Re: [閒聊] 錢包被盜
2023年:卡巴斯基揭露的「仿冒 Trezor One 案」
這是近年最轟動的「真硬體替換」案例。
駭客手法: 駭客完全不是走網路攻擊,而是攔截了運輸途中(或透過非官方零售商
)的 Trezor One 錢包。
他們在不破壞外包裝(或偽造防偽貼紙)的情況下拆開機殼,將內部的原廠安全晶片
(Secure Element)直接焊解下來,替換成駭客特製的惡意微控制器(MCU)。
資安後果: 這個特製的惡意晶片內建了被篡改的韌體(Firmware),它會移除韌體
簽章驗證。當用戶開機時,它看似正常運作,但產生的助記詞(Seed Phrase)根本不是
隨機的,而是駭客早就預設好的私鑰。
結果: 用戶一將加密貨幣匯入,駭客立刻在遠端將資產全數提走。
文章標題: Review and analysis of fake Trezor cryptowallet
發布日期: 2023 年 5 月 10 日
官方網址:
https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/
※ 引述《padmafeel (佳境)》之銘言:
: Trezor 聊故事
: trezor硬軟體驗證
: 加密晶片文件
: https://github.com/tropicsquare/tropic01
: 硬體線路
: https://github.com/trezor/trezor-hardware
: 加密晶片SDK
: https://github.com/tropicsquare/libtropic
: STM32U5G MCU firmware open source
: https://github.com/trezor/trezor-firmware
: App open source
: https://github.com/trezor/trezor-suite
: 為什麼 trezor 會完全公開也不怕別人抄? 只賣trezor safe 維生?
: 有像ubuntu一樣的金主支持?
: 母公司:SatoshiLabs(捷克,布拉格)
: SatoshiLabs 是一個專注於加密貨幣與開源創新的科技集團,由 Marek Palatinus(綽
: 號 Slush)和 Pavol Rusnák(綽號 Stick)共同創辦,打造了全球第一個加密貨幣硬體
: 錢包 Trezor。
: 商業模式:只靠賣硬體嗎?
: 主要就是賣硬體,沒有像 Ubuntu 那樣有 Canonical 企業金主:
: SatoshiLabs(母公司)持有 Trezor,是捷克私人公司,未上市
: 收入幾乎全來自硬體銷售(Trezor Model One、Safe 3、Safe 5)
: 沒有已知的大型外部金主或風投主導
: SatoshiLabs 旗下也做其他產品(如 Invity 加密貨幣換匯平台),有輕微營收多元化
: Marek Palatinus(Slush)區塊鏈先驅,同時也是全球第一個比特幣礦池 Slush Pool 的
: 創辦人
: Pavol Rusnák(Stick)負責軟硬體開發方向
: 整個集團的靈魂一以貫之:「不要相信,要驗證(Don't trust, verify)」——從晶片
: 、韌體、到 App,全部開源,讓任何人都能審計。ps:這精神非常像zkVM
: 整個故事的因果關係
: Marek 一開始自己獨立挖礦,但隨著難度上升越來越不划算,於是創建了 Slush Pool—
: —全球第一個公開比特幣礦池,讓礦工可以合作挖礦。這個礦池後來演變為今天的
: Braiins。 Satoshilabs
: Slush Pool 越來越成為駭客攻擊的目標,這才讓他意識到需要找到更好的安全解決方案
: 來保護比特幣資產。就在這個背景下,Pavol 和 Marek 在 2011 年於布拉格的 brmlab
: 駭客空間相識,SatoshiLabs 的故事就此開始。 Satoshilabs
: 換句話說:被駭 → 想解決安全問題 → 發明硬體錢包
: 完全沒有外部 VC 創投
: Trezor 官方明確表示:「我們是一家獨立公司,不接受任何外部投資,不參與風險投資
: ,因為我們不想讓產品的安全性受到妥協。
: Marek 親口說過:他在用 Slush Pool 挖礦時,礦池在 Linode 駭客事件中損失了數千枚
: 比特幣。正是這個痛苦的經歷讓他們想出把私鑰隔離到獨立環境的概念。 Medium
: *****這不是商人看到商機——是工程師被搶了之後,怒而解決問題。*****
: 官方故事也明確寫道:兩人出於純粹的好奇心與興趣開始探索,完全沒有商業動機。
: 不接受創投的原因不只是個性,是邏輯
: Trezor 明確表示不參與風險投資,因為不想讓產品的安全性受到妥協。 Trezor
: 這句話背後的意思很深:VC 要求成長、獲利、退出——這些壓力可能會迫使公司在安全
: 與商業之間妥協。Ledger 接了 5.75 億美元的 VC,2023 年就推出了爭議極大的
: Ledger Recover(私鑰分片上傳雲端),社群普遍認為這就是資本壓力下的產物。
: Trezor 選擇窮,但不妥協。
: 感想:工程師怒氣造就了Trezor 他們心願在也許就是世界安全吧
: 這公司以後會發!
: ※ 引述《padmafeel (佳境)》之銘言:
: : https://www.mediafire.com/view/kqax9sozxv3m5va/db02.jpg/file
: : https://www.mediafire.com/view/sm37revfa623t47/db03.jpg/file
: : https://www.mediafire.com/view/zunu79vttxhaipb/db04.jpg/file
: : Trezor Safe 7 & Ledger Flex
: : 硬體上都沒有破解記錄
: : 主要破口
: : 助記詞 被釣魚釣出來
: : 另外就是被相似字的網站誘導
: : *密碼短語一定要設*
: : 如果版上有人source build 出 Trezor suite 或 Ledger Live 安裝在手機上
: : 或安裝在電腦上
: : 再請公開過程 這是完美的防護
: : PS: 未來 EVM 將改成 零知識虛擬機 目前主流是sp1 有興趣的可以查找學習
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.93.159 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1783076374.A.A84.html
※ 編輯: padmafeel (114.32.93.159 臺灣), 07/03/2026 19:01:11
討論串 (同標題文章)
DigiCurrency 近期熱門文章
PTT數位生活區 即時熱門文章