iancoleman.io — что это и как пользоваться данным сервисом? + что делать при replay attack

[Alex74532]

22 минуты назад, jam72 сказал:

Что заставило вас поменять мнение?

Мы же пользуемся каким то софтом для того чтобы подписывать оффлайн транзакции. Где гарантии что этот софт не украдет ключи или сид фразы? Даже если использовать кошельки из официальных источников, проверять контрольные суммы и цифровые подписи, то где гарантии, что этот софт не ворует ключи? К примеру, я использую одну сид фразу с кодовой фразой на отдельном оффлайн ноуте и эту сид фразу ввожу в разном софте на этом ноуте, это и electrum и myetherwallet и некоторые другие кошельки из официальных источников с проверенными подписями и контрольными суммами. Знал бы ранее, что существует iancoleman, то изначально, в целях безопасности работал бы по принципу одного ключа и адреса, тоесть принципиально бы не вводил в electrum и myetherwallet целую сид фразу, а вводил бы только какой то один нужный приватный ключ для работы с одним адресом и дробил бы суммы частями на разные адреса. Можно даже было бы завести 2 оффлайн компа, на одном разворачивать ключи в iancoleman, далее на второй оффлайн ноут передавать через вебку и qr код один приватный ключ, а далее во втором ноуте подписывать транзакции оффлайн, соответственно всю инфу передавать с компа на комп ТОЛЬКО через вебки и QR-коды (это чтобы ноутбук, который подписывает транзакции не соприкасался с сид фразой целиком никогда). И даже если бы софт украл у меня приватный ключ, то это был бы только один ключ, а не сид фраза с целой цепочкой ключей. К тому же можно безболезненно пользоваться, например кошельками electrum и myetherwallet а затем купить какой нибудь коин, скачать для него кошелек на оффлайн ноутбук, ввести туда сид фразу и этот софт украдет всю сид фразу со всеми биткоинами, эфирами и т.д. Так что я вижу смысл сначала разворачивать ключи в iancoleman, а только затем импортировать нужные ключи в программы кошельков. Может быть это у меня сверх паранойя, но у меня при хранении крипты на отдельном ноутбуке все еще возникают некоторые вопросы:

1. Как можно убедится в том, что софт которым я подписываю оффлайн транзакции на отдельном ноуте с вечным оффлайном не передаст на онлайн комп приватный ключ или сид фразу?

2. Подписанную транзакцию перед отправкой на онлайн комп можно как то проверить, чтобы убедиться на 100 % что передается только подписанная транакция и ни одним битом информации больше положенного?

3. Какие еще существуют риски при хранении крипты на отдельном ноуте с вечным оффлайном?

[jam72]

27 минут назад, Alex74532 сказал:

Так что я вижу смысл сначала разворачивать ключи в iancoleman, а только затем импортировать нужные ключи в программы кошельков. Может быть это у меня сверх паранойя, но у меня при хранении крипты на отдельном ноутбуке все еще возникают некоторые вопросы:

1. Как можно убедится в том, что софт которым я подписываю оффлайн транзакции на отдельном ноуте с вечным оффлайном не передаст на онлайн комп приватный ключ или сид фразу?

2. Подписанную транзакцию перед отправкой на онлайн комп можно как то проверить, чтобы убедиться на 100 % что передается только подписанная транакция и ни одним битом информации больше положенного?

3. Какие еще существуют риски при хранении крипты на отдельном ноуте с вечным оффлайном?

Если включать сверхпараноика, то в вашем офлайн-компьютере может сидеть троян, который в iancoleman подменяет все ключи ).

Мои ответы на вопросы:

1. Использовать популярный софт с открытым кодом (Electrum, например). Проверять инсталлятор на соответствие подписи разработчика.

2. Несколько байт теоретически можно передать незаметно, как не проверяй.

3. Это всё глубокая теория, на практике рисков, считайте, нет. Про физический доступ к незашифрованному носителю с секретом говорить, думаю, не стоит - это и так понятно.

 

Если паранойя жить мешает - сделайте мультиподписной кошелек из такого кошелька вместе с аппаратником (или несколькими разных производителей ).

[Alex74532]

20 часов назад, jam72 сказал:

Если включать сверхпараноика, то в вашем офлайн-компьютере может сидеть троян, который в iancoleman подменяет все ключи )

Это можно проверить, например ввести сид фразу в аппартном кошельке и в iancoleman на оффлайн компьютере и проверить адреса на идентичность.

 

20 часов назад, jam72 сказал:

3. Это всё глубокая теория, на практике рисков, считайте, нет. Про физический доступ к незашифрованному носителю с секретом говорить, думаю, не стоит - это и так понятно.

Уже писали в этой теме что нужно использовать операционную систему Tails, поддерживаю, в ней и шифрование под рукой. И еще рекомендация для тех, у кого кошелек на оффлайн компьютере. Если ваш оффлайн компьютер для крипты сменит владельца, то он может перестать быть оффлайн компьютером, учтите это. Причин по которым завладеть вашим оффлайн компьютером может кто то другой может быть множество, начиная от банального ограбления. Поэтому рекомендую выломать контакты для LAN разъема, выломать контакты куда можно вставить wi-fi, bluetooth. Если совсем в крайности ударяться, то и выломать все usb порты, чтобы по USB никто не смог подключить какой нибудь wi-fi адаптер ))

20 часов назад, jam72 сказал:

Если паранойя жить мешает - сделайте мультиподписной кошелек из такого кошелька вместе с аппаратником (или несколькими разных производителей )

А можно сделать мультиподпись в кошельке Myetherwallet ?

[Oleg13]

On 1/3/2024 at 11:43 PM, jam72 said:

Вверху (BIP39-passphrase) любое изменение в поле, даже пробел, изменяет все ключи-адреса.

Внизу (BIP38-password) с установленной галочкой изменение поля меняет только третий столбец, поэтому на данном этапе (поиск адреса) сам пароль здесь не важен, важно только установить, была тогда галка установлена или нет? Пароль понадобится, когда адрес найдете, и придет очередь нахождения ключа для этого адреса.

Новый кошелек -> "Импортировать биткоин адреса или приватные ключи", вставляете список адресов, чтобы получилось примерно так:

 

 

Ну и дальше там всё понятно.

 

 

Либо он не понял, что у вас сиды и пароль сохранились, либо не разбирается в этой теме.

спасибо, прежде я не раз пытался в это поле вводить длинный ключ, а не адреса. теперь делаю так, ввожу сед, ввожу предполагаемую пассфразу, и пытаюсь найти нужные адреса, каждый раз изменяя пассфразу) адреса как правило все 4 ввожу вот в Электрум. ?