Холодные криптокошельки можно взломать

[Vaz0r]

Способ нашли израильские учёные из Университета имени Бен-Гуриона. В своей работе «BeatCoin» они описали метод кражи цифровых валют с фактически изолированных компьютеров.

Эксперты заразили вирусом не подключенный к интернету и локальной сети компьютер, на котором и был установлен криптокошелёк. После этого началось тестирование различной технику для того, чтобы понять какой метод кражи и передачи ключей на расположенное рядом устройство станет более эффективным. Оказалось, что вирус может заразить неподключенный к интернету компьютер с помощью установки кошелька или через съемное устройство.

Учёные использовали тепло, электромагнитное поле, звуковые сигналы, индикаторы загрузки жесткого диска, кулер компьютера, телефон.

Выяснилось, что наиболее оперативным методом передачи 256-битного ключа с заражённого сервера на удаленное устройство является использование техники AirHopper, MOSQUITO и Ultrasonic.

    «Мы доказываем, что, несмотря на высокую степень изоляции холодных кошельков, мотивированные злоумышленники могут украсть секретные ключи кошельков с воздушным зазором. При наличии секретных ключей злоумышленник фактически владеет всей криптовалютой в кошельке», — отметили сотрудники университета.

Напомним, взломы криптовалютных кошельков стали печальной данностью нашего времени. Например, в начале этого года жертвой хакеров стала компания-разработчик криптовалютных кошельков BlackWallet. Преступники похитили около 444 тыс. долларов в монетах Stellar Lumen.

Ссылка на оригинал статьи

[heyod hewow]

Оказалось, что вирус может заразить неподключенный к интернету компьютер с помощью установки кошелька или через съемное устройство.

Неправда. В таком случае заражение происходит сначала через экспертов, ибо "Эксперты заразили вирусом не подключенный к интернету и локальной сети компьютер" После этого началось тестирование различной технику для того, чтобы понять какой метод кражи и передачи ключей на расположенное рядом устройство станет более эффективным. Оказалось, что вирус может заразить неподключенный к интернету.... ))
Коктейль "Рекурсия", блдж, а не эксперты. ))

[Vaz0r]

Оказалось, что вирус может заразить неподключенный к интернету компьютер с помощью установки кошелька или через съемное устройство.

Неправда. В таком случае заражение происходит сначала через экспертов, ибо "Эксперты заразили вирусом не подключенный к интернету и локальной сети компьютер" После этого началось тестирование различной технику для того, чтобы понять какой метод кражи и передачи ключей на расположенное рядом устройство станет более эффективным. Оказалось, что вирус может заразить неподключенный к интернету.... ))
Коктейль "Рекурсия", блдж, а не эксперты. ))

К статье ещё видео прилагалось https://www.youtube.com/watch?time_continue=30&v=ddmHOvT866o забыл разместить.

[heyod hewow]

Оказалось, что вирус может заразить неподключенный к интернету компьютер с помощью установки кошелька или через съемное устройство.

Неправда. В таком случае заражение происходит сначала через экспертов, ибо "Эксперты заразили вирусом не подключенный к интернету и локальной сети компьютер" После этого началось тестирование различной технику для того, чтобы понять какой метод кражи и передачи ключей на расположенное рядом устройство станет более эффективным. Оказалось, что вирус может заразить неподключенный к интернету.... ))
Коктейль "Рекурсия", блдж, а не эксперты. ))

К статье ещё видео прилагалось https://www.youtube.com/watch?time_continue=30&v=ddmHOvT866o забыл разместить.

Три ржавых сатошки от меня:
- Raspberry Pi - это не компьютер толком-то и определенно НЕ Холодный криптокошелек, как это фигурирует в шапке новости. Это такое гуано на палочке, которое можно использовать для знакомства с компьютерами в младших классах в школах для детей с задержкой развития и лишней хромосомой.
- Как смартфон снял ЭМ сигнал с приблуды? У обычного смартфона нет аппаратной части для таких задач.
- Зачем приблуда в этот момент передавала пароль, она ведь не была подключена ни к вайфай, ни к блютуз, ни к юсб.. куда вообще этот пароль передавался? И каким образом?
- Резюме: "ученый изнасиловал журналиста" (с)
https://cs8.pikabu.ru/post_img/big/2016/06/24/9/1466781854132698956.png

[Nasa]

Я один не въезжаю в холодные кошельки? И дело не в этой статье, я гуглил, пытался понять. Хранить крипту на не подключённом к интернету ПК? Это как? Учитывая что в криптовалютных кошельках ВООБЩЕ НИЧЕГО не храниться! Все хранится в блокчейне, а кошельки, это всего лишь своеобразный ключ к счёту.

[heyod hewow]

Я один не въезжаю в холодные кошельки? И дело не в этой статье, я гуглил, пытался понять. Хранить крипту на не подключённом к интернету ПК? Это как? Учитывая что в криптовалютных кошельках ВООБЩЕ НИЧЕГО не храниться! Все хранится в блокчейне, а кошельки, это всего лишь своеобразный ключ к счёту.

Имеется ввиду под холодным хранением, что на не подключённом к интернету компе хранятся пароли (доступ) и этот комп на отшень-отшень короткое время подключают к сети, буквально на время, потребуемое для сформировать и подтвердить транзакцию, т.е. на несколько десятков сек или даже несколько сек, для особо шустрых.  И никакого серфинга по пронхабам, торрнтам и прочим соцсетям. Даже емейлов не должно быть.
Это все уменьшает почти до нуля вероятность заражения зловредами, ворующими пароли, как с текстовых файлов, так и из буфера в момент копипаста.

Но аппаратный кошель типа леджер-трезор и т.д. - еще надежней. Он хранит пароли в зашифрованном виде и не показывает их даже владельцу, нельзя случайно скопипастить и вставить куда не надо, нельзя пароли перехватить в момент ввода, поскольку они идут напрямую, а не через возможно зараженный комп..
Плюс две микросхемы безопасности, плюс маленькая собственная операционная система, плюс физическое подтверждение транзакции кнопкой..   

[Nasa]

Я один не въезжаю в холодные кошельки? И дело не в этой статье, я гуглил, пытался понять. Хранить крипту на не подключённом к интернету ПК? Это как? Учитывая что в криптовалютных кошельках ВООБЩЕ НИЧЕГО не храниться! Все хранится в блокчейне, а кошельки, это всего лишь своеобразный ключ к счёту.

Имеется ввиду под холодным хранением, что на не подключённом к интернету компе хранятся пароли (доступ) и этот комп на отшень-отшень короткое время подключают к сети, буквально на время, потребуемое для сформировать и подтвердить транзакцию, т.е. на несколько десятков сек или даже несколько сек, для особо шустрых.  И никакого серфинга по пронхабам, торрнтам и прочим соцсетям. Даже емейлов не должно быть.
Это все уменьшает почти до нуля вероятность заражения зловредами, ворующими пароли, как с текстовых файлов, так и из буфера в момент копипаста.

Но аппаратный кошель типа леджер-трезор и т.д. - еще надежней. Он хранит пароли в зашифрованном виде и не показывает их даже владельцу, нельзя случайно скопипастить и вставить куда не надо, нельзя пароли перехватить в момент ввода, поскольку они идут напрямую, а не через возможно зараженный комп..
Плюс две микросхемы безопасности, плюс маленькая собственная операционная система, плюс физическое подтверждение транзакции кнопкой..

Как по мне, все эти ухищрения, это от ляма зелени и выше, а те у кого 10-20к зелени, и они бегут за леджером, я считаю это маразмом. Я за защиту диверсификацией в данном случае.

[Vaz0r]

Единого мнения быть не может, каждый сам решает какой уровень защиты для него приемлем. Всё зависит от размера инвестиций и силы переживаний человека за них. Можно и Ledger использовать для диверсификации. +1 безопасный вариант хранения.

[Nasa]

Единого мнения быть не может, каждый сам решает какой уровень защиты для него приемлем. Всё зависит от размера инвестиций и силы переживаний человека за них. Можно и Ledger использовать для диверсификации. +1 безопасный вариант хранения.

По поводу диверсификации леджеров согласен. Но и суммы солидные должны быть. А еще леджеры бывает теряют, или забывают пинкоды)))) Идеального решения нет. Толи дело фиат, когда забыв пароль или потеряв карту, ты можешь с паспортом вернуть доступ ко всему, но там свои казусы. Вроде мошенников и/или государства. Одни принудительные возвращения снятых перед санацией депозитов чего стоят >_<.