Украли BTC

[Victor Menshov]

31 минуту назад, fujc сказал:

Какие 10 битков, что вы такие наивные, чувак замутил всю эту тему, чтобы впарить всем желающим троян, который он здесь и прикрепил. После этого еще ведется серьезное обсуждение, мда... 

Вы меня раскусили, с 2014 года блокчейн подделывал! ? Такая идея была классная, впарить троян под видом трояна, правда ещё не придумал, зачем мне это надо...

[moneymaker]

2 минуты назад, Victor Menshov сказал:

впарить троян под видом трояна, правда ещё не придумал, зачем мне это надо

Это постмодерн.

[Old Miner]

29 минут назад, fujc сказал:

Какие 10 битков, что вы такие наивные, чувак замутил всю эту тему, чтобы впарить всем желающим троян, который он здесь и прикрепил. После этого еще ведется серьезное обсуждение, мда... 

Это весьма неестественный способ впарить троян:

"Всем привет, у меня есть троян, я его специально заархивировал с паролем и изменил расширение, чтобы вы его не смогли случайно запустить."

 

Какой идиот его будет запускать в незащищённой среде?

[fujc]

9 минут назад, Old Miner сказал:

Какой идиот его будет запускать в незащищённой среде?

Всегда найдется, и не один.  

[polym0rph]

17 часов назад, Victor Menshov сказал:

тестировал проги для подбора пароля к wallet.dat, но по глупости на своем же и тестировал, вместо того, чтобы пустой создать.

Дело даже не в том, что на боевом кошельке тест был. Тесты нужно было проводить на виртуалке, сделав перед этим снапшот, а не на боевой машине.

Оттестировал - откатил снапшот, чтоб даже если где что протроянилось даже на тестовой машине чтоб было грохнуто гарантированно.

[vdanya]

А я вообще не понимаю зачем нужен кошелёк с wallet.dat. 

Сгенерировал адрес по сид фразе оффлайн, сид фразу записал, закрытый ключ тоже, спрятал. В голове сохранил сид фразу. Битки  себе отправил. Всё дальше смысл каких то манипуляций если решено хранить, а не пользовать.

Если надо какую то часть например вывести (отправить на биржу), тем же генератором (оффлайн), повторно по сид фразе генерируем (либо используем закрытый ключ) тот же адрес, и делаем рав транзакцию на компе без интернета, копируем рав транзакцию на флэшку, вставляем в комп с интернетом, заходим сюда: https://www.blockchain.com/ru/btc/pushtx

Отправляем рав транзакцию.

Всё закрытый ключ нигде не засвечен. Даже если потерять закрытый ключ всегда можно сгенерировать заново этот же оффлайн по сид фразе.

 

Я вообще сейчас боюсь всяких кошельков внешних. внутренних. холодных, горячих, любой из них это потенциальная угроза.

 

Вариант 2:

Берём сид фразу, мешаем слова (сами слова оставляем "как есть"), генерируем 10-20-30 кошельков. Распихиваем на все одинаковой суммой. Осталось только запомнить в какой очередности менялись слова, схему можно придумать самому.

Всё ничего не нужно ни каких носителей, даже бумажных, в любой момент захотел, достал "из головы", отправил через raw

Изменено 16 ноя 2020, 18:14 пользователем vdanya

[Rasputin]

"Когда речь заходит о деньгах" - разговор о виндавас неуместен. ? Работайте по линуксом, и избежите подобных проблем.

[polym0rph]

11 часов назад, vdanya сказал:

делаем рав транзакцию на компе без интернета

Думаю около 90% пользователей криптовалют это сейчас не осилят)

 

1 час назад, Rasputin сказал:

"Когда речь заходит о деньгах" - разговор о виндавас неуместен. ? Работайте по линуксом, и избежите подобных проблем.

В плане безопасности если человек хорошо знает Windows, но новичок в Linux, то для него лучше Windows.

Малвари и под линь полно, а ошибки почти всегда совершает прокладка между креслом и монитором. Юнихи не являются панацеей сами по себе. Параноики добавят, что даже запускать это все нельзя на том железе, которое люди используют.

 

[Victor Menshov]

13 часов назад, vdanya сказал:

Берём сид фразу, мешаем слова (сами слова оставляем "как есть"), генерируем 10-20-30 кошельков. 

так не получится, последнее слово в сид фразе контрольное

[jam72]

14 часов назад, vdanya сказал:

Я вообще сейчас боюсь всяких кошельков внешних. внутренних. холодных, горячих, любой из них это потенциальная угроза.

Вы же выше описали холодный кошелек...

14 часов назад, vdanya сказал:

Берём сид фразу, мешаем слова, генерируем 10-20-30 кошельков.

Как уже говорилось, при перестановке слов сиды не получатся в подавляющем большинстве случаев. Да и не нужно это. Хотите разные сиды - меняйте passphrase.

14 часов назад, vdanya сказал:

Осталось только запомнить

Лучше ничего не запоминать, память - штука ненадежная.

 

Если уж офтопить про способы хранения, то их можно много разных придумать. Самый простой из надежных - это сделать 2FA-кошелек в десктопном электруме + Authy на телефоне (Authy лучше по безопасности и удобству, чем Google Authenticator). Да, 2FA там не бесплатный, каждая исходящая транзакция будет на 5000 сатоши дороже, но для хранилища с очень редкими выводами это ничто. Сид для такого кошелька правильнее генерирорвать на офлайн-машине, а на онлайн перенести уже файл кошелька, в этом случае я вообще уязвимостей не вижу.

 

Но холодный кошелек, конечно, лучше всего.

Изменено 17 ноя 2020, 07:39 пользователем jam72

[Helber]

53 минуты назад, jam72 сказал:

Как уже говорилось, при перестановке слов сиды не получатся в подавляющем большинстве случаев.

Почему? Потому что хотя и можно переставлять все слова, кроме последнего, но последнее (контрольное) для каждой фразы придется вычислять отдельно?

[jam72]

1 минуту назад, Helber сказал:

Потому что хотя и можно переставлять все слова, кроме последнего, но последнее (контрольное) для каждой фразы придется вычислять отдельно?

Да, последнее слово  будет соответствовать контрольной сумме для 12 слов (по BIP39) только в 1 из 16 случаев, для 24 слов в 1 из 256.

[vdanya]

1 час назад, jam72 сказал:

Вы же выше описали холодный кошелек...

да холодный бумажный кошелёк без носителя.

 

Цитата

 

Как уже говорилось, при перестановке слов сиды не получатся в подавляющем большинстве случаев. Да и не нужно это. Хотите разные сиды - меняйте passphrase.

 

ну собственно я это и имел ввиду, т.е. придумываем фразу, ставим её в passphrase , дальше извращаемся с ней как душе угодно, получая каждый раз новые кошельки, можно регистром баловаться, можно знаками препинания.

Скорее всего так, перепутал с seed.

Цитата

 

Лучше ничего не запоминать, память - штука ненадежная.

 

 

нет ничего лучше памяти, а фразу можно записать на бумажке и закопать с пластиковом контейнере в лесу или на участке, если уж совсем туго с этим. На крайняк всегда можно раскопать.

Цитата

 

Если уж офтопить про способы хранения, то их можно много разных придумать. Самый простой из надежных - это сделать 2FA-кошелек в десктопном электруме + Authy на телефоне (Authy лучше по безопасности и удобству, чем Google Authenticator). Да, 2FA там не бесплатный, каждая исходящая транзакция будет на 5000 сатоши дороже, но для хранилища с очень редкими выводами это ничто. Сид для такого кошелька правильнее генерирорвать на офлайн-машине, а на онлайн перенести уже файл кошелька, в этом случае я вообще уязвимостей не вижу.

 

способ хороший но всё равно слишком сложный, зачем делать кошелёк на телефоне, если можно потратить не имея кошелька на девайсах вообще.

Если вы конечно за кофе не собираетесь расплачиваться в московских биткоин кофейнях ?

 

Цитата

Но холодный кошелек, конечно, лучше всего.

вот я про это и пишу, что лучше 1 холодный, бумажный, "в голове", чем 5 в различных девайсах.

Это не совсем оффтоп, потому, что напрямую относится к этой теме. С таким кошельком навряд ли можно потерять битки.

 

Изменено 17 ноя 2020, 08:44 пользователем vdanya

[Novoreg]

помоему холодный электрум например на отдельной флешке с tails os самый то вариант, при желании можно даже не покупать отдельный комп

причем там все предустановлено 

[Lenchik]

1 минуту назад, Novoreg сказал:

помоему холодный электрум

По большому счёту это не кошелёк. Единственный кошелёк который я знаю это Bitcoin Core. Всё остальное это просто интерфейс к кошельку находящемуся на чьём то сервере. Надёжность зависит от того насколько вы доверяете этому серверу. 

[jam72]

17 минут назад, vdanya сказал:

да холодный бумажный кошелёк без носителя.

Какая разница - с носителем, без носителя? Главное, что холодный. Бэкап в виде сида на бумаге/железе в любом случае нужен.

20 минут назад, vdanya сказал:

нет ничего лучше памяти

Память не только, бывает, отказывает. Некоторые еще и во сне могут вслух сид повторять). А некоторые при легком нажиме уличного гопника сразу ее выдадут. Не вижу ни одного плюса в запоминании фразы.

25 минут назад, vdanya сказал:

способ хороший но всё равно слишком сложный, зачем делать кошелёк на телефоне, если можно потратить не имея кошелька на девайсах вообще.

Если вы конечно за кофе не собираетесь расплачиваться в московских биткоин кофейнях

вы меня не поняли, я не говорил про кошелек на телефоне. На телефоне генератор одноразовых паролей для 2FA.

17 минут назад, Novoreg сказал:

помоему холодный электрум например на отдельной флешке с tails os самый то вариант, при желании можно даже не покупать отдельный комп

причем там все предустановлено 

Да, это хороший вариант. Но отдельный комп все же лучше.

13 минут назад, Lenchik сказал:

По большому счёту это не кошелёк. Единственный кошелёк который я знаю это Bitcoin Core. Всё остальное это просто интерфейс к кошельку находящемуся на чьём то сервере.

Вы путаете кошелек с нодой.

14 минут назад, Lenchik сказал:

Надёжность зависит от того насколько вы доверяете этому серверу.

Надежность хранения монет? Нет, не зависит. Немного страдает приватность, да и то если связь с сервером без прокси. Для подпольных китов такая приватность нужна, остальным не обязательно.

[vdanya]

41 минуту назад, jam72 сказал:

Какая разница - с носителем, без носителя? Главное, что холодный. Бэкап в виде сида на бумаге/железе в любом случае нужен.

Память не только, бывает, отказывает. Некоторые еще и во сне могут вслух сид повторять). А некоторые при легком нажиме уличного гопника сразу ее выдадут. Не вижу ни одного плюса в запоминании фразы.

Я Вам приведу пример, придумали вы пароль или фразу состоящую из нескольких фраз или слов или частей, например этих частей всего 4. Если у Вас есть 4 пароля которые вы например помните всю жизнь, врядл и вы их забудете.

 

Далее засовываем всё это дело в Passphrase в оффлайн генераторе кошельков.

 

Так как у нас 4 пароля или фразы, то генерируем 24 кошелька просто переставляя их местами(этот алгоритм можно и слегка усложнить, главное запомнить как вы его усложнили).

Private Key нам не особо нужен.

Мы имеем 4 фразы в голове и 24 комбинации их использования.

Записываем 24 открытых ключа.

Распихиваем 10 биткоинов по 24 кошелькам. Получается, по 0,41666btc на один кошелёк.

Далее спокойствия можно конечно сохранить 24 закрытых ключа распечатав и спрятав в одном или нескольких надёжных местах.

А можно этого и не делать, т.к. у Вас 24 пароля доступа в голове и все варианты их использования.

Если сумма больше можно использовать 5 паролей или фраз, тогда кошельков можно сгенерировать гораздо больше.

 

Если даже один и взломают из них, хотя очень маловероятно, то шанс потерять все 10 битков стремится к нулю.

 

И ничего ни где можно не хранить, не парится с вирусами и прочей "безопасностью".

 

Опасен только крипторектальный анализ, но тут тоже можно вспомнить не всё. а например только 1 кошелёк, остальное забыть

 

Понятно, что автору топика это уже вряд ли поможет, но другим на будущее, надеюсь, что смысл есть это проанализировать прочитать и попробовать применить.

Изменено 17 ноя 2020, 09:58 пользователем vdanya

[Rasputin]

17.11.2020 в 07:59, polym0rph сказал:

Думаю около 90% пользователей криптовалют это сейчас не осилят)

 

В плане безопасности если человек хорошо знает Windows, но новичок в Linux, то для него лучше Windows.

Малвари и под линь полно, а ошибки почти всегда совершает прокладка между креслом и монитором. Юнихи не являются панацеей сами по себе. Параноики добавят, что даже запускать это все нельзя на том железе, которое люди используют.

 

"Да не согласен я" ?

Что бы занести "заразу" в линукс, нужно быть "круглейшим" идиотом. Настолько круглым, что такого идиота к компьютеру подпускать просто нельзя, только к игровой консоли. В мастдае всё гораздо проще. Именно поэтому он и поручил своё имя "мастдай".

Написать супер-пупер скрипт, который скоммуиздит все Ваши биткоины на Линукс системе не проблемма. Но какой идиот его к себе установит? ?

А потом ещё и введёт и пароль и сидфразу? ?

[polym0rph]

@Rasputin Мастдаем его кликали в девяностые, и весьма заслуженно. Но в десктоп линь так и не смог, как и винда на серверы, за редким исключением с обеих сторон.

"Но какой идиот ..." и дальше есть пачка удивительнейших историй, как народ теряет бабло.  Не в операционке дело почти всегда, а в действиях пользователя.

[kamikadze69]

18.11.2020 в 23:01, Rasputin сказал:

"Да не согласен я" ?

Что бы занести "заразу" в линукс, нужно быть "круглейшим" идиотом. Настолько круглым, что такого идиота к компьютеру подпускать просто нельзя, только к игровой консоли. В мастдае всё гораздо проще. Именно поэтому он и поручил своё имя "мастдай".

Написать супер-пупер скрипт, который скоммуиздит все Ваши биткоины на Линукс системе не проблемма. Но какой идиот его к себе установит? ?

А потом ещё и введёт и пароль и сидфразу? ?

Человек сам установил программу с трояном, предварительно отключив антивирус.
Тут ни одна операционка не спасет, когда пользователь сам устанавливает вирус.
Хотя он и не идиот вроде, просто булки расслабил и халатно отнесся к вопросу.
На линукс рядовой пользователь троянов наловит ещё на этапе скачивания непонятной сборки из какой-нибудь левой инструкции или торрента.
Считаю лицензионный софт на порядок безопаснее опенсорсного, для людей которые не являются экспертами по кибер-безопасности. 

[Helber]

23 минуты назад, kamikadze69 сказал:

На линукс рядовой пользователь троянов наловит ещё на этапе скачивания непонятной сборки из какой-нибудь левой инструкции или торрента.
Считаю лицензионный софт на порядок безопаснее опенсорсного, для людей которые не являются экспертами по кибер-безопасности. 

Я ни разу не подобный эксперт, но и для меня было понятно, чем надежная сборка отличается от ненадежной и где  взять первую.

[zlg]

28 minutes ago, kamikadze69 said:

На линукс рядовой пользователь троянов наловит ещё на этапе скачивания непонятной сборки из какой-нибудь левой инструкции или торрента.

Вот теперь и я тоже "Да не согласен я"

Какие трояны, какие непонятные сборки в Линуксе? Какие левые инструкции? О чем вы вообще? В Линуксе невозможно случайно ничего стремного подцепить, ТОЛЬКО целенаправленно запускать зловреда вручную, но кто же в здравом уме это будет делать?

1 hour ago, polym0rph said:

Не в операционке дело почти всегда, а в действиях пользователя.

Вот это абсолютно верно. Согласен на все 146%

Изменено 20 ноя 2020, 17:42 пользователем zlg

[Rasputin]

14 минут назад, zlg сказал:

Какие трояны, какие непонятные сборки в Линуксе? Какие левые инструкции? О чем вы вообще? В Линуксе невозможно случайно ничего стремного подцепить, ТОЛЬКО целенаправленно запускать зловреда вручную, но кто же в здравом уме это будет делать?

Автор наверное имеет ввиду программы типа "установи меня и начинай зарабатывать прямо сейчас". Ну так это и имелось ввиду под диагнозом. Наверное такие и под Лини существуют. Правда лично не встречал.

Изменено 20 ноя 2020, 17:56 пользователем Rasputin

[kamikadze69]

37 минут назад, zlg сказал:

ТОЛЬКО целенаправленно запускать зловреда вручную, но кто же в здравом уме это будет делать?

Так топикстартер так и сделал, вы тему читали целиком?
 

  

35 минут назад, zlg сказал:

В Линуксе невозможно случайно ничего стремного подцепить,

Вот тут я бы поспорил. У меня родственник на мак-ось (тот-же линукс, даже круче) пару раз цеплял шифровальщики и вымогатели.
Я уж не знаю какое порно он там качал, но факт остается фактом.

Изменено 20 ноя 2020, 18:18 пользователем kamikadze69

[МамкинКриптоБизнесмен]

Все такие наивные с этими своими леджеротрезорами, чем вас не устраивает чистый ноут, с чистой виндой + биткоин коре, элементарно, надежно, за все отвечаешь ты.