[Thread Ufficiale] Ledger Nano S - Hardware wallet

[Ghesbo23]

Te lo spiego io, ma solo una volta in più.
Il seed non dovrebbe POTER uscire dal dispositivo. In nessuna condizione.
Così era stato garantito, così non è.
Il Ledger, aimé, non è sicuro al 100%.

Sono d'accordo ma se danno la possibilità di scegliere, perché non dovrebbe essere sicuro?

 

[PGiulia]

Sono d'accordo ma se danno la possibilità di scegliere, perché non dovrebbe essere sicuro?

L'esistenza della possibilità di estrarre il seed sostanzialmente implica due cose:
1) un'autorità esterna potrebbe obbligare ledger a rilasciare o far rilasciare il seed. Con o senza scelta dell'utente.
2) un hacker potrebbe avere la possibilità di estrarre il seed.

Quando tutti credevano che il seed non fosse estraibile, per garanzia di ledger, queste due ipotesi erano escluse. Ora non lo saranno MAI più.
Senza citare la perdita di credibilità.

 

[PGiulia]

Mai e poi mai un cold wallet dovrebbe dare la sola possibilità di estrarre chiavi private. Figuriamoci il seed.
Personalmente riconosco di aver fatto un grave errore a fidarmi.

 

[Giulk_Reload]

Grossi guai per il wallet Ledger: l'aggiornamento è un fiasco!
qui c'è tutto

Meno male che sulla mia nano X c'è rimasto ben poco visto che ho re investito su exchange, sposterò pure le ultime cose e via, allucinante comunque .....

 

[Giulk_Reload]

Un recente caso studio evidenzia il rischio allarmante rappresentato dai cripto wallet falsi e l'importanza di acquistarli solo da fornitori ufficiali.

In questo caso, una vittima ha acquistato inconsapevolmente un portafoglio Trezor contraffatto, che ha permesso ai criminali di ottenerne il controllo e rubare 1,33 Bitcoin. Il dispositivo falso sembrava autentico ed era stato acquistato su un sito affidabile. L'aspetto e il funzionamento erano identici a quelli di un vero wallet, ma l'hardware era stato sostituito.

Vedi l'allegato 2904313

Ma il software non fa una specie di verifica la prima volta che colleghi l'hw per vedere se è originale proprio per evitare le contraffazioni? la mia nano X lo fà, questi contraffatti superano anche quel controllo e risultano come genuini?

 

[marchr1us]

Scusate, ma... Come fanno? Cioè potenzialmente possono recuperare la seed phrase di qualunque ledger? E io adesso dovrei stare tranquillo? Questa cosa è gravissima.

Praticamente nel ledger c'è una sorta di backdoor per recuperare la frase?

 

[Andre5198]

Ma per chi possiede un Nano S plus, tutto ciò non deve preoccupare, è corretto??

 

[marchr1us]

Ma per chi possiede un Nano S plus, tutto ciò non deve preoccupare, è corretto??

Solo il Nano S è al sicuro, ma solo perché è vecchio e non può avere certe """feature""". Dal sito Ledger:

Currently, Ledger Recover is compatible with Ledger Nano X. In the near future, it will be compatible with Ledger Nano S Plus and Ledger Stax as well.

Ledger Recover isn't compatible with Ledger Nano S.

Sono veramente dei paraculi, prima dicono che solo tu hai accesso alla tua frase, poi due righe dopo dicono che tre aziende diverse accederanno a pezzetti della tua frase nel caso tu dovessi aver bisogno del Recover, fornendo il documento di identità ecc. E certo e io dovrei fidarmi che queste tre aziende mai parleranno tra di loro? Parliamo della stessa azienda (Ledger) che ha subito un data breach dei dati di circa 300.000 utenti se ben ricordo, i dati erano nome cognome e indirizzo di casa...

 

[nonalias]

A questo punto l'unica soluzione resta un keyholder che sia
- perennemente off line
- open sources

Qualche suggerimento?

 

[PGiulia]

Solo il Nano S è al sicuro, ma solo perché è vecchio e non può avere certe """feature""". Dal sito Ledger:



Sono veramente dei paraculi, prima dicono che solo tu hai accesso alla tua frase, poi due righe dopo dicono che tre aziende diverse accederanno a pezzetti della tua frase nel caso tu dovessi aver bisogno del Recover, fornendo il documento di identità ecc. E certo e io dovrei fidarmi che queste tre aziende mai parleranno tra di loro? Parliamo della stessa azienda (Ledger) che ha subito un data breach dei dati di circa 300.000 utenti se ben ricordo, i dati erano nome cognome e indirizzo di casa...

Il nano S nasceva con pochissima memoria esplicitamente per evitare possibilità di infiltrazioni nel firmware.
Probabilmente questo lo mantiene al sicuro, cosa che mi da un certo sollievo visto che me ne rimangono alcuni e saranno gli unici che userò da ora in poi.
Ma voglio esserne certa.
Intanto mi studio a fondo ngrave zero. Affermano esplicitamente che il wallet neanche conserva il seed, ma vatti a fidare ancora.

In ogni caso, per quanto mi riguarda, Ledger ha CHIUSO, e si possono ampiamente sognare di avermi come cliente in qualunque futuro.

 

[PGiulia]

A questo punto l'unica soluzione resta un keyholder che sia
- perennemente off line
- open sources

Qualche suggerimento?

Non esiste.
Paradossalmente il nano S "potrebbe" essere il più sicuro, attualmente.
Il nano S plus no, troppa memoria.

P.S. Comunque è cosa buona e giusta monitorare costantemente il livello di memoria del wallet.

P.P.S. GridPlus to open source wallet firmware in Q3 amid Ledger debacle

 

[strelly83]

Scusate ma giusto per capire...questa diciamo fantastica funzionalità non è solo per chi si abbona appositamente a "Ledger Recover"?
io che ho la mia seed per i fatti miei e non mi abbono che problemi potrei avere?

 

[marchr1us]

Oltretutto poniamo il caso che io rubi un ledger in giro e il proprietario non se ne accorga e quindi non sposta le crypto, contatto la ledger, attivo il Recover e loro mi danno la seed phrase, grandiii... Ho già letto che ci rassicurano dicendo che chiederanno identificazione video bla bla capirai, posso sempre dare 100€ ad un barbone e me la fa lui la verifica... Più penso ai possibili scenari e più mi preoccupo.

 

[marchr1us]

Scusate ma giusto per capire...questa diciamo fantastica funzionalità non è solo per chi si abbona appositamente a "Ledger Recover"?
io che ho la mia seed per i fatti miei e non mi abbono che problemi potrei avere?

Il problema è di natura teorica, visto che ora sappiamo che potenzialmente la Ledger può risalire alla tua seed phrase. La seed phrase dovrebbe essere qualcosa noto solo a te. E' come se un dipendente di una banca potesse accedere alla tua password del conto corrente.

 

[12000point]

Il capolinea dei nano ?


PayPal inizialmente ha iniziato a consentire agli utenti americani di acquistare, vendere e archiviare Bitcoin, Ether, Litecoin e Bitcoin Cash lo scorso ottobre.
I piani per l'espansione nel Regno Unito e in altri mercati internazionali sono stati annunciati per la prima volta a febbraio, ma da allora ci sono stati pochi aggiornamenti.
Tutti gli occhi ora sono puntati sui piani di PayPal per il lancio di una "super app" che riunirà una pletora di servizi tra cui funzionalità crittografiche rafforzate.

Not Your Keys, Not Your Coins ??

L’evoluzione di SEBA Bank: supporto orientato verso i token DeFi e le crypto

alla fine sono più sicuri Binance , Coinbase, Bitstamp che offrono garanzie diverse dalla favola del Not Your Keys Not Your Coins,
discorso a parte per TheRockTrading che da quando aveva traslocato in Italia aveva dimostrato le lacune che hanno portato alla chiusura
ma oltre a Paypal ci saranno le banche tradizionali intenzionate a non perdere quote di mercato

 

[nonalias]

Non esiste.
Paradossalmente il nano S "potrebbe" essere il più sicuro, attualmente.
Il nano S plus no, troppa memoria.

P.S. Comunque è cosa buona e giusta monitorare costantemente il livello di memoria del wallet.

P.P.S. GridPlus to open source wallet firmware in Q3 amid Ledger debacle

Forse l'unico, ma dovrei controllare meglio, è Coldcard Wallet MK3.

Qui (Hardware wallet Air-gapped, senza connessione al PC e sicuri. - Hardwarewallet.it) una recensione, non saprei dire quanto aggiornata, sui hardware wallet air-gapped (mai connessi).

 

[Conte Nikula]

Il problema è di natura teorica, visto che ora sappiamo che potenzialmente la Ledger può risalire alla tua seed phrase. La seed phrase dovrebbe essere qualcosa noto solo a te. E' come se un dipendente di una banca potesse accedere alla tua password del conto corrente.

Lo hanno detto chiaramente

<<
(1/2) Technically speaking it is and always has been possible to write firmware that facilitates key extraction. You have always trusted Ledger not to deploy such firmware whether you knew it or not.

— Ledger Support (@Ledger_Support) May 17, 2023
>>

Immagino che se il sw di estrazione lo possono scrivere loro allora lo possono scrivere tutti.

Evidentemente basta sapere come fare.

Dunque la notizia sembrerebbe essere quella che il ledger non e' meno hackerabile di un hot wallet.

E la sicurezza della chiavetta e' evidentemente sempre stata solo un'illusione.

O no?

 

[nonalias]

Lo hanno detto chiaramente

<<
(1/2) Technically speaking it is and always has been possible to write firmware that facilitates key extraction. You have always trusted Ledger not to deploy such firmware whether you knew it or not.

— Ledger Support (@Ledger_Support) May 17, 2023
>>

Immagino che se il sw di estrazione lo possono scrivere loro allora lo possono scrivere tutti.

Evidentemente basta sapere come fare.

Dunque la notizia sembrerebbe essere quella che il ledger non e' meno hackerabile di un hot wallet.

E la sicurezza della chiavetta e' evidentemente sempre stata solo un'illusione.

O no?

Domanda: ma se uno non aggiorna il firmware e ne lascia uno "vecchiotto"?
Grazie @Conte Nikula

 

[marchr1us]

Appunto, è proprio questa la cosa grave, il fatto che sia sempre stato possibile per Ledger accedere alla tua seed, anche prima di questo annuncio. Se avessero annunciato che un nuovo modello di Ledger includeva il servizio Recover non avrei battuto ciglio, ma messa così è praticamente una backdoor nei Ledger già in circolazione. Oltretutto le cose che dicono su Twitter sono esilaranti per difendersi, del tipo "ma è un servizio opt-in" e "in ogni caso i nostri prodotti non sono per clienti con più di 50k dollari". Sono pazzi.

 

[Ghesbo23]

Quindi a questo punto è più sicuro tenere tutto su Binance e Coinbase