантии что этот софт не украдет ключи или сид фразы? Даже если использовать кошельки из официальных источников, проверять контрольные суммы и цифровые подписи, то где гарантии, что этот софт не ворует ключи? К примеру, я использую одну сид фразу с кодовой фразой на отдельном оффлайн ноуте и эту сид фразу ввожу в разном софте на этом ноуте, это и electrum и myetherwallet и некоторые другие кошельки из официальных источников с проверенными подписями и контрольными суммами. Знал бы ранее, что существует iancoleman, то изначально, в целях безопасности работал бы по принципу одного ключа и адреса, тоесть принципиально бы не вводил в electrum и myetherwallet целую сид фразу, а вводил бы только какой то один нужный приватный ключ для работы с одним адресом и дробил бы суммы частями на разные адреса. Можно даже было бы завести 2 оффлайн компа, на одном разворачивать ключи в iancoleman, далее на второй оффлайн ноут передавать через вебку и qr код один приватный ключ, а далее во втором ноуте подписывать транзакции оффлайн, соответственно всю инфу передавать с компа на комп ТОЛЬКО через вебки и QR-коды (это чтобы ноутбук, который подписывает транзакции не соприкасался с сид фразой целиком никогда). И даже если бы софт украл у меня приватный ключ, то это был бы только один ключ, а не сид фраза с целой цепочкой ключей. К тому же можно безболезненно пользоваться, например кошельками electrum и myetherwallet а затем купить какой нибудь коин, скачать для него кошелек на оффлайн ноутбук, ввести туда сид фразу и этот софт украдет всю сид фразу со всеми биткоинами, эфирами и т.д. Так что я вижу смысл сначала разворачивать ключи в iancoleman, а только затем импортировать нужные ключи в программы кошельков. Может быть это у меня сверх паранойя, но у меня при хранении крипты на отдельном ноутбуке все еще возникают некоторые вопросы:

1. Как можно убедится в том, что софт которым я подписываю оффлайн транзакции на отдельном ноуте с вечным оффлайном не передаст на онлайн комп приватный ключ или сид фразу?

2. Подписанную транзакцию перед отправкой на онлайн комп можно как то проверить, чтобы убедиться на 100 % что передается только подписанная транакция и ни одним битом информации больше положенного?

3. Какие еще существуют риски при хранении крипты на отдельном ноуте с вечным оффлайном?

Link to comment
Share on other sites

27 минут назад, Alex74532 сказал:

Так что я вижу смысл сначала разворачивать ключи в iancoleman, а только затем импортировать нужные ключи в программы кошельков. Может быть это у меня сверх паранойя, но у меня при хранении крипты на отдельном ноутбуке все еще возникают некоторые вопросы:

1. Как можно убедится в том, что софт которым я подписываю оффлайн транзакции на отдельном ноуте с вечным оффлайном не передаст на онлайн комп приватный ключ или сид фразу?

2. Подписанную транзакцию перед отправкой на онлайн комп можно как то проверить, чтобы убедиться на 100 % что передается только подписанная транакция и ни одним битом информации больше положенного?

3. Какие еще существуют риски при хранении крипты на отдельном ноуте с вечным оффлайном?

Если включать сверхпараноика, то в вашем офлайн-компьютере может сидеть троян, который в iancoleman подменяет все ключи ).

Мои ответы на вопросы:

1. Использовать популярный софт с открытым кодом (Electrum, например). Проверять инсталлятор на соответствие подписи разработчика.

2. Несколько байт теоретически можно передать незаметно, как не проверяй.

3. Это всё глубокая теория, на практике рисков, считайте, нет. Про физический доступ к незашифрованному носителю с секретом говорить, думаю, не стоит - это и так понятно.

 

Если паранойя жить мешает - сделайте мультиподписной кошелек из такого кошелька вместе с аппаратником (или несколькими разных производителей ).

Link to comment
Share on other sites

20 часов назад, jam72 сказал:

Если включать сверхпараноика, то в вашем офлайн-компьютере может сидеть троян, который в iancoleman подменяет все ключи )

Это можно проверить, например ввести сид фразу в аппартном кошельке и в iancoleman на оффлайн компьютере и проверить адреса на идентичность.

 

20 часов назад, jam72 сказал:

3. Это всё глубокая теория, на практике рисков, считайте, нет. Про физический доступ к незашифрованному носителю с секретом говорить, думаю, не стоит - это и так понятно.

Уже писали в этой теме что нужно использовать операционную систему Tails, поддерживаю, в ней и шифрование под рукой. И еще рекомендация для тех, у кого кошелек на оффлайн компьютере. Если ваш оффлайн компьютер для крипты сменит владельца, то он может перестать быть оффлайн компьютером, учтите это. Причин по которым завладеть вашим оффлайн компьютером может кто то другой может быть множество, начиная от банального ограбления. Поэтому рекомендую выломать контакты для LAN разъема, выломать контакты куда можно вставить wi-fi, bluetooth. Если совсем в крайности ударяться, то и выломать все usb порты, чтобы по USB никто не смог подключить какой нибудь wi-fi адаптер ))

20 часов назад, jam72 сказал:

Если паранойя жить мешает - сделайте мультиподписной кошелек из такого кошелька вместе с аппаратником (или несколькими разных производителей )

А можно сделать мультиподпись в кошельке Myetherwallet ?

Link to comment
Share on other sites

On 1/3/2024 at 11:43 PM, jam72 said:

Вверху (BIP39-passphrase) любое изменение в поле, даже пробел, изменяет все ключи-адреса.

Внизу (BIP38-password) с установленной галочкой изменение поля меняет только третий столбец, поэтому на данном этапе (поиск адреса) сам пароль здесь не важен, важно только установить, была тогда галка установлена или нет? Пароль понадобится, когда адрес найдете, и придет очередь нахождения ключа для этого адреса.

Новый кошелек -> "Импортировать биткоин адреса или приватные ключи", вставляете список адресов, чтобы получилось примерно так:

 

image.thumb.png.fc672cf1c9bb0b9bb920e2ba08914a04.png

 

Ну и дальше там всё понятно.

 

 

Либо он не понял, что у вас сиды и пароль сохранились, либо не разбирается в этой теме.

спасибо, прежде я не раз пытался в это поле вводить длинный ключ, а не адреса. теперь делаю так, ввожу сед, ввожу предполагаемую пассфразу, и пытаюсь найти нужные адреса, каждый раз изменяя пассфразу) адреса как правило все 4 ввожу вот в Электрум. ?

Link to comment
Share on other sites

  • 5 months later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • SEC выдала окончательное одобрение на то, что спотовые ETF Ethereum начнут торговаться сегодня.

      22 июля Комиссия по ценным бумагам и биржам (SEC) официально выдала окончательное одобрение спотовым ETF на базе Ethereum, и соответствующие веб-страницы фондов уже запущены. Начало торгов ETF запланировано на 23 июля, когда рынки США откроются в 09:30 по восточному времени. Одобрение подтверждает слухи прошлой недели и открывает Ethereum для инвесторов, ищущих регулируемого доступа. Эксперты рынка считают, что эти фонды привлекут значительную сумму денег от инвесторов, которые не реша

      in Новости криптовалют

    • Чем опасна тапалка Hamster Kombat? / Что будет с майнингом в России?

      Российские чиновники предложили запретить тапалку Hamster Kombat, назвав ее массовым психозом. Сколько на самом деле россиян играют в «хомяка»? Что будет с майнингом в России? Какой приговор получил сооснователь криптообменника Bitzlato Анатолий Легкодымов? Об этом и многом другом расскажем в новом выпуске Bits.media.  

      in Новости криптовалют

    • Самсон Моу: «Я все еще верю, что биткоин взлетит до $1 млн»

      Бывший директор Blockstream и генеральный директор компании Jan3 Самсон Моу настаивает, что биткоин способен достичь амбициозной отметки в $1 млн, несмотря на недавнее снижение рынка. Самсон Моу (Samson Mow) подтвердил свой прогноз в соцсети Х, написав, что первая криптовалюта превысит $1 млн в течение года. Он добавил, что уверен в своем прогнозе, как в марте 2024 года, когда он «предсказывал» неизбежный крах альткоинов.   #Bitcoin is going to $1.0M. I am not uncertain.  

      in Новости криптовалют

    • Измеряем ликвидность криптовалют: что такое «глубина рынка»

      Присутствие крупного капитала в конкретной криптовалюте дает понимание того, насколько это серьезный проект. По действиям китов можно сделать вывод о том, куда скорее всего пойдет рынок, и в этом помогает индикатор «глубина рынка». При торговле биткоином и другими криптовалютами трейдеры и инвесторы используют заявки (ордера) на покупку и продажу. Если первых больше, то на рынке заправляют быки, а если вторых — медведи. «Глубина рынка» («market depth») — это графическое представление того,

      in Новости криптовалют

    • Переоценка и недооценка: что такое индикатор MVRV

      Количество индикаторов технического анализа, которые пришли в криптоиндустрию из фондового рынка, огромно. Тем не менее, уже появляются и собственные инструменты. Один из них — MVRV. MVRV — это показатель, который расшифровывается как Market Value to Realized Value, что переводится как рыночная стоимость к стоимости реализации. Впервые индикатор был описан в октябре 2018 года Мурадом Махмудовым (Murad Mahmudov) и Дэвидов Пуэллом (David Puell).   MVRV показывает, насколько отличается т

      in Новости криптовалют

×
×
  • Create New...