Как защитить свой криптовалютный кошелек ?

[Casual12 15413]

Самая развитая проблема это -фишинг , я раз попался на элементарный с вконтакте)  но это  может произойти и с кошельком с любым , по этому нужно остерегаться левых сайтов.

[Liliriko 6177]

Мне хватает того что есть на биржах,главное включить 2FA,пройти верификацию и желательно подключить номер телефона,ну и конечно не хранить все на одной бирже

[mario10 8773]

On 12.10.2019 at 12:13, Alex077 said:

В этой теме предлагаю обсуждать методы защиты криптовалютных кошельков, добавлять свои комментарии и обсуждения с новостями в этой области. 

                    Как защитить свой криптовалютный кошелек?

Биткоин и другие криптовалюты традиционно привлекают повышенное внимание мошенников самого разного калибра, которые не только используют их в своей противоправной деятельности, но и активно похищают не только с бирж, но и у рядовых пользователей.

Прибегая к помощи продвинутых технологий, хакеры находят все новые способы отъема средств, однако основные и проверенные временем методы остаются все те же, поскольку каждый день в криптовалютное пространство заходят новые люди, которые часто не располагают адекватным уровнем знаний и осведомленности для противодействиям таким атакам.

Ниже перечислены основные уловки и трюки хакеров, зная о которых пользователи могут как минимум обезопасить свои монеты.

Социальная инженерия и фишинг

Под социальной инженерией понимается совокупность обменных приемов, заставляющих пользователей выполнять на сайтах или в приложениях действия, которые могут нанести им ущерб. Одним из таких весьма популярных методов является фишинг – создание сайтов-клонов известных ресурсов, которые вынуждают пользователей раскрывать свои персональные данные, включая пароли, телефонные номера, реквизиты банковских карт, а в последние годы и приватные ключи от криптовалютных кошельков.

Ссылки на фишинговые сайты могут распространяться разными способами – это и рекламные объявления в соцсетях, и электронные письма, копирующие внешний вид рассылок от официальных проектов. Все это делается с единственной целью — заставить невнимательного пользователя перейти на фейковый сайт и ввести там персональные данные.

По данным Chainalysis, в криптовалютном пространстве фишинг оставался наиболее прибыльным мошенническим методом на протяжении 2017 и 2018 годов. Однако, если в 2017 году на его долю приходилось более 88% всех мошеннических схем, то в 2018 году этот метод стал менее эффективным, и его показатель успешности снизился уже до 38,7%.

Тем не менее опасность стать жертвой фишинговой атаки сохраняется. Среди последних таких инцидентов можно выделить атаки на популярный кошелек Electrum в декабре 2018 и в апреле 2019 гг. Нередко при этом атаки велись и на альткоин-кошельки.

Кроме того, за последнее время жертвами фишинговых атак становились биржи Bitfinex и Binance, аппаратный кошелек Trezor, платформа для покупки и продажи биткоинов LocalBitcoins, а также пользователи социальных сетей, например, Facebook. В последнем случае злоумышленники копируют страницы популярных криптовалютных сообществ, после чего используют фотографии участников реальных сообществ, отмечая их в посте как победителей программы лояльности к платформе.

О том, какое значение борьбе с фишингом придают ведущие представители индустрии, сполна говорит и тот факт, что в апреле этого года Binance Labs, венчурное подразделение криптовалютной биржи Binance, осуществило инвестиции в PhishFort. Эта компания специализируется на решениях по защите от фишинговых атак и ориентируется на бизнесы, находящиеся в высокой группе риска, такие как биткоин-биржи, ICO-проекты и платформы по выпуску токенов.

Рекомендации по защите от фишинговых атак весьма просты: повышение общей компьютерной грамотности, собственная внимательность (ручной ввод URL и проверка использования протокола https), а также используемое по умолчанию недоверие к объявлениям, предлагающим бесплатную раздачу криптовалют.

Троянские вирусы

Эти многочисленные вирусы представляют собой разновидность вредоносных программ, проникающих в компьютер под видом легального программного обеспечения. В данную категорию входят программы, осуществляющие различные неподтвержденные пользователем действия: сбор информации о банковских картах, нарушение работоспособности компьютера, использование ресурсов компьютера в целях майнинга, использование IP для нелегальной торговли и т. п.

Но изобретательность хакеров на месте не стоит. Так, в 2018 году была обнаружена новая версия печально известного трояна Win32.Rakhni. Этот вирус известен еще с 2013 года, но если поначалу он фокусировался исключительно на шифровании устройств и требовании выкупа за разблокировку, то новая версия пошла намного дальше. Для начала она проверяет наличие папок, связанных с биткоин-кошельками, и если таковые обнаружены, шифрует компьютер и требует выкуп. Однако, если таких папок найдено не было, Win32.Rakhni устанавливает вредонос, похищающий вычислительные мощности компьютера с целью скрытого майнинга криптовалют, а также пытается распространиться на другие устройства в сети.

При этом, как видно на изображении выше, более 95% всех случаев заражения компьютеров этим трояном приходилось на Россию, второе и третье места достались Казахстану и Украине.

Согласно данным Kaspersky Labs, Win32.Rakhni чаще всего распространяется через электронные письма, в которых пользователям предлагается открыть прикрепленный pdf-файл, однако вместо ожидаемого содержимого запускается программа-вредонос.

Как и в случае с фишинговыми атаками для предотвращения заражения устройств необходимо соблюдать базовую компьютерную гигиену и быть крайне внимательным к открываемым вложениям.

Клавиатурные шпионы (keyloggers)

Вредоносные программы зачастую состоят из нескольких компонентов, каждый из них выполняет собственную задачу. По сути их можно сравнить с швейцарскими армейскими ножами – при их помощи хакеры могут выполнять множество различных действий на атакованной системе.

Один из популярных компонентов при атаках – это так называемые клавиатурные шпионы (кейлоггеры). Они представляют собой узкоспециализированный инструмент, записывающий все нажатия клавиш на устройствах. С его помощью злоумышленники могут незаметно завладеть всей конфиденциальной информацией пользователя, включая пароли и ключи от криптовалютных кошельков.

Чаще всего кейлоггеры проникают в системы с составе комплексного вредоносного софта, но иногда они могут быть встроены во вполне легальное программное обеспечение.

Производители антивирусных решений, как правило, добавляют известные кейлоггеры в свои базы, и метод защиты от них мало чем отличается от метода защиты от любого другого вредоносного софта. Проблема состоит в том, что кейлоггеров существует огромное количество, и уследить за всеми физически очень сложно. По этой причине клавиатурные шпионы с первой попытки часто не определяются антивирусами.

Тем не менее обычная компьютерная гигиена и использование специального софта могут стать хорошей помощью в борьбе с этим видом атак.

Публичные сети Wi-Fi

Кража средств через общедоступные сети Wi-Fi всегда была и остается одним из наиболее популярных инструментов злоумышленников. Большинство Wi-Fi-роутеров используют протокол WPA (Wi-Fi Protected Access), который не только шифрует всю информацию в беспроводной сети, но и обеспечивает доступ к ней только авторизованным пользователям.

Однако хакеры нашли лазейку и здесь: запуская несложную команду KRACK, они заставляют устройство жертвы переподключиться к собственной сети Wi-Fi, после чего получают возможность отслеживать и контролировать всю проходящую через нее информацию, включая ключи от криптовалютных кошельков.

Защититься от такой атаки помогают регулярные обновления прошивок роутера, а также собственная внимательность: никогда не следует осуществлять транзакции, находясь в публичных местах, вроде вокзалов, аэропортов, гостиниц или – что происходит весьма часто среди представителей биткоин-сообщества – на блокчейн-конференциях.

Slack-боты

Существует достаточно большое число ботов для Slack, которые хакеры успешно берут на вооружение. Как правило, такие боты отправляют пользователю уведомление о наличии проблем с его кошельком. Конечная цель – заставить пользователя нажать на уведомление и ввести приватный ключ.

Наиболее масштабной успешной хакерской атакой, в ходе которой были задействованы боты для Slack, стал инцидент с проектом Enigma в августе 2017 года. Тогда проект был вынужден приостановить пресейл токенов ECAT после того, как неизвестные злоумышленники взломали сайт проекта и, указав ложный ETH-адрес, лишили его более $400 000.

Кроме того, представители Enigma подтвердили, что также был скомпрометирован Slack-чат проекта:

Рекомендации: игнорировать подобные сообщения, слать жалобы на распространяющие их боты, установить защиту на Slack-канал (например, security-боты Metacert или Webroot).

Аутентификация по SMS и SIM Swapping

Аутентификация по SMS по-прежнему остается весьма распространенным методом верификации различных операций, в том числе и криптовалютных транзакций. Однако еще в сентябре 2017 года специализирующаяся на кибербезопасности компания Positive Technologies продемонстрировала, как легко можно перехватить SMS с паролем, пересылаемое по протоколу Signaling System 7 (SS7).

Демонстрация была проведена на примере аккаунта на платформе Coinbase, который был привязан к почте на Gmail. На первый взгляд могло показаться, что речь идет об уязвимости на стороне Coinbase, однако в действительности задействованный Positive Technologies инструмент собственной разработки использовал слабые места в самой сотовой сети. Перенаправив текстовые сообщения на собственный номер, исследователи смогли сбросить и установить новый пароль на почте, после чего получили полный доступ к кошельку.

В данном случае эксперимент был поставлен в исследовательских целях, и фактической кражи монет не произошло, однако его результаты показали, что такой метод вполне может быть использован и настоящими преступниками.

В специальном материале  специалисты Hacken также перечислили основные варианты перехвата SMS :

• Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
• Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
• Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
• Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

В этом списке также интересен второй пункт — клонирование (подмена) SIM-карты. Этот метод известен как SIM Swapping, и уже известен первый громкий случай, когда он был использован для кражи криптовалюты на $14 млн.

Речь идет о случае, произошедшем в 2018 году, когда в США были арестованы два хакера, сумевших убедить оператора мобильной связи передать им контроль над номером, где была двухфакторная аутентификация к аккаунту администратора проекта Crowd Machine.

Рекомендация: отказ от верификации через SMS в пользу специальных программ для двухфакторной аутентификации (2FA), например, Google Authenticator.

Мобильные приложения

Жертвами хакеров чаще всего становятся владельцы устройств на Android, вместо 2FA использующие только логин и пароль. Происходит это в том числе и потому, что процесс добавления приложений в Google Play Store менее строгий, чем у App Store. Злоумышленники пользуются этим, размещая собственные приложения, которые имитируют известные кошельки и биржи, и выманивают у невнимательных пользователей конфиденциальные данные.

Одна из громких историй с фейковыми приложениями была связана с биржей Poloniex. В ноябре 2017 года эксперты компании ESET обнаружили в Google Play программу, которая выдавала себя за официальное мобильное приложение этой американской биржи. Суть мошенничества заключалась в том, что скачавшие программу пользователи вводили туда логин и пароль. Это позволяло создателям вируса самостоятельно менять настройки, выполнять транзакции, а также получить доступ к почте пользователей.

Несмотря на то, что на тот момент у Poloniex не было официальных мобильных приложений (они были выпущены только в июле 2018), два варианта фейковых приложений установили более 5 тысяч человек. После предупреждения ESET они были удалены из Google Play.

Также в Google Play находились фальшивые приложения MetaMask и Trezor Mobile Wallet.

Пользователи устройств на iOS чаще становятся жертвами злоумышленников, распространяющих приложения со встроенной функцией скрытого майнинга. После обнаружения этой проблемы компания Apple была вынуждена ужесточить правила принятия приложений в App Store. При этом ущерб от таких приложений достаточно невелик — они только снижают производительность компьютера, не уводя при этом средства.

Рекомендации: не устанавливайте приложения, в которых нет крайней необходимости. Не забывайте о двухфакторной аутентификации, а также проверяйте ссылки на приложения на официальных сайтах проектов и платформы, чтобы убедиться в их подлинности.

Расширения, плагины и аддоны для браузеров

Существует немало браузерных расширений и плагинов, призванных сделать взаимодействие с криптовалютными кошельками более простым и комфортным. Однако написаны они, как правило, на JavaScript, что делает их уязвимыми к хакерским атакам. Речь может идти как о перехвате пользовательских данных и дальнейшем доступе к кошелькам, так и об установке программ для скрытого майнинга.

При этом, как отметили в Check Point Software Technologies Ltd, именно скрытые криптомайнеры остаются доминирующей угрозой для организаций по всему миру. Так, в 2018 году криптомайнеры стабильно занимали первые четыре строчки рейтингов самых активных угроз и атаковали 37% организаций по всему миру. В 2019 году, несмотря на снижение стоимости всех криптовалют, 20% компаний продолжают подвергаться атакам криптомайнеров каждую неделю.

Противостоять этой угрозе можно несколькими способами: установить отдельный браузер или даже отдельный компьютер для трейдинга, использовать режим инкогнито, регулярно обновлять антивирусные базы и не скачивать никаких сомнительных расширений или плагинов.

*************

Несмотря на то, что основная часть хакерских атак приходится на биржи и компании, индивидуальных пользователей они также не обходят вниманием. Согласно результатам прошлогоднего исследования компании Foley & Lardner, 71% крупных трейдеров и инвесторов назвали наиболее высоким риском именно кражу криптовалют, 31% при этом назвал деятельность хакеров угрозой всей криптовалютной индустрии.

Хакеры, как правило, идут на шаг впереди всей индустрии, поэтому помимо специальных защитных программ не менее важным аспектом борьбы со злоумышленниками остается собственная компьютерная грамотность пользователей и отслеживание последних трендов и событий в области кибербезопасности.

Желательно не скачивать приложения на каких-то непонятных сервисах и конечно же проверять часто ваше устройство через антивирус. Вот тогда какой-то хороший эффект будет

[Efferalgan 34968]

10 hours ago, mdv said:

Ну у вас там целый клан посвященных леджероманов, мне пока что ваших премудростей не понять. 🙂Потом, попозже, посвятите меня в рыцари святого Леджера. А пока для себя не вижу особых опасностей в том, чтобы сиды хранить просто на бумаге.

Я тоже храню на бумаге, в блокноте ахах)) у меня там пароли ещё от акков игры в которую я играл в 2012году, 8 лет хранятся, для меня это показатель, а все другие хранилища уже потерялись. Можно конечно заморочится и шифр придумать... С помощью которого зашифровать Сид)

[rosopond 1283]

On 09.03.2020 at 11:29, Efferalgan said:

Да ты опасный тип, тогда вообще можно придумать свою кодировку, к примеру использовать любимую книгу, страница, строка и слово по счёту в этой строке, для не посвященных это будет фиг пойми последовательность цифр, где связь если пытаться искать не найдешь, а если найдешь, то не верно))

Ну а ты сам подумай. Вот нашли твою сид фразу записанную на бумаге. Не важно где ты ее спрятал и как глубоко в землю зарыл. Нашли и все тут. Т.е. злоумышленники тупо поймут что это и без труда если не сами, то при помощи знающих людей выжмут всю твою крипту, причем самое главное то, что им достаточно скопировать или сфотать сид фразу и положить на место, чтобы ты и дальше думал, что все норм, а в итоге биток уплыл.

[silens 60]

Для начала нужно найти проверенный и защищенный кошелек. А потом подключить все методы защиты и аунтификаторы. Тогда шанса взлома будет практически минимальным.

[gloveset 551]

8 hours ago, igor72 said:

Почему passphrase не выход? Плюс к пассфразе можно просто замаскировать сид-фразу, чтобы не было однозначно понятно, что это она. Но тут важен нюанс - ни в коем случае не использовать адреса голой сид-фразы (без passphrase), иначе наличие истории транзакций сведет маскировку к нулю. Приведу пример, только что сочинил )).

1. Генерируем сид 12 слов монеткой (12 слов - достаточно, монетка - лучший ГСЧ )). Допустим это "remove neglect voice report mind vehicle enemy industry monkey panel feed pattern". Энтропия этого сида b5f283d5db78cfe3d27b998f33f152d0.

2. Выбираем какую-нибудь цифру от1 до 32. Допустим, я живу в 14 доме, выбираю 14 ). Дополняем слева и справа энтропию случайными последовательностями шестнадцатеричных символов (то есть 0...9 и a...f) так, чтобы наша энтропия начиналась с 14-го символа, а общее количество символов стало 64. То есть так: 5ec35e1f6b2acb5f283d5db78cfe3d27b998f33f152d0cce848e4f97691e35e4.

 

Всё, уверен, что при хорошей passphrase число 5ec35e1f6b2acb5f283d5db78cfe3d27b998f33f152d0cce848e4f97691e35e4 можно держать в открытом доступе, никто не поймет однозначно, что это такое, - сид это, приватный ключ, хеш какого-то файла или еще что-то (много всякого бывает 256-битного) - на авось никто ломать не будет. А при хорошей пассфразе и не сломает, даже если решится ). Цифру 14 не страшно и забыть - зная всю механику, можно и подобрать - вариантов не много.

 

идея очень прикольная,но я так же могу посоветовать вам удобный способ,например кипасс,я там храню много данных которые переношу на флешке,чтобы войти нужен пароль,который я держу лишь в голове и больше нигде,очень удобная программа

[antisquare 593]

17 minutes ago, WR_ROTTi said:

 Ну  так как бы  кап тоже  это важное  дело  , и как по мне если  хранить все  там данные  то только на отдельном  ноюбуке  чтобы  им вообще не кто не пользоваться кроме вас 

да можно так же хранить их в keepass там так же можно и файлом потом перекидывать,который импортируется в саму программу

[igor72 758]

10 minutes ago, gloveset said:

идея очень прикольная,но я так же могу посоветовать вам удобный способ,например кипасс,я там храню много данных которые переношу на флешке,чтобы войти нужен пароль,который я держу лишь в голове и больше нигде,очень удобная программа

Хорошая программа, пользовался ей раньше какое-то время. Сейчас пользуюсь bitwarden, она для меня проще и удобнее. Но сид там не храню. Сид я давно вытравил электролизом на металлической пластине (в виде энтропии, кстати) и хорошо спрятал. А на голову как на хранилище паролей я не полагаюсь - ценную информацию обязательно еще где-то записываю. И вам советую, всякое бывает...

[aleksandraabdel 373]

3 minutes ago, Alex077rus said:

Самое основное для защиты своего кошелька, не палить свои данные на сторонних сайтах или ресурсах.

Полностью согласна, даже самый защищенный кошелёк не сможет обезопасить человека, если он переходит на фишинговые сайты, или, в поисках халявы, вводит свои данные.

[anatolydo90 7550]

6 hours ago, starktor said:

да это все фигня в 2020,особо сильно тебя это не защитит,если ваш пк взломают или телефон и получат доступ к почте,то вам 2fa не поможет уже

Согласен, самый лучший способ защитить свои данные, это делать прямо в устройстве. Если телефон, то использовать блокировки, а на ПК пароли и антивирус. Всем добра и безопасности.

[peresvituk 416]

On 18.10.2019 at 19:37, cryptomaniak said:

По-моему, нужно просто включать мозги)) Хотя мне это не помогло, когда обновил Электрум и потерял все средства на нем)) Но там многие попались на это. 

Попались то многие, но про мозги правильно сказал, нужно просто быть внимательным. Да, фиаско всегда было и будет, но все же

[rosopond 1283]

9 hours ago, igor72 said:

Почему passphrase не выход? Плюс к пассфразе можно просто замаскировать сид-фразу, чтобы не было однозначно понятно, что это она. Но тут важен нюанс - ни в коем случае не использовать адреса голой сид-фразы (без passphrase), иначе наличие истории транзакций сведет маскировку к нулю. Приведу пример, только что сочинил )).

1. Генерируем сид 12 слов монеткой (12 слов - достаточно, монетка - лучший ГСЧ )). Допустим это "remove neglect voice report mind vehicle enemy industry monkey panel feed pattern". Энтропия этого сида b5f283d5db78cfe3d27b998f33f152d0.

2. Выбираем какую-нибудь цифру от1 до 32. Допустим, я живу в 14 доме, выбираю 14 ). Дополняем слева и справа энтропию случайными последовательностями шестнадцатеричных символов (то есть 0...9 и a...f) так, чтобы наша энтропия начиналась с 14-го символа, а общее количество символов стало 64. То есть так: 5ec35e1f6b2acb5f283d5db78cfe3d27b998f33f152d0cce848e4f97691e35e4.

 

Всё, уверен, что при хорошей passphrase число 5ec35e1f6b2acb5f283d5db78cfe3d27b998f33f152d0cce848e4f97691e35e4 можно держать в открытом доступе, никто не поймет однозначно, что это такое, - сид это, приватный ключ, хеш какого-то файла или еще что-то (много всякого бывает 256-битного) - на авось никто ломать не будет. А при хорошей пассфразе и не сломает, даже если решится ). Цифру 14 не страшно и забыть - зная всю механику, можно и подобрать - вариантов не много.

 

Игорь, а разве можно будет каким то образом расшифровать passphrase имея адреса по битку голой сидки и адреса сидки с passphrase? Если будет обнаружено то, что с одного btc адреса на другой  был переправлен биток. Ведь будет видно всего навсего то, что была транзакция от одного адреса к другому или есть какие то нюансы?

[igor72 758]

9 minutes ago, rosopond said:

Игорь, а разве можно будет каким то образом расшифровать passphrase имея адреса по битку голой сидки и адреса сидки с passphrase? Если будет обнаружено то, что с одного btc адреса на другой  был переправлен биток. Ведь будет видно всего навсего то, что была транзакция от одного адреса к другому или есть какие то нюансы?

Конечно, нельзя расшифровать. У вас этот вопрос возник из-за моей фразы про нюанс? Просто если будут транзакции на голом сиде, то сид будет легко обнаружен, а главное - будет точно установлено, что это именно сид, а не контрольная сумма какого-то документа, например. В этом-то и хитрость была, без нее метод совсем не интересен, можно с тем же успехом в открытом виде 12 слов опубликовать и полагаться на взломостойкость passphrase (кстати, при хорошем этом пароле, типа fgE8rr64lvg7mt9 можно так сделать и не морочиться )).

[Hennessey 179]

45 minutes ago, anatolydo90 said:

Согласен, самый лучший способ защитить свои данные, это делать прямо в устройстве. Если телефон, то использовать блокировки, а на ПК пароли и антивирус. Всем добра и безопасности.

Ну, антивирус нужен как база, но без 2фа и всего подобного аккаунту будет беда

[rosopond 1283]

36 minutes ago, igor72 said:

Конечно, нельзя расшифровать. У вас этот вопрос возник из-за моей фразы про нюанс? Просто если будут транзакции на голом сиде, то сид будет легко обнаружен, а главное - будет точно установлено, что это именно сид, а не контрольная сумма какого-то документа, например. В этом-то и хитрость была, без нее метод совсем не интересен, можно с тем же успехом в открытом виде 12 слов опубликовать и полагаться на взломостойкость passphrase (кстати, при хорошем этом пароле, типа fgE8rr64lvg7mt9 можно так сделать и не морочиться )).

🙂 Ну да, если будет такой passphrase из 30 символов в которых будут заглавные  буквы, символы и цифры, то явно будет сложно определить и найти методом перебора такой passphrase.  Но ведь согласитесь , что мое опасение по поводу хранения сидки  в открытом виде не напрасны и явно имеют благую цель, а именно сохранность и безопасность крипто активов, а то как я понял многие хранят все сидки записанные в изначальном виде, пусть даже хорошо спрятанные , но все же  просто записанные на листике.

[igor72 758]

25 minutes ago, rosopond said:

Ну да, если будет такой passphrase из 30 символов в которых будут заглавные  буквы, символы и цифры, то явно будет сложно определить и найти методом перебора такой passphrase.

Не надо 30, и 12-ти случайных цифробукв (даже без символов) достаточно в данном случае, 15 - с запасом.

 

29 minutes ago, rosopond said:

Но ведь согласитесь , что мое опасение по поводу хранения сидки  в открытом виде не напрасны и явно имеют благую цель, а именно сохранность и безопасность крипто активов, а то как я понял многие хранят все сидки записанные в изначальном виде, пусть даже хорошо спрятанные , но все же  просто записанные на листике.

Ну да, вроде бы логично, что чем больше защит навесить, тем надежней будет. Но с другой стороны можно и самому запутаться ). Помню, читал про случай, как человек в записанной сид фразе для надежности несколько слов местами поменял, а через какое-то время напрочь забыл какие. И пришлось ему спецов нанимать, кажется, за 30% всей крипты на этом сиде. А могло бы быть так, что и спецы бы не помогли ). И второе - дополнительная защита может быть недостаточно сильной, но создавать у владельца иллюзию невзламываемой. Что лучше - открытый сид на бумажке, но хорошо спрятанный (так как очевидна его уязвимость) или "зашифрованный" сид на публичном сервере (но на самом деле со слабым шифром)?

[rosopond 1283]

26 minutes ago, igor72 said:

Помню, читал про случай, как человек в записанной сид фразе для надежности несколько слов местами поменял, а через какое-то время напрочь забыл какие. И пришлось ему спецов нанимать, кажется, за 30% всей крипты на этом сиде.

Врагу не пожелаешь такого расклада, особенно если на этом сидел висело 10-20 битков 🙂 Печалька отдавать 30% за свою невнимательность и легкомыслие. Нужно найти золотую середину в этой схеме, чтобы и не сильно замудренно и не слишком просто, время есть, знающие люди тоже, так что движемся дальше не забывая про безопасность.

[rosopond 1283]

17 hours ago, mdv said:

Ну у вас там целый клан посвященных леджероманов, мне пока что ваших премудростей не понять. 🙂Потом, попозже, посвятите меня в рыцари святого Леджера. А пока для себя не вижу особых опасностей в том, чтобы сиды хранить просто на бумаге.

Это хорошо, что ты уже принял решение, дело за малым 🙂 Приобретешь себе кошелечек и будешь пользоваться всеми его благами, а ведь их как ты знаешь не мало. Игорь уже придумал несколько надежнейших методов для скрытия сидки от посторонних глаз, поэтому все "ништяки" для тебя уже будут готовы 🙂 . Я считаю мои переживания по поводу хранения сидки на листке оправданы. Ну мало ли кто ее может найти даже чисто случайно. А так найдут кусок кода и какую-то несуразицу и пусть попробуют найти к этому шифру ключ. 🙂 

[igor72 758]

2 hours ago, rosopond said:

Печалька отдавать 30% за свою невнимательность и легкомыслие.

Ну да. Но некоторые и 100% отдают ).

2 hours ago, rosopond said:

Нужно найти золотую середину в этой схеме, чтобы и не сильно замудренно и не слишком просто

Золотая середина, на мой взгляд, это леджер/трезор + passphrase, 24 слова хранить в нескольких копиях в разных помещениях, passphrase - в голове + где-нибудь обязательно записать. Я еще использую мультиподпись для половины битков, но это уже не золотая середина )).

[rosopond 1283]

3 minutes ago, igor72 said:

Я еще использую мультиподпись для половины битков, но это уже не золотая середина )).

А я вот еще с этой темой не знаком, но понимаю что именно мульти подпись установлена на многих битковых кошельках китов, у которых тысячи, если не десятки тысяч битков и правильно делают, ведь при таком капитале нужно принимать соответствующие меры безопасности.

[Efferalgan 34968]

12 hours ago, rosopond said:

Ну а ты сам подумай. Вот нашли твою сид фразу записанную на бумаге. Не важно где ты ее спрятал и как глубоко в землю зарыл. Нашли и все тут. Т.е. злоумышленники тупо поймут что это и без труда если не сами, то при помощи знающих людей выжмут всю твою крипту, причем самое главное то, что им достаточно скопировать или сфотать сид фразу и положить на место, чтобы ты и дальше думал, что все норм, а в итоге биток уплыл.

Ну, в будущем возможно, сейчас сомневаюсь, что если какой-то воришка найдет мой блокнот, то что то поймет в моем корявом подчерке, это один вопрос, другой вопрос, что такой угрозы пока даже на горизонте нет, конечно надо максимально страховаться изначально, но этого пока мне достаточно.

[Morganshtern 1774]

11 hours ago, silens said:

Для начала нужно найти проверенный и защищенный кошелек. А потом подключить все методы защиты и аунтификаторы. Тогда шанса взлома будет практически минимальным.

Помимо этого нужно соблюдать безопасность в интернете,любой вирус даст доступ к вашему кошельку за пару минут,поэтому не скачивать с левых сайтов,и не лазить по левым сайтам 

[Amon920 11013]

9 hours ago, rosopond said:

Врагу не пожелаешь такого расклада, особенно если на этом сидел висело 10-20 битков 🙂 Печалька отдавать 30% за свою невнимательность и легкомыслие. Нужно найти золотую середину в этой схеме, чтобы и не сильно замудренно и не слишком просто, время есть, знающие люди тоже, так что движемся дальше не забывая про безопасность.

А мне кажется, вполне нормальная плата за урок, извлеченный из этого случая. Нет смысла придумывать ерунду, чтобы усложнить жизнь не только потенциальным взломщикам, но и самому себе)

[Wiseman 10489]

10 hours ago, rosopond said:

Врагу не пожелаешь такого расклада, особенно если на этом сидел висело 10-20 битков 🙂 Печалька отдавать 30% за свою невнимательность и легкомыслие. Нужно найти золотую середину в этой схеме, чтобы и не сильно замудренно и не слишком просто, время есть, знающие люди тоже, так что движемся дальше не забывая про безопасность.

Да тоже слышал про то что ходят байки\легенды про таких товарищей которые напрочь перебздели 😆 и тем самым наказали же только себя , по сути то и этого уже за глаза , взломать такую сид фразу нереально .