Home Foren Trezor Wallet Fragen zur Sicherheit von Hardware-Wallets

  • Dieses Thema hat 4 Antworten und 1 Teilnehmer, und wurde zuletzt aktualisiert vor 1 Jahr von trickleupup.
Ansicht von 4 Antwort-Themen
  • Autor
    Beiträge
    • #2283414
      root_s2yse8vt
      Administrator
      Up
      0
      Down
      ::

      Ich habe einige dieser Fragen in der Vergangenheit sowohl auf Trezor als auch auf Ledger gestellt, aber die meisten haben sie abgelehnt und die Antworten lauteten ….it kann niemals passieren.

      Nun, die Zeit ist seit meinen alten Beiträgen vergangen und es scheint, dass es viele schlechte Akteure mit großen Ressourcen gibt, die mit modernster Ausrüstung versuchen, die Sicherheit der Geldbörse zu knacken.

      Die jüngsten Nachrichten über Wallet-Hacks sind für mich verwirrend:

      \- Waren sie alle mit einer Software-Wallet verbunden, die eine begrenzte Anzahl von Zufallsgeneratorsequenzen verwendet?

      \- Ist es möglich, dass ein betrügerischer DEX-Swap-Algorithmus eine Wallet leeren kann, obwohl die privaten Schlüssel von einer Hardware-Wallet kontrolliert werden?

      ​

      Meinem Verständnis nach führt die Verwendung einer Passphrase dazu, dass eine andere 12- oder 24-Seed-Phrase erstellt wird. Aber die eigentliche Passphrase wird nicht in der endgültigen Seed-Sequenz verwendet. Das bedeutet, dass böswillige Akteure, die mit möglichen Kombinationen derselben 2048 Wörter spielen, das eigentliche Passphrasenwort nicht benötigen. Es ist also falsch zu sagen, die Passphrase sei wie ein 25. In Wahrheit wird lediglich ein einzigartiger 24-Wort-Seed auf der Grundlage derselben 2048 Wörter erstellt.

      ​

      Meine letzte Frage an die technischen Experten ist:

      # Ist es möglich, die Sicherheit so zu aktualisieren, dass die Passphrase tatsächlich enthalten ist? Würden Sie sich nicht sicherer fühlen, wenn Sie wüssten, dass die Passphrase, die Sie verwenden, tatsächlich zur Entschlüsselung der privaten Schlüssel benötigt wird? Die Wahrscheinlichkeit, dass jemand eines Tages “das tatsächliche Wort der Passphrase, das Sie gewählt haben” herausfindet, ist wirklich ∞.

    • #2283415
      matejcik
      Gast
      Up
      0
      Down
      ::

      >I have asked some of these questions in the past on both Trezor and Ledger, but most downvoted and the replies were ….it can never happen.
      >
      > (…)
      >
      >It is my understanding that the result of using a passphrase is to create a different 12 or 24 seed phrase. But the actual passphrase is not being used in the final seed sequence.

      Your understanding is wrong. The passphrase _does_ act as a 25th word. This renders your whole question moot: there is no point in “increasing security” to something that’s already there.

      (maybe your previous posts were downvoted because you confidently spout misinformation that could be debunked if you actually read an article about it? or maybe even the BIP-39 spec?)

    • #2283416
      ta1no
      Gast
      Up
      0
      Down
      ::

      Learn How To Stay Safe And Avoid Hacks & Scams!: https://www.youtube.com/watch?v=2yYdX_PNpA8&t=49s

    • #2283417
      brianddk
      Gast
      Up
      0
      Down
      ::

      I think this has all been hashed out, but I’ll see if there might be any missing pieces

      > Were they all related to a software wallet using a limited number of random generator sequences?

      The “OG” thread you mentioned from twitter referenced known UTXOs getting drained. I’ve seen no OG holder come forward and claim that their Ledger or Trezor was hacked. Without a victims first hand account of how they configured their OPSEC, it’s impossible for us to guess where they screwed up. That being said, software wallets can be trivial to hack, since, in some cases (unencrypted configs) all the attacker needs is access to the hard-drive. For hardware wallets, they either need to steal the physical hardware for a month or two, or find a poorly secured copy of your seed-mnemonic on your camera phone or password manager.

      > Is it possible that a rogue DEX swap algorithm can empty a wallet, even though the private keys are controlled by a hardware wallet?

      Yes, this is totally possible. Malicious EVM contracts are a thing. Hell the whole reason ETC forked from ETH was due to an exploit in the EVM.

      > It is my understanding that the result of using a passphrase is to create a different 12 or 24 seed phrase.

      No. BIP39 spec uses a passphrase whether you feed it one or not. If you don’t feed it a passphrase, the default is a zero length string (“”). Passphrase are in every BIP39 wallet whether you know it or not. When you change from a passphrase of “” to a passphrase of `this is my secret, there are many like it but this one is mine` then the entire seed generation peals off a different master seed and derivations all down the line. The super technical explanation in this thread should be referenced for where I got it wrong.

      > Is it possible to update the security to actually include the passphrase?

      Passphrases (often empty) are in every wallet whether the user enables them or not.

      > Wouldn’t you feel more secure if you knew that the passphrase you use is actually needed to decode the private keys?

      BIP39 uses a ONE-WAY encryption. There is no way to generate a seed mnemonic, even if you know every private key in the wallet. Because it’s one-way. This is spooky math voodoo that is unlikely to be wrong.

    • #2283418
      trickleupup
      Gast
      Up
      0
      Down
      ::

      I thought it was like using a 25th word.

      As far as Whale hacks, I would also add one more question/comment:

      Could it be a possible tax avoidance gimmick??

      Is the recent surge in Binance BTC wallet size due to people moving it out of cold wallets?

Ansicht von 4 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.