Re: [閒聊] 錢包被盜

看板DigiCurrency (數位貨幣)作者 (佳境)時間1小時前 (2026/07/03 18:59), 1小時前編輯推噓0(000)
留言0則, 0人參與, 最新討論串7/7 (看更多)
2023年:卡巴斯基揭露的「仿冒 Trezor One 案」 這是近年最轟動的「真硬體替換」案例。 駭客手法: 駭客完全不是走網路攻擊,而是攔截了運輸途中(或透過非官方零售商 )的 Trezor One 錢包。 他們在不破壞外包裝(或偽造防偽貼紙)的情況下拆開機殼,將內部的原廠安全晶片 (Secure Element)直接焊解下來,替換成駭客特製的惡意微控制器(MCU)。 資安後果: 這個特製的惡意晶片內建了被篡改的韌體(Firmware),它會移除韌體 簽章驗證。當用戶開機時,它看似正常運作,但產生的助記詞(Seed Phrase)根本不是 隨機的,而是駭客早就預設好的私鑰。 結果: 用戶一將加密貨幣匯入,駭客立刻在遠端將資產全數提走。 文章標題: Review and analysis of fake Trezor cryptowallet 發布日期: 2023 年 5 月 10 日 官方網址: https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/ ※ 引述《padmafeel (佳境)》之銘言: : Trezor 聊故事 : trezor硬軟體驗證 : 加密晶片文件 : https://github.com/tropicsquare/tropic01 : 硬體線路 : https://github.com/trezor/trezor-hardware : 加密晶片SDK : https://github.com/tropicsquare/libtropic : STM32U5G MCU firmware open source : https://github.com/trezor/trezor-firmware : App open source : https://github.com/trezor/trezor-suite : 為什麼 trezor 會完全公開也不怕別人抄? 只賣trezor safe 維生? : 有像ubuntu一樣的金主支持? : 母公司:SatoshiLabs(捷克,布拉格) : SatoshiLabs 是一個專注於加密貨幣與開源創新的科技集團,由 Marek Palatinus(綽 : 號 Slush)和 Pavol Rusnák(綽號 Stick)共同創辦,打造了全球第一個加密貨幣硬體 : 錢包 Trezor。 : 商業模式:只靠賣硬體嗎? : 主要就是賣硬體,沒有像 Ubuntu 那樣有 Canonical 企業金主: : SatoshiLabs(母公司)持有 Trezor,是捷克私人公司,未上市 : 收入幾乎全來自硬體銷售(Trezor Model One、Safe 3、Safe 5) : 沒有已知的大型外部金主或風投主導 : SatoshiLabs 旗下也做其他產品(如 Invity 加密貨幣換匯平台),有輕微營收多元化 : Marek Palatinus(Slush)區塊鏈先驅,同時也是全球第一個比特幣礦池 Slush Pool 的 : 創辦人 : Pavol Rusnák(Stick)負責軟硬體開發方向 : 整個集團的靈魂一以貫之:「不要相信,要驗證(Don't trust, verify)」——從晶片 : 、韌體、到 App,全部開源,讓任何人都能審計。ps:這精神非常像zkVM : 整個故事的因果關係 : Marek 一開始自己獨立挖礦,但隨著難度上升越來越不划算,於是創建了 Slush Pool— : —全球第一個公開比特幣礦池,讓礦工可以合作挖礦。這個礦池後來演變為今天的 : Braiins。 Satoshilabs : Slush Pool 越來越成為駭客攻擊的目標,這才讓他意識到需要找到更好的安全解決方案 : 來保護比特幣資產。就在這個背景下,Pavol 和 Marek 在 2011 年於布拉格的 brmlab : 駭客空間相識,SatoshiLabs 的故事就此開始。 Satoshilabs : 換句話說:被駭 → 想解決安全問題 → 發明硬體錢包 : 完全沒有外部 VC 創投 : Trezor 官方明確表示:「我們是一家獨立公司,不接受任何外部投資,不參與風險投資 : ,因為我們不想讓產品的安全性受到妥協。 : Marek 親口說過:他在用 Slush Pool 挖礦時,礦池在 Linode 駭客事件中損失了數千枚 : 比特幣。正是這個痛苦的經歷讓他們想出把私鑰隔離到獨立環境的概念。 Medium : *****這不是商人看到商機——是工程師被搶了之後,怒而解決問題。***** : 官方故事也明確寫道:兩人出於純粹的好奇心與興趣開始探索,完全沒有商業動機。 : 不接受創投的原因不只是個性,是邏輯 : Trezor 明確表示不參與風險投資,因為不想讓產品的安全性受到妥協。 Trezor : 這句話背後的意思很深:VC 要求成長、獲利、退出——這些壓力可能會迫使公司在安全 : 與商業之間妥協。Ledger 接了 5.75 億美元的 VC,2023 年就推出了爭議極大的 : Ledger Recover(私鑰分片上傳雲端),社群普遍認為這就是資本壓力下的產物。 : Trezor 選擇窮,但不妥協。 : 感想:工程師怒氣造就了Trezor 他們心願在也許就是世界安全吧 : 這公司以後會發! : ※ 引述《padmafeel (佳境)》之銘言: : : https://www.mediafire.com/view/kqax9sozxv3m5va/db02.jpg/file : : https://www.mediafire.com/view/sm37revfa623t47/db03.jpg/file : : https://www.mediafire.com/view/zunu79vttxhaipb/db04.jpg/file : : Trezor Safe 7 & Ledger Flex : : 硬體上都沒有破解記錄 : : 主要破口 : : 助記詞 被釣魚釣出來 : : 另外就是被相似字的網站誘導 : : *密碼短語一定要設* : : 如果版上有人source build 出 Trezor suite 或 Ledger Live 安裝在手機上 : : 或安裝在電腦上 : : 再請公開過程 這是完美的防護 : : PS: 未來 EVM 將改成 零知識虛擬機 目前主流是sp1 有興趣的可以查找學習 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.93.159 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1783076374.A.A84.html ※ 編輯: padmafeel (114.32.93.159 臺灣), 07/03/2026 19:01:11
文章代碼(AID): #1gHvOMg4 (DigiCurrency)
文章代碼(AID): #1gHvOMg4 (DigiCurrency)