1承認済み名無しさん2022/01/27(木) 14:30:29.39ID:BBXr91f7
ハードウェアウォレットもファームウェアからハックされるリスクがあるって散々言われてるしそれほど驚きはないよな
ただ仕組み上そんな事(鍵を抜き出す)は可能なのか?って疑問はあるけども
310承認済み名無しさん2023/05/17(水) 20:52:50.58ID:mDkx/UBL
もう終わりだよこの会社は。自分しか秘密鍵わからないから安全だと思って買ってた製品なんだから
311承認済み名無しさん2023/05/18(木) 08:23:39.14ID:D8YuTWSH
Ledgerのシェアが大きい理由って昔だったらXRPとか草コイン需要だったんだろうけど
今はビットコイナーとイーサリアンがほとんどなんだから安いTrezor Oneで十分なんだよな
Trezorはハードに鍵抜かれる欠陥あるから論外でしょ
313承認済み名無しさん2023/05/18(木) 09:20:22.15ID:D8YuTWSH
Trezor本体が攻撃者の手元にあるのが前提だし
パスフレーズ追加で防御出来る
Trezorはオープンソースだからね。
追加のパスフレーズ使えば問題ない。
そして盗まれなければチップの解析もされないのでOK
レジャー社は世界からハードなレッスンを受けることになるだろうな
319承認済み名無しさん2023/05/18(木) 21:05:56.65ID:a+mxTEnA
>>307
どこでオフオンするの?
絶対にオンにしたくないから教えて 320承認済み名無しさん2023/05/18(木) 21:07:26.91ID:u4FFkQtn
ジョーって人のYouTube見てledger買ったけど、今ツイッターみたら鍵垢になってた
結局それもクローズドソースで実際に送られないかどうかは確認出来ないんだよな。
オープンソースにしなきゃ終わりだよもう
325承認済み名無しさん2023/05/18(木) 21:47:55.46ID:JRjvh4xa
買ったばかりなのに最悪なんだが
327承認済み名無しさん2023/05/18(木) 22:02:42.26ID:h6VUeA//
まあ代替がない以上ユーザーとしては使い続けるしかないわな
>>321
自動でオンになるならないは問題じゃない
鍵を抜く機能があるっていうのが問題 キー抽出を不可能にするのがハードウェアウォレットの目的なのに、キーを抽出してネットワークに送信するプロセスが内包されてるサービス開始
サービスを通じてキー抽出は可能だと公式に宣言してる
この会社はアホなんか
331承認済み名無しさん2023/05/19(金) 20:37:52.69ID:dFGp2JV3
これほんとやばいよな。今ごろ北のハッカーたちはこぞってシードフレーズ抜き取る方法探してるよ。
トラストレスが売りなのに、オプション機能だから大丈夫と信じろとか
>>331
偽ファームウェアでハッキング自体は昔からあるしハッカーにとっては今更の情報かもしれないけどな 別の製品を出して、それのみ対応したらいいのに。安全性を根底から覆すの止めて。
336承認済み名無しさん2023/05/20(土) 08:42:12.13ID:A/PzmIii
2022/11/15
こんにちは。あなたの秘密鍵は決してハッキングされていないセキュア エレメント チップから離れることはありません。 Secure Element は第三者によって認定されており、パスポートやクレジット カードで使用されているものと同じテクノロジーです。 ファームウェアのアップデートでは、セキュア エレメントから秘密キーを抽出できません。
2023/5/17
技術的に言えば、キーの抽出を容易にするファームウェアを作成することは、これまでも、そしてこれからも可能でした。 あなたは、知っているかどうかにかかわらず、Ledger がそのようなファームウェアを展開しないことを常に信頼してきました。
もう別の製品でやれとかそういう問題じゃない。すべての客を騙してた
これって政府とかからの要請があるの?意固地すぎる。
ColdCard興味あるんだけど、ボタンポチポチすることが多くて面倒そうだけど、意外とボタン押す機会少なかったりする?
例えばパスフレーズ設定してるウォレットにアクセスしたいときって、ウォレット側で毎回ポチポチパスフレーズ打つ必要ある?
339承認済み名無しさん2023/05/20(土) 15:01:49.07ID:aSq5xoXZ
>>338
パスフレーズをSDカードに保存して読み込む事が出来る 341承認済み名無しさん2023/05/20(土) 17:14:25.90ID:aSq5xoXZ
そしたらまた自分で手打ちすればいいだけだよ
むしろセキュリティ的にはパスフレーズはSDに保存しないで
毎回自分で手打ちした方がいいわけだし
慣れればポチポチ打ち込むのも結構簡単
342承認済み名無しさん2023/05/20(土) 19:25:43.49ID:HXGYu1iZ
あざす!あのsdカード使い方謎だったけどそういう用途にも使えるのね
343承認済み名無しさん2023/05/20(土) 20:45:17.88ID:y0wVloNF
レッジャー買ったばっかりなんだよ!!どうすりゃいいんだよ。
ネットに直接繋がなければ安全なんじゃね
既に抜かれてなければ
いろいろ騒がれたけど、今すぐリカバリーシードが漏洩するわけではないし、すぐ乗り換える必要もない。大慌てする必要はないようだね。
ファームウェアをバージョンアップしない方がリスク抑えられるのかな
おそらくそうだね。
まとめると、Ledger nanoではセキュアチップ(保護された安全なリカバリーシードが収納されたICチップ)の重要な情報(シード)には外部からアクセスできないように、しっかりプログラムされたファームウェアが守っている。これは公開されていないコードのファームウェアなのでレジャー社を信じるしかない。
言い換えるとファームウェアにミスがあったり偽物のファームを導入してしまうとシードが外部に漏れ出る可能性は当初から常にあったということになるし、それはレジャー社も認めている。
Trezorはソフトを公開しているのでコードを読めば安全かどうかは検証できるのでTrezor社をただ信じるというのとは少し違い、信用度を公に確認できる。
今回、レジャー社はリカバリーシードを3分割して3者に別個に提供するというオプションとしての選択肢をファームウェアに組み込んだ。レジャー社を信じるなら、それを希望しない人には従来どおりの安全性が維持される。
安全性が維持されているということになるはずだ。(←レジャー社の説明です。)
これをどう捉えるかは議論の真っ最中ということになりますね。
レジャー社がなぜこういう選択肢を増やしたかについて、今後暗号資産が普及していくに従い、シードをなくしてしまう事故が増えてしまう。それを防ぐために必要なアイデアだということのようです。
そもそもシードやそれを書した類のメモを紛失するなって話無くす奴の気がしれん
間抜け対策に巻き込まれるのは本当に困る
やるのはいいしニーズもあると思うけど、別ブランドとしてやってほしい
352承認済み名無しさん2023/05/21(日) 11:51:58.33ID:8btNR8hW
シードが外部に漏れ出る可能性はないと言ってたのだから詐欺だよな
353承認済み名無しさん2023/05/21(日) 12:07:09.62ID:R3GwH61K
>>347
攻撃者はオプションをオンにするトラップを作ればいいんだからセキュリティはかなり低下したと思うよ jade使ってる人いる?60ドルぐらいで結構良さそうなんだよな
355承認済み名無しさん2023/05/22(月) 09:38:25.52ID:3oMlmiXA
HWWを複数台使ってる人は
どんな感じで使い分けてるのかを聞いてみたい
TrezorとLedger を同じシードで動かしてどちらも同じように使えることを確認して楽しむ。
358承認済み名無しさん2023/05/23(火) 08:30:59.47ID:8ILXrj1t
>>355
ステーキング用と保管用
保管用は一切ウォレット接続しないようにしてる Hotbitから出金しておいたほうがいいかも。ASAP