ich habe mir 2018 meinen Ledger zugelegt und den Seed damals über den NanoS erstellen/generieren lassen. Die 24 Wörter habe ich natürlich notiert und war seitdem beruhigt und habe mich gut gefühlt.
Nun habe ich gelesen dass es bei MetaMask und Ledger zu einigen leergeräutem Wallets gekommen ist, die Ursache scheint unklar zu sein.
Meine Frage ist nun, ob der generierte Seed über den Ledger nicht Unsicher sein könnte.
Wie erstellt der Ledger den Seed? anhand von einem Algorythmus? werden die ganzen möglichen Seeds eventuell sogar irgendwo bei Ledger gespeichert?
So lange du den Seed nicht digital eingegeben hast, ist alles sicher.
Der Ledger ist technisch nicht in der Lage, den Seed an den PC zu übertragen.
Geleert wurden vermutlich wieder Wallets, die irgendwelche dubiosen Kontrakte akzeptiert haben.
Aber ohne Quellenangabe kann ich dazu nichts sagen und will jetzt auch nicht wild raten.
Bisher gibt es keinen Ledger Hack. Es war immer ein Benutzerfehler.
Es werden mehrere Zufallsgeneratoren hintereinander verwendet.
Nein, da der Ledger nicht in der Lage ist, den Seed zu übermitteln.
Würde das rauskommen, wäre Ledger sofort pleite und würde in Grund und Boden verklagt werden.
Du kannst den Seed auch komplett offline generieren und den Ledger niemals mit dem Internet verbinden, wenn du willst. Abgesehen von Updates. Aber dafür könnte man den Ledger vorher zurücksetzten, wenn man wirklich so paranoid ist.
Vertraust du Closed Source Code nicht, dann solltest du dir eher sowas wie die Bitbox ansehen.
Da kannst du den Code selbst verifizieren.
Vielleicht ein bisschen Off-Topic, aber ich finde das weit verbreitete blinde Vertrauen vieler Leute in die Sicherheit von Open-Source-Software à la „irgendwer wird sich das schon angeschaut haben“ ungerechtfertigt.
Es gibt genug Beispiele riesiger Exploits in total verbreiteter Open-Source-Infrastruktur, die Jahre oder sogar Jahrzehnte lang bestanden haben, wie Heartbleed oder Shellshock. Ich bezweifle sogar, dass die theoretische Auditierbarkeit des Codes in der Praxis überhaupt irgendeinen Vorteil bringt, weil das ja für die andere Seite genauso gilt und es mehr motivierte Angreifer als ehrliche Auditoren gibt.
Persönlich würde ich mein Vertrauen in ein Stück Code eher von der Höhe der angebotenen Bug Bounties abhängig machen.