В жизни каждого мужчины в /cc/ рано или поздно встаёт вопрос: нужен ли мне холодный кошелек, хотя 100% безопасности нет, как и везде в крипте ебаной?
Ответа на вопросы про холодные кошельки нет в FAQ закрепа, а интернет засран реферальными рабами, от чего искать незаангажированную информацию очень тяжело. Поэтому тред приглашаются владельцы холодных кошельков: опыт использования и ваше мнение помогут колеблющимся с покупкой.
Я нагуглил 4 самых популярных мегадевайса на рынке:
- Ledger
- Safepal
- Tangem
- Trezor
В общем-то, все они условно безопасные, если не пользоваться свапалками и прочим калом внутри приложения кошелька, а использовать только для места дислокации своей крипты.
В постах в треде буду делать обзоры на кошельки, пока не определюсь с выбором
В отличие от коллег, обладающих аккумулятором, кнопочками, дисплеем и проводником, тангем - это набор из 2 или 3 кусков (в зависимости от ресурсности покупателя) пластмассы с NFC-чипом внутри.
Факты о тангеме:
1. Ни разу не взламывался (пока), продано 2кк товаров.
2. Компания Tangem AG действительно зарегана в швятой Швейцарии.
3. Легко и дешево можно купить в РФ за 4к условно официально на Озоне, что как я понял делает лучшим для россиян.
4. Для использования нужно устройство читающее нфс чип.
5. Есть мобильное приложение с открытым исходным кодом.
6. В тангем 2.0 завезли возможность генерации сид-фразы.
7. Поддерживает много говнин и лохчейнов, даже говнеру.
Цена на оф. сайте: 50 - 80 баксов за 2 и 3 карточки соответственно.
Цена на озоне: 3.5-4к рублей.
Заявляют про гарантию на 25 лет.
На первой пикче - скрин тангема из видео 2020 года. После этого его завернули в стильный матовый черный. По факту хуйня на пикче стоит 6 баксов, если без маркетинга, а маркетинга дохуя.
Также у тангема появился предзаказ на носители без надписей, отправлять начнут с 11 декабря. Пока я такой нашел только на официальном сайте.
Мне понравился тангем: не нужны никакие зарядки и шнурки, выглядит удобно и даже безопасно.
Я листал отзывы на трастпайлоте. В принципе убедился, что никакого наебалова, только хуёвый саппорт и потерянные посылки.
Какой-то либерюндель (пик1) заметил российский след у швейцарской компании Tangem AG (уставной капитал 2,378,181 франков), на что тангем ответил, что это не мы + всё не так однозначно.
Заходим на озон, смотрим тангемы, видим продавца "Tangem". Цена в два раза ниже чем на оф. сайте в долларах, в отличие от safepal, который при стоимости 50$ на оф. сайте продается за 7к рублей. Смотрим продавца - ООО "Смарт Кэш" (5177746367772), учредитель ТАНГЕМ ЭЙДЖИ, Швейцария.
В общем ясно, что деньги не пахнут, в РФ много криптанов, рынок большой. Однако о чём ещё может врать Tangem?
Что это за хуйня? Базированно?
Ещё на пике 2 видно как тангем образца 2023 аки пластиковая бутылка скукоживается от огня за 2 секунды, почему-то решили не продолжать
Сижу на леджере s plus, простая хуйня как 2 пальца, к любому пк подключил и кайфуешь. Профит есть в виде 25 слова. Батарейки нахуй не нужны т.к. питается от кабеля, тобишь ничего не сгорит, экран всегда будет работать т.к. не тач а управление через кнопочки. Хуй знает зачем нужно что-то еще, если конечно вы каждую неделю не дрочите и не выводите крипту.
Спасибо за ответ, но лично мне подключать хуйню по юсб стремновато. Для этого нужно отдельное устройство, ибо нахуй надо что-то подцепить, плюс ставить линухс, который я не знаю
Плюс не всё в выборе так однозначно. Если не ошибаюсь хацкеры уже атаковали леджер, вернее LedgerConnect и спиздили $500к. Те кто не пользуются дец. приложениями не пострадают, но всё же.
https://www.rbc.ru/crypto/news/657b01799a7947db29484588
1. Нужно доверять проприетарной прошивке с закрытым исходным кодом и элементу безопасности Samsung
2. Невозможно ввести 25-е слово
3. Отсутствие наружного экранчика для проверки транзакци
4. Смущают разрабы из снг по которым мало инфы и общаются на хуевом рунглише
5. Мутные аудиты, но так кажется у всех кошельков
6. В интернете мало инфы по безопасности от незаангажированных людей
Нравится:
1. Зашкваров не замечено, есть полтора аудита
2. Не нужно никуда ничего втыкать
3. Норм приложение кошелька
Хоть авито, но вообще озон/вб. Первый раз создаешь кошель, на сид фразу хуй забиваешь, обновляешь кошелек, сбрасываешь его в 0.
Создаёшь повторно сид фразу и уже записываешь. Покупать только с чипами eal, версия не важна. Вроде у самого дневного трещора его нет
Какой выбрать для долгосрочного хранения крипты?
Трезор правда немного кастрированный, тот же трон сеть не поддерживается вообще, солану не постейкать. Но если ты тупо в ходл битка/эфира то норм
На Авито конечно, рил есть супер дешёвые экземпляры, на оф сайте $155 и хуй знает стоит ли доверять или нет. Когда уже ебаные санкции закончатся и можно будет за 150 баксов с оф сайта заказать.
Купи, у него была такая цена, просто курс пидор и на маркетплейсах прям очень высокая
На танджеме есть вариант сгенерировать сид фразу. И карт там несколько в комплекте, ты каждую в разное место кладешь, на них один и тот же секретный ключ лежит.
>Если тот же сид я введу в обычный горячий кошель я получу доступ
Да
Нахуй леджер с его закрытым кодом, а все их вскукореки про «код закрыт шобы нильзя была взламать при физичискам доступе» говно ебаное
Запомните, если к вашему холодному кошельку кто-то получил физический доступ -> вы проебали бабки
тангем русские и делали. След они нашли, лол. Но кошелек классный. Сид фразу никто спалить не может.
ну к примеру у тангема того же, сид фраза визуально нигде не появляется никогда. То есть, если в теории, при создании сида у других кошельков, они появляются на экране, и их можно скринить, то в тангеме сид генерируется алгоритмом при создании кошелька при помощи карт. И карты являются сидом и доступом к кошельку. Очень прикольная и умная система. Наиболее удобная из всех современных, как по мне.
>>1168258
Лучше не генерить сид фразу, а иметь 3 карты заныканные в разных местах. Какой смысл генерить сид, если весь прикол тангема в его визуальном отсутствии?
> покупайте холодные ТОЛЬКО с офишл сайтов
Никто и не против, но как? Заебываться с посредниками только.
А вот и параноик, много там наанализировал в открытом коде? Ну или там пруфы что леджер пиздит деньги у людей
Но если физически все карты будут утеряны, то восстановить денежки уже не будет возможности?
Нет, но я не знаю как можно умудриться хотя бы одну проебать, а тем более две или три сразу. Тем более шансов того, что твоя сидка в единичном экземпляре будет скомпрометирована или утеряна гораздо больше
Там если не ошибаюсь легит чек в приложении проходится, если сабж подделка он у тебя даже не инициализируются, почти со всеми аппаратными кошельками такая хуйня
а сид фраза, что, утеряна быть не может? Или ты ее в облаках каких-то в инете держишь? Ну так ты еще больше рискуешь тогда.
Насколько нужно быть тупым, чтобы не выучить наизусть 12 слов?
Разве что у дегроидов.
1) проебал кошелёк - восстанавливаешь по памяти
2) проебал память - делаешь новый кошелёк и переводишь туда бабло
А вот записывать слова может только умственно отсталый, особенно если живёшь в квартире, тем более в арендуемой. В любой момент к тебе приедут уважаемые служащие и проверят хату на наличие запрещённого и внезапно твоя бумажка куда-то пропадет вместе с криптой. Вариант только если у тебя своя земля и ты можешь её закопать только сам потом хуй откапаешь
Нет, я же не лох какой-то. Я храню бэкап в телеграме в сохраненках, там все зашифровано протоколом mtproto, разработанным гением математики Николаем Дуровым.
Да, заплатил даже заморскому барину за данную фичу, совсем там охуели, не хотят брать мои биткойны
>как получить доступ к денежкам в случае пожара?
Хранить хотя бы 1 из 3 карточек там где нет пожара
+ в тангеме сид фраза теперь есть
✔️ Можно ввести кастомное 25 слово в сид-фразе
✔️ Поддерживает много монет
✔️ Вроде можно заказать с оф. сайта, в списке выбора стран для доставки есть Russia
✔️ Есть дисплей
❌ Вероятно твоей крипте пиздец если ты воткнул кошелек в зараженное устройство, не air-gapped
🚩 В 21 году был слив контактных данных пользователей
🚩 Были прецеденты фишинга со смарт-контрактами на дексах, гуглите и думайте сами
В июне 2021 года произошла утечка данных клиентов Ledger, в результате которой злоумышленники получили доступ к именам, адресам и контактным данным пользователей. Эта информация использовалась для фишинговых атак, включая рассылку поддельных устройств с целью кражи средств.
В декабре 2023 года была обнаружена уязвимость в сервисе авторизации LedgerConnect, что поставило под угрозу крупные криптосервисы. Хакеры внедрили вредоносный код, позволяющий списывать средства с кошельков пользователей при взаимодействии с ним. Уязвимость была оперативно устранена, однако инцидент вызвал обеспокоенность в сообществе.
- Trezor (10 лет на рынке)
✔️ Можно ввести кастомное 25 слово в сид-фразе
✔️ Фулл опенсорс, даже аппаратный код
✔️ Есть дисплей
❌ Поддерживает малое количество монет, например отсутствует сеть TRX
❌ Вероятно твоей крипте пиздец если ты воткнул кошелек в зараженное устройство, не air-gapped
🚩 2 прецедента, когда криптой могли завладеть злоумышленники, но только при физическом взаимодействии с кошельком
- Safepal (6 лет на рынке)
✔️ Есть дисплей
✔️ Поддерживает много монет
✔️ Опенсорс приложение, удобное
✔️ Есть модель кошелька фулл опенсорс
✔️ Вроде можно заказать с оф. сайта, в списке выбора стран для доставки есть Russia
✔️ Полностью изолированный (air-gapped) кошелек, не имеющий подключения через Bluetooth, Wi-Fi, NFC или USB (невозможность перехватить сигнал)
❌ Нет десктопного приложения
❌ Нельзя ввести кастомное 25 слово в сид-фразе
🚩 Сделан китайцами (стрёмно)
- Tangem (6 лет на рынке)
✔️ Опенсорс приложение
✔️ Самый дешевый
✔️ Интересный и простой в хорошем смысле концепт
✔️ Вероятно самый большой срок годности
✔️ По желанию генерирует сид-фразу
✔️ Удобное мобильное приложение
✔️ Если кто-то получит карточку ему нужен будет ещё и пароль
❌ Нету дисплея, некоторые этого стремаются
❌ Транзакции подписываются через NFC, что делает его не air-gapped
❌ Нельзя ввести кастомное 25 слово в сид-фразе
❌ Дешевизна продукта (себестоимость на деле копейки)
❌ Закрытый аппаратный код
❌ Невозможность восстановить если по какой-то причине вышли из строя все чипы в карточках и не была сгенерирована фраза
❌ Нет десктопного приложения
🚩 Сделан в снг (стрёмно)
>Поясните на пальцах
https://www.bitdefender.com/en-gb/blog/hotforsecurity/atomic-wallet-users-lose-35-million-worth-of-crypto-assets-in-weekend-hack
> приложения кошельков для русни окуклились
У приложения для всех холодных кошельков открытый код, через чатжпт сможешь себе сам собрать кошелек заново
>🚩 2 прецедента, когда криптой могли завладеть злоумышленники, но только при физическом взаимодействии с кошельком
хотя мне кажется при физическом взаимодействии с кошельком любому будет пиздец
> вероятно твоей крипте пиздец если воткнул
каким образом, любое действие с криптой/прошивкой тебе надо физически подтвердить на физическом кошельке, если ты блять не читаешь что у тебя на дисплее пк + дисплее кошелька ну ты идиот значит. То есть представим что твой комп взломали хакеры и нацелились на 100 долларов, единственное что могут они попытаться это при транзакции подменить адрес кошелька на экране пк, но на дисплее кошелька ты увидишь хуйню которая не совпадает.
>Сделан пендосами (стремно)
>Сделан китайцами (стремно)
>Сделан в снг (стремно)
Вообще из всех танджем лучший имхо. Если юзаешь в паре с айфоном, компрометация приложения невозможна. Из всех приложений кошельков у танджема оно лучшее, сам стоит копейки (свой брал на распродаже на озоне буквально за 3к с промиком). Про то, что отпадает ебка с сид фразой вообще молчу. Вот вы боитесь, что кто-то спиздит какой-то уязвимостью ваши бетховены, а шанс того что вашу почеркушку с 24 словами кто-то украдет гораздо выше.
У сейфпала кстати есть десктоп приложение в виде расширения в браузер и у х1 кошелька опер сорс прошивка. Кстати конкретно х1 раздавали за буквально 10 баксов и прохождение квеста по типу обменяй монетки в разных сетях, свой именно там и залутал
Да, но это нахуй не нужно и убивает весь смысл тангема. Скачай тогда метамаск и сгенерируй себе сид, будет то же самое.
>Когда уже ебаные санкции закончатся
Санкции не работают, сынок. Смеешь перечить Великорослому Бурноволосатому Альфа-Самцовому Лидеру?
Вроде бы есть промокод MONEY на 20%
>х1 раздавали за буквально 10 баксов
На х1 есть промики к слову на скидку 40$
Находится почти под любым видео с обзором на сейфпал
Недавно проверял, по идее всё ещё действительные
Если ты проебешь это устройство, или, что вероятнее, у тебя его спиздят, твоя крипта уходит в зрительный зал.
Линух + подписанные автором бинарники кошельков, которые обновляются только вручную.
Диск ОС зашифрован.
Пароль только у меня в голове, спиздить можно только паяльником.
А эти флешки блять - это палево лютейшее.
Так ты самое главное не сказал. Какой кошелёк-то держать под этими семью замками? Ну ладно электрум поставил для битка. Ладно монеро-кошелёк ещё. Но дальше-то что для остального?
Самое главное не сказал, кому твои три доллара нахуй сдались
Посыл в том что бы защищаться от взлома пекарни. В целом, если ты сидишь на ios то можно на это все хуй забить, только сид фразу в облаке не хранить как долбаёб
Есть мнение, что чип может размагнититься. С картами VISA бывали случаи, когда NFC переставало их читать. А если у кошелька есть сид фраза, то кошелек перестает быть таким не взламываемым. Другое, дело, конечно, если сид фразу где-то скрытно записать и никогда нигде не вводить, пока NFC не наебнется. Но все же тогда остается взлом через перебор слов фразы.
А теперь почитай про уязвимость CVE-2024-44131, найденную буквально на этой неделе. Она не просто забирала с облака, она сначала вместо тебя выкачивала в облако данные с телефона, а потом уже их забирала. И непонятно, сколько еще подобной дичи, о которой пока еще не знаю массы.
На холодных кошельках тоже находят, ничего, патчат. А теперь берем тангем, там находят уязвимость, и ой, обновиться то нельзя. В помойку.
Черная карточка без надписей, которая лежит в стопке скидочный карт. Одна у тебя, вторая у твоей бабушки. Третью можно кинуть в гаражной яме в грязь, пусть валяется. Никто в жизни не поймет, что это - кошелек.
Не понимаю, где там может быть уязвимость. Грубо говоря, это карточка, на которой записан твой приватный ключ, совмещенный с аутентификатором. Там больше ничего и не нужно, то. Смысл в том, что эти данные светятся только в момент подтверждения транзакции, буквально на 1 секунду. Твоя сид фраза, она - вечна. Обычный приватный ключ такой же вечный. Аутентификатор в виде USB, вставленный в комп, воруется трояном, и пусть он тоже ограничен во времени, но каждый новый ключ тут же будет спизжен, пока он вставлен в комп. А преимущества карточки, что если что-то и получится спиздить, то только этот мгновенный код, который тут же поменяется. Если уж и будут уязвимости, то в приложении. А у карточки дело тупое - светить код, и все. Тема крутая, но размагничивание - стремная штука.
Карточки с NFC-чипами (напр. банковские карты) устойчивы к размагничиванию, NFC-чипы не зависят от магнитной полосы
то есть опять приходим к тому что тангем не секюрнее обычного приложения на ios раз его могут взломать
>Не догоняю смысла этой хуйни.
Потому что не знаешь как работает. Нормальные девайсы защищены паролем. Вводится на устройстве, количество попыток ограничено, после N-ой всё стирается. Твой ключ на ПК не передаётся никогда, только подписи транзакций. Транзакция выводится на экран девайса, подтверждаешь кнопкой на девайсе. Похуй, сколько троянов у тебя на ПК.
>>1167350
>1. Нужно доверять проприетарной прошивке с закрытым исходным кодом
>3. Отсутствие наружного экранчика для проверки транзакци
Параша, дальше можно не смотреть.
Хуйнёй вы тут занимаетесь, уважаемые.
Нахуй это ваше пижонское железо никому не нужно! Только сорта говна перебираете.
Всё уже придумано и реализовано.
Смарт, как подписывалка/железный кошель.
AirGap Vault
https://airgap.it/supported-wallet/
>Смарт, как подписывалка
А потом оказывается, что в апке бекдор и при определённых условиях она выдаёт qr-код не только с подписью, а и с твоим приватным ключом.
Совсем как леджер.
Да, такой случай теоретически возможен.
Для таких случаев есть иось и педофон.
>Совсем как леджер.
Не совсем, там хотя бы транзакцию подписать нужно было.
Но леджеры обосрались, согласен. Раз технология незрелая и не рассчитана на контракты, нехуй вообще давать их подписывать.
В принципе, глядя на перечень поддерживающих этот способ кошельков, я склонен доверять такому решению.
BlueWallet или Metamask со всяким блудняком вязаться бы не стали.
Опять же, дополнительно предлагают и совсем жёсткое решение в виде airgap-knox - вырубаются вообще все радиоинтерфейсы и мобила становится чисто железным кошельком. Но уже за деньги.
Сразу ку а народу на этом погорела, так как ломается тупо перебором по словарю.
Но при разумном подходе этот вариант совсем неплох. Нету тела - нету дела.
А ведь когда-то была годная контора НТС, которая захуярила криптофон с полной нодой битка и секюрным чипом для ключей.
https://www.htcexodus.com/us/cryptophone/
Хм, а для манеры, оказывается, Cupcake так работает
Недурно…
AirGap Vault реально годное решение. Основные кошельки и монеты поддерживает. Ащще заебокъ!
имхо, тангем сейчас, идеальная форма кошелька. Там только карта, она никак не выйдет из строя. Лежит где-то у тебя в ебенях, и пролежит так хоть 50 лет и нихуя ей не будет.
Этот формат хорош для ЭЦП, когда при утере ты просто аннулируешь ключи и выпускаешь новые, но для ключей шифрования - это полный пиздец, проебал ключ = проебал токены.
А с тангемом у тебя сида/приватников нет вообще изначально. Ты с самого начала отдаёшь себя в руки судьбы, электромагнитных излучений, кривизны чипа, качества ГСЧ и недобросовестности создателей.
Cupcake, настраиваешь airgap с Cake Wallet и довольно урчишь
Я хотел что бы все было в ledger live в одном приложении, чисто для удобства.
В 99% нас обычных криптанов никто не будет воровать с палкой в руках так что эти степени безопасности хуйня, у меня и так пароль в голове на 30 символов.
Я был готов отдать 10к за один кошелек который может все монеты держать, а разные кошельки я и сам могу скачать и на виртуалке зашифрованной держать.