Re: [閒聊] 錢包被盜

看板DigiCurrency (數位貨幣)作者 (回到1981吧)時間2小時前 (2026/07/04 09:30), 編輯推噓0(000)
留言0則, 0人參與, 最新討論串8/8 (看更多)
其實早期任何冷錢包都會遇到這種問題,後面冷錢包公司也都會改良問題。 只是Trezor這個品牌最大又開源,Trezor 在歐美使用人數最多。 在台灣YT很少介紹 Trezor ,感覺Youtuber 都是拿廣告收益在推冷錢包,或是推成立 沒有很久的冷錢包公司的產品。 那冷錢包只要有電池 EX:鋰電池 電池放久了就容易壞掉或膨脹,這點 YT 也都沒啥在提,可Google: L牌 電池問題 ---- AI : 「仿冒 Trezor One 案」是加密貨幣硬體錢包歷史上非常著名且經典的供應鏈攻擊( Supply Chain Attack)與實體詐騙案例。 早年在加密貨幣社群(大約在 2018 至 2019 年間達到高峰),市面上出現了外觀與捷克 製造商 SatoshiLabs 生產的 Trezor One 極其相似,但內部晶片已被竄改的仿冒品。這 類案件的技術細節與手法非常值得警惕: 1. 仿冒品的核心手法 這類仿冒品並非單純的「山寨玩具」,而是具備高度技術含量的惡意裝置: 完美複製的外觀: 仿冒品的機殼、USB 接口、甚至是外包裝盒和防偽全息貼紙( Hologram sticker),都做到了肉眼難以分辨的程度。 竄改的硬體與韌體: 攻擊者將內部的微控制器(MCU)更換,或寫入了被修改過的惡意韌 體。 預設私鑰(助記詞): 正版的 Trezor 在第一次開機時,會要求使用者在隨機生成的過 程中記錄全新的 24 個助記詞。而仿冒品往往在出廠時就已經寫死了某一套助記詞,或者 其隨機數生成器(RNG)已被動過手腳,讓黑客可以輕易推算出生成的密鑰。 資產竊取: 當使用者以為自己把資產轉進了安全的冷錢包,實際上黑客隨時可以利用早 已掌握的私鑰,將裡面的加密貨幣全部轉走。 2. 官方(SatoshiLabs)的應對與防禦機制 此案發生後,Trezor 官方採取了多項硬體與軟體上的升級來杜絕此類問題: 韌體簽章驗證(Firmware Signing): 目前的 Trezor 裝置在開機時,引導加載程序(Bootloader)會嚴格驗證韌體的加密簽章 。如果裝置內運行的是未經官方授權的修改版韌體,螢幕會直接跳出嚴重的警告訊息(例 如:“Unofficial firmware detected”)。 全息防偽貼紙改良: 官方多次升級了包裝盒上的雷射全息貼紙,使用高科技的雷射圖案與膠水,只要被撕開過 就無法完美復原。 超音波焊接機殼: 正版 Trezor One 的外殼是透過超音波焊接(Ultrasonic welding)密封的。如果要拆開 更換內部晶片,必然會破壞塑料外殼,留下明顯的撬開或膠水修補痕跡。 如何確保手上的硬體錢包安全? 如果您正打算使用或檢查手邊的冷錢包,以下是防範此類安全威脅的鐵律: 絕對只從官方網站或授權經銷商購買: 避免在不明電商平台(如沒有官方認證的第三方 賣家)或拍賣網站購買二手、甚至宣稱「全新未拆」的便宜貨。 檢查初始狀態: 收到裝置開機時,絕對不能有預設的 PIN 碼或現成的助記詞。正版裝置 第一次開機時,必然是空的,且會強制要求你進行韌體更新與親自抄寫隨記生成的助記詞 。 注意電腦端軟體提示: 連結官方軟體(如 Trezor Suite)時,如果軟體提示「硬體特徵 不符」或「無法驗證真偽」,應立即停止使用。 ※ 引述《padmafeel (佳境)》之銘言: : 2023年:卡巴斯基揭露的「仿冒 Trezor One 案」 : 這是近年最轟動的「真硬體替換」案例。 : 駭客手法: 駭客完全不是走網路攻擊,而是攔截了運輸途中(或透過非官方零售商 : )的 Trezor One 錢包。 : 他們在不破壞外包裝(或偽造防偽貼紙)的情況下拆開機殼,將內部的原廠安全晶片 : (Secure Element)直接焊解下來,替換成駭客特製的惡意微控制器(MCU)。 : 資安後果: 這個特製的惡意晶片內建了被篡改的韌體(Firmware),它會移除韌體 : 簽章驗證。當用戶開機時,它看似正常運作,但產生的助記詞(Seed Phrase)根本不是 : 隨機的,而是駭客早就預設好的私鑰。 : 結果: 用戶一將加密貨幣匯入,駭客立刻在遠端將資產全數提走。 : 文章標題: Review and analysis of fake Trezor cryptowallet : 發布日期: 2023 年 5 月 10 日 : 官方網址: : https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/ : ※ 引述《padmafeel (佳境)》之銘言: : : Trezor 聊故事 : : trezor硬軟體驗證 : : 加密晶片文件 : : https://github.com/tropicsquare/tropic01 : : 硬體線路 : : https://github.com/trezor/trezor-hardware : : 加密晶片SDK : : https://github.com/tropicsquare/libtropic : : STM32U5G MCU firmware open source : : https://github.com/trezor/trezor-firmware : : App open source : : https://github.com/trezor/trezor-suite : : 為什麼 trezor 會完全公開也不怕別人抄? 只賣trezor safe 維生? : : 有像ubuntu一樣的金主支持? : : 母公司:SatoshiLabs(捷克,布拉格) : : SatoshiLabs 是一個專注於加密貨幣與開源創新的科技集團,由 Marek Palatinus(綽 : : 號 Slush)和 Pavol Rusnák(綽號 Stick)共同創辦,打造了全球第一個加密貨幣硬體 : : 錢包 Trezor。 : : 商業模式:只靠賣硬體嗎? : : 主要就是賣硬體,沒有像 Ubuntu 那樣有 Canonical 企業金主: : : SatoshiLabs(母公司)持有 Trezor,是捷克私人公司,未上市 : : 收入幾乎全來自硬體銷售(Trezor Model One、Safe 3、Safe 5) : : 沒有已知的大型外部金主或風投主導 : : SatoshiLabs 旗下也做其他產品(如 Invity 加密貨幣換匯平台),有輕微營收多元化 : : Marek Palatinus(Slush)區塊鏈先驅,同時也是全球第一個比特幣礦池 Slush Pool 的 : : 創辦人 : : Pavol Rusnák(Stick)負責軟硬體開發方向 : : 整個集團的靈魂一以貫之:「不要相信,要驗證(Don't trust, verify)」——從晶片 : : 、韌體、到 App,全部開源,讓任何人都能審計。ps:這精神非常像zkVM : : 整個故事的因果關係 : : Marek 一開始自己獨立挖礦,但隨著難度上升越來越不划算,於是創建了 Slush Pool— : : —全球第一個公開比特幣礦池,讓礦工可以合作挖礦。這個礦池後來演變為今天的 : : Braiins。 Satoshilabs : : Slush Pool 越來越成為駭客攻擊的目標,這才讓他意識到需要找到更好的安全解決方案 : : 來保護比特幣資產。就在這個背景下,Pavol 和 Marek 在 2011 年於布拉格的 brmlab : : 駭客空間相識,SatoshiLabs 的故事就此開始。 Satoshilabs : : 換句話說:被駭 → 想解決安全問題 → 發明硬體錢包 : : 完全沒有外部 VC 創投 : : Trezor 官方明確表示:「我們是一家獨立公司,不接受任何外部投資,不參與風險投資 : : ,因為我們不想讓產品的安全性受到妥協。 : : Marek 親口說過:他在用 Slush Pool 挖礦時,礦池在 Linode 駭客事件中損失了數千枚 : : 比特幣。正是這個痛苦的經歷讓他們想出把私鑰隔離到獨立環境的概念。 Medium : : *****這不是商人看到商機——是工程師被搶了之後,怒而解決問題。***** : : 官方故事也明確寫道:兩人出於純粹的好奇心與興趣開始探索,完全沒有商業動機。 : : 不接受創投的原因不只是個性,是邏輯 : : Trezor 明確表示不參與風險投資,因為不想讓產品的安全性受到妥協。 Trezor : : 這句話背後的意思很深:VC 要求成長、獲利、退出——這些壓力可能會迫使公司在安全 : : 與商業之間妥協。Ledger 接了 5.75 億美元的 VC,2023 年就推出了爭議極大的 : : Ledger Recover(私鑰分片上傳雲端),社群普遍認為這就是資本壓力下的產物。 : : Trezor 選擇窮,但不妥協。 : : 感想:工程師怒氣造就了Trezor 他們心願在也許就是世界安全吧 : : 這公司以後會發! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.255.79.196 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1783128633.A.3B9.html
文章代碼(AID): #1gI68vEv (DigiCurrency)
文章代碼(AID): #1gI68vEv (DigiCurrency)