Reprise du message précédent :

 
La photo ça reprend juste automatiquement le logo de la chaine youtube qui est en cache, tu pleures aussi sur les favicons ?  
et pour les donations aux sites non vérifiées c'est indiqué clairement dans la faq et quand tu fais une donation ceux qui l'acceptent c'est bien indiqué:
 
https://reho.st/preview/self/903332 [...] 723731.png
 
à priori ils vont ajouter une mention pour les "non vérifiés" pour les neuneus qui enverraient de l'argent dessus sans vérifier au préalable comment ça fonctionne...

Oui j’aurais dit aussi que ceux qui installent Brave ont compris le principe de base...
 
Et non ils ont pas « repris sont identité » mais juste le logo de la chaine YouTube (comme ca peut se faire dans 10000 contextes), stop à l’obscurantisme
 
En tout cas me semble pas une volonté scammy mais juste d’avoir l’UX qui correspond à la vision du projet. Bref ils vont mieux expliquer c’est l’essentiel.  
 
Sinon BTCP ont fait une premine en loucedé :
https://coinmetrics.io/bitcoin-private/
Article super intéressant (qu’il faudra que je relise d’ailleurs pour bien tout comprendre, c’est assez technique)

Le BTCP
Le coin qui a fait une pre-mine secrète de 2 millions de BTCP, et dont le fondateur a déjà vendu 300k discretos
Le coin qui prend -20% seulement

Si quelqu'un intègre le BAT sur Hfr, j'en envoie a Dune

(J'en ai 0 pour le moment)

 
c'est pas gagné:

 
en plus il me semble que Marc est pas trop pro-crypto, enfin c'était le cas en 2013-2014, on peut pas dire qu'il ait eu le nez creux  

je pense pas qu'il s'en veuille tellement d'avoir raté cette occaz
le problème c'est surtout qu'il s'occupe plus trop du site donc si ya besoin de son aval, c'est pas fait

Quelqu'un aurait-il sous la main l'image du gars qui regarde une chaine de montagne et voit le cours du BTC degringoler ?

Tous les shitposts ici sont du régurgité des top posts de reddit. Genre là c'est le #3: https://www.reddit.com/r/Bitcoin/to [...] op&t=month

Nickel, merci!  

Après avoir vendu mes 22 BCH à 180.5€ /u il y a 4 jours, j en rachète à 131€.  Ça a du bon de "faire tout ce qu'il ne faut pas faire"

Joue au loto plutôt, non?

Comme tout le monde ici  

Non pas du tout

J'opte pour la fameuse technique des experts de la crypto dite ca va être vendredi ca va monter.    
 

On ne peut pas le miner le CREDO, pas de bol.

Ca fait plus d'un an que je ne m'étais pas connecté à mes différentes plateformes de trading, je voulais solder les dernières petites positions pour mettre tout en BTC, ça doit faire dans les 30€ ....
 
quelle galère...
 
Sur Kraken, mon compte a été désactivé soit disant parce que mon pseudo est trop générique et qu'il y aurait eu des tentatives de connexion...
Sur Kucoin, obligé de demander au support le reset des questions de sécurité... en fournissant des selfies avec CNI, vidéo en prononcant un texte etc....
 
tout ça pour 30€....
 

 
Ce n'est pas parce que son cours a augmenté qu'il serait forcément rentable s'il était minable.

 
Pas faux.

pourquoi le pump? je vais pas me plaindre ca va être vendredi ca va monter

Le hack de Electrum    

 
Très improbable vu l'équipe de dev  

Regarde le comm au dessus de celui que tu as quoté

Intéressant la (pseudo-)sybil attack grandeur nature
https://twitter.com/mikko/status/10 [...] 46496?s=21

Comme quoi faut se méfier des clients SPV / avoir son propre node. Et faire gaffe au phishing bien fait...

(D’ailleurs je pensais qu’Electrum se connectait a une liste prédéfinie de trusted-servers ; edit après recherche : oui, mais après il y a de la peerdiscovery)

faut surtout avoir un hardware wallet...

 
J'ai tout lu et je maintiens, j'ai participé au lancement de cette merde, il n'y avait pas d'équipe de dev, ca lâchait des bounty à plusieurs k$ pour tout et n'importe quoi et personne ne validait le code
Vu qu'il avait tous des QI négatifs dans leur équipe, c'est impossible qu'il ait pu faire un truc aussi intelligent
 

Intéressant

Toi t'as lu un sticky débile sur reddit et tu crois que c'est une "sybil"
C'est un bon gros hack de la wallet surtout, ouais
C'était pas juste du phishing comme les mecs de /r/bitc*n essaient de dire pour minimiser, c'était un hack.

Ben... non (et je vais jamais sur Reddit).

Ya tout dans le tweet que j'ai lié (notamment le lien vers l'issue github).

Le principe de l'attaque c'est de faire télécharger à l'user une version vérolée d'Electrum, qui elle fait les dégâts (= phishing).
Elle est mise en oeuvre via des dizaines de serveurs Electrum malhonnêtes, qui se glissent au milieu des serveurs honnêtes (= sybil) (j'ai d'ailleurs écris pseud-sybil car on peut nuancer le terme pour plein de raisons que je vais pas détailler).

L'attaque joue certes sur une faiblesse dans la mise en forme des messages d'erreurs provenant du serveur... comme tout phishing bien fait quoi.

Parler de "gros hack de la wallet" bon déjà c'est pas très précis, mais c'est surtout sensationnaliste et ça sous-entend qu'il y avait une faille de sécurité fondamentale dans le soft, ce qui n'est pas (du tout) le cas.

Et d'ailleurs je ne cherchais pas du tout à minimiser l'importance de l'attaque.

Et je signale ton post, t'as déjà fait partir des gens biens avec ton trolling, le ton moqueur et condescendant ça va 5mn.

Oui of course. Et tout le temps check l'adresse d'envoi/réception, sans faire confiance au soft qui peut se faire corrompre.
Perso par ex j'ai tendance (pour de petits montants) à utiliser Ledge Live en réception sans brancher le Nano S, c'est le genre de news qui fait toujours un bon rappel ^^.

Sauf que le phishing, ça se fait en cherchant à imiter la vraie source, du style tu as un mail de hardvare.fr.ru qui te dit que ta commande a été livrée et qu'il faut payer 50€ pour les frais.
Là, la wallet a été hackée, et c'est la wallet elle-même qui a affiché ce message, qui était donc de source censée être sûre.
Il y a une narrative qui court sur les forums (partie de reddit, d'où mon accusation) qui est relayée et qui cherche à minimiser le hack en le faisant passer pour un "gros sybil". Ce qui fait allègrement passer sous le tapis qu'en réalité, c'est pire que ça, la wallet a été trompée, et en plus, pour que l'attaque fonctionne, il fallait un gros nombre de serveurs corrompus.
Les serveurs de la wallet Electrum sont choisis au hasard. Mais même si tu héberges un serveur corrompu, tu ne pourrais en aucun cas prendre les sous de la wallet. En temps normal, ce genre de serveurs n'aurait donc pas été un problème. C'est différent quand tu arrives à infecter les wallets directement.
 
La raison pour laquelle ça m'énerve tout particulièrement de faire passer ça pour une sybil, c'est que du coup ça évite de se poser des questions sur la sécurité des wallets. En vrai, si Electrum a été attaquée, toutes les wallets sont potentiellement vulnérables, et ce même si on fait confiance à raison au tiers qui maintient la wallet.
Et ça, c'est une lacune - jusqu'à preuve du contraire irrémédiable - des systèmes monétaires complètement décentralisés. Imagine ça avec un bitcoin à l'échelle mondiale, 10% de la population perd son argent ?
Mais bien sûr, aucune discussion, on préfère dire que c'est une Sybil (sous-entendu que ça ne sera plus un problème quand le réseau grandit suffisamment).
 
Heureusement que le ton moqueur et condescendant n'est pas monnaie courante. Profites-en pour rapporter à la modération ceux qui traitent les autres de bouffons

Je suis totalement d'accord qu'il faut se poser la question de la sécurité et de l'intégrité des différents soft & thirdparties couramment utilisés dans l'écosystème Bitcoin.

Je n'avais pas connaissance du narratif "on dit Sybil pour minimiser".
Pour moi justement Sybil = warning dans le sens où c'est facile à exécuter à l'ère du cloud où n'importe qui peut launcher des centaines de serveurs sur des centaines d'IPs pendant quelques heures à la demande.
Après là on n'est pas dans une logique de "réputation sur un réseau P2P" donc c'est un peu HS quoi qu'il en soit.

De la même manière, "phishing" ça veut pas dire "c'est pas grave". Au contraire, une attaque phishing maligne qui n'exploite aucune faille technique peut faire beaucoup + de dégâts qu'une faille technique effectivement mais super pointue et exploitable que dans des conditions très particulières.

Et j suis allé voir le fameux sticky Reddit, ça parle de "critical phishing attack" (et c'est en sticky ), j'ai pas l'impression que l'attaque soit particulièrement minimisée non plus .

"Sauf que le phishing, ça se fait en cherchant à imiter la vraie source."
Ben ouais, on est en plein dans ce cas.
Si tu ne vas pas télécharger le nouveau soft vérolé sur la fausse URL github, il n'y a aucun soucis pour tes fonds.

"la wallet a été hacké"
"quand tu arrives à infecter les wallets directement"
T'as bien compris que la seule faille qu'il y a dans Electrum, si on peut parler de faille, c'est un formatage pas clair de message d'erreur (où on peut croire que le msg d'erreur vient du GUI Electrum plutôt que du serveur auquel on est connecté) ?

C'est l'enjeu de tout phishing d'arriver à être assez créatif pour se faire passer pour provenant de la source supposée sûre.

C'est un tout.
Là l'attaque était efficace (et maligne) car elle profite certes du laxisme du soft Electrum dans le formatage du message d'erreur, mais aussi du choix d'une URL pour la version vérolée particulièrement bien choisie (github.com/electrum-wallet/...), d'un spawn massif de serveurs malhonnêtes (~sybil), parle de "security update" pour créer un sentiment d'urgence, etc...

La vraie question c'est : pourquoi vous dites une wallet ? Moi je dis un wallet

Un portefeuille en français  

Mais donc, le wallet electrum a pas vraiment ete hacke, si ?
 
Pas au sens strict du terme en tout cas, cad que sans manoeuvre fortuite de l'user, personne ne peut avoir perdu des coins stockes dans son wallet. Je me trompe ?

La wallet proper a réellement été hackée.
Le hack a permis de faire apparaître une invitation à télécharger une mise à jour, sous la forme d'un message d'origine fiable en apparence.
Le hack ne permettait pas directement de récupérer les coins, mais ça en reste un.

+1

Yup.

Le seul défaut dans le soft Electrum, c'est que l'affichage du message d'erreur du serveur distant n'aurait pas du être en richtext et aurait du être mieux présenté comme provenant du serveur distant et pas d'Electrum itself ("At the very least, the message should not be displayed as rich text. It is untrusted input afterall... We should also show some additional explanatory text at the beginning (prepend something)." )
C'est très similaire à ce qu'on a pu voir par le passé sur l'affichage du champs from: dans un client mail, ou de l'URL pour un navigateur Internet (doit y avoir plusieurs dizaines d'exemples sur Outlook, Chrome, Gmail, IE... sur les 15 dernières années).

Pour rester sur la thématique, il y a eu une conf au dernier CCC concernant des failles sur Trezor & Ledger :
https://www.cryptoglobe.com/latest/ [...] ll-secure/
(Failles réelles et intéressantes, mais très anecdotiques en pratique)

ok, je vois

effectivement, un souci d'UI dans Electrum qui permet de phisher des utilisateurs dont c'est pas vraiment la faute dans ce cas-ci, mais pas de hack de protocole ou autre.

Le wallet et le WiFi C'est tout

On dirait que Ledger lance un nouveau matos lundi prochain :
https://www.ledger.com

 
Ledger qui innove    
 
On est vraiment foutu, il faut quitter les cryptos totalement sans plus attendre  

je viens de voir que la majorité des cryptos ont perdu 40% par rapport à l'ETH.  
Bon on est pas encore sur les position de Mai Juin, mais la tendance prend une bonne direction.
En attendant, je relouche de l'ETH depuis quelques semaine.