Re: [閒聊] 錢包被盜

看板DigiCurrency (數位貨幣)作者padmafeel (佳境)時間1小時前 (2026/05/14 16:00)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串6/6 (看更多)

Trezor 聊故事 trezor硬軟體驗證加密晶片文件 https://github.com/tropicsquare/tropic01 硬體線路 https://github.com/trezor/trezor-hardware 加密晶片SDK https://github.com/tropicsquare/libtropic STM32U5G MCU firmware open source https://github.com/trezor/trezor-firmware App open source https://github.com/trezor/trezor-suite 為什麼 trezor 會完全公開也不怕別人抄? 只賣trezor safe 維生? 有像ubuntu一樣的金主支持? 母公司：SatoshiLabs（捷克，布拉格） SatoshiLabs 是一個專注於加密貨幣與開源創新的科技集團，由 Marek Palatinus（綽號 Slush）和 Pavol Rusnák（綽號 Stick）共同創辦，打造了全球第一個加密貨幣硬體錢包 Trezor。商業模式：只靠賣硬體嗎？主要就是賣硬體，沒有像 Ubuntu 那樣有 Canonical 企業金主： SatoshiLabs（母公司）持有 Trezor，是捷克私人公司，未上市收入幾乎全來自硬體銷售（Trezor Model One、Safe 3、Safe 5）沒有已知的大型外部金主或風投主導 SatoshiLabs 旗下也做其他產品（如 Invity 加密貨幣換匯平台），有輕微營收多元化 Marek Palatinus（Slush）區塊鏈先驅，同時也是全球第一個比特幣礦池 Slush Pool 的創辦人 Pavol Rusnák（Stick）負責軟硬體開發方向整個集團的靈魂一以貫之：「不要相信，要驗證（Don't trust, verify）」——從晶片、韌體、到 App，全部開源，讓任何人都能審計。ps:這精神非常像zkVM 整個故事的因果關係 Marek 一開始自己獨立挖礦，但隨著難度上升越來越不划算，於是創建了 Slush Pool— —全球第一個公開比特幣礦池，讓礦工可以合作挖礦。這個礦池後來演變為今天的 Braiins。 Satoshilabs Slush Pool 越來越成為駭客攻擊的目標，這才讓他意識到需要找到更好的安全解決方案來保護比特幣資產。就在這個背景下，Pavol 和 Marek 在 2011 年於布拉格的 brmlab 駭客空間相識，SatoshiLabs 的故事就此開始。 Satoshilabs 換句話說：被駭 → 想解決安全問題 → 發明硬體錢包完全沒有外部 VC 創投 Trezor 官方明確表示：「我們是一家獨立公司，不接受任何外部投資，不參與風險投資，因為我們不想讓產品的安全性受到妥協。 Marek 親口說過：他在用 Slush Pool 挖礦時，礦池在 Linode 駭客事件中損失了數千枚比特幣。正是這個痛苦的經歷讓他們想出把私鑰隔離到獨立環境的概念。 Medium *****這不是商人看到商機——是工程師被搶了之後，怒而解決問題。***** 官方故事也明確寫道：兩人出於純粹的好奇心與興趣開始探索，完全沒有商業動機。不接受創投的原因不只是個性，是邏輯 Trezor 明確表示不參與風險投資，因為不想讓產品的安全性受到妥協。 Trezor 這句話背後的意思很深：VC 要求成長、獲利、退出——這些壓力可能會迫使公司在安全與商業之間妥協。Ledger 接了 5.75 億美元的 VC，2023 年就推出了爭議極大的 Ledger Recover（私鑰分片上傳雲端），社群普遍認為這就是資本壓力下的產物。 Trezor 選擇窮，但不妥協。感想:工程師怒氣造就了Trezor 他們心願在也許就是世界安全吧這公司以後會發! ※ 引述《padmafeel (佳境)》之銘言： : https://www.mediafire.com/view/kqax9sozxv3m5va/db02.jpg/file : https://www.mediafire.com/view/sm37revfa623t47/db03.jpg/file : https://www.mediafire.com/view/zunu79vttxhaipb/db04.jpg/file : Trezor Safe 7 & Ledger Flex : 硬體上都沒有破解記錄 : 主要破口 : 助記詞被釣魚釣出來 : 另外就是被相似字的網站誘導 : *密碼短語一定要設* : 如果版上有人source build 出 Trezor suite 或 Ledger Live 安裝在手機上 : 或安裝在電腦上 : 再請公開過程這是完美的防護 : PS: 未來 EVM 將改成零知識虛擬機目前主流是sp1 有興趣的可以查找學習 : ※ 引述《padmafeel (佳境)》之銘言： : : 先看開箱文 : : https://www.youtube.com/watch?v=dELBs1f3RqM

: : 1. 硬體防禦的差距：Secure Element (SE) : : 這是 Ledger 最核心的勝場。 : : Ledger: 使用 EAL5+/EAL6+ 銀行級安全晶片（類似信用卡或護照上的晶片）。這種 : : 晶片天生就是為了抵抗物理側信道攻擊（如微探針檢測、電壓故障注入）而設計的。即使 : : 駭客拿到你的實體裝置，要從這顆晶片裡直接「讀出」私鑰幾乎是不可能的。 : : Trezor (早期型號): 使用的是通用微處理器（STM32），雖然代碼開源，但晶片本身 : : 不具備抗物理攻擊能力。過去曾有安全公司（如 Kraken）展示過透過物理接觸，在 15 : : 分鐘內提取 Trezor 私鑰的案例。 : : 註：Trezor 在新款的 Safe 3/5/7 中也引入了 SE 晶片來補足這一點，但其核心架 : : 構仍追求透明，而 Ledger 則在硬體防禦上深耕多年。 : : 2. 螢幕與輸入的信任邊界 : : Ledger 的做法：它的螢幕和按鈕是直接由安全晶片（SE）控制的。這意味著當你看 : : 到螢幕顯示「發送 1 ETH」時，這個訊息是在安全區域生成的，不容易被外界竄改。 : : Trezor 的挑戰：在部分型號中，負責螢幕顯示的處理器與儲存金鑰的區域是分開的 : : ，理論上存在駭客控制顯示器（讓你看到正確地址）但實際簽署錯誤地址的可能性（儘管 : : 極難達成）。 : : 3. 多幣種支持與隔離 (BOLOS 系統) : : Ledger 開發了自己的作業系統 BOLOS。 : : 它允許不同幣種的 App（如 BTC、ETH、XRP）彼此物理隔離。即使 XRP 的 App 有漏 : : 洞，它也無法跨越邊界去存取你 BTC App 的資料。 : : 對於像你這樣會研究 XRPL、Rust 或是 NPU 模組的進階工程師，Ledger 提供的這種 : : 「沙盒環境」在開發測試時提供了更高的安全性。 : : Ledger 的「缺點」與爭議 : : 當然，「可重現性」和「開源」是 Ledger 的軟肋： : : Ledger Recover 爭議： 2023 年推出的韌體更新顯示 Ledger 有能力透過軟體導出 : : 加密的分片私鑰，這打破了「私鑰絕不離開裝置」的傳統認知。這讓開源支持者（如 : : Trezor 用戶）感到非常不安。 : : 不透明的韌體：因為 SE 晶片製造商（如 STMicroelectronics）通常要求簽署 NDA : : ，Ledger 無法完全開源其底層韌體。這意味著你必須完全信任 Ledger 這家公司沒有植 : : 入後門。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.93.159 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1778745631.A.09D.html