Re: [閒聊] 錢包被盜
看板DigiCurrency (數位貨幣)作者jinhouse123 (回到1981吧)時間2小時前 (2026/07/04 09:30)推噓0(0推 0噓 0→)留言0則, 0人參與討論串8/8 (看更多)
其實早期任何冷錢包都會遇到這種問題,後面冷錢包公司也都會改良問題。
只是Trezor這個品牌最大又開源,Trezor 在歐美使用人數最多。
在台灣YT很少介紹 Trezor ,感覺Youtuber 都是拿廣告收益在推冷錢包,或是推成立
沒有很久的冷錢包公司的產品。
那冷錢包只要有電池 EX:鋰電池
電池放久了就容易壞掉或膨脹,這點 YT 也都沒啥在提,可Google: L牌 電池問題
----
AI :
「仿冒 Trezor One 案」是加密貨幣硬體錢包歷史上非常著名且經典的供應鏈攻擊(
Supply Chain Attack)與實體詐騙案例。
早年在加密貨幣社群(大約在 2018 至 2019 年間達到高峰),市面上出現了外觀與捷克
製造商 SatoshiLabs 生產的 Trezor One 極其相似,但內部晶片已被竄改的仿冒品。這
類案件的技術細節與手法非常值得警惕:
1. 仿冒品的核心手法
這類仿冒品並非單純的「山寨玩具」,而是具備高度技術含量的惡意裝置:
完美複製的外觀: 仿冒品的機殼、USB 接口、甚至是外包裝盒和防偽全息貼紙(
Hologram sticker),都做到了肉眼難以分辨的程度。
竄改的硬體與韌體: 攻擊者將內部的微控制器(MCU)更換,或寫入了被修改過的惡意韌
體。
預設私鑰(助記詞): 正版的 Trezor 在第一次開機時,會要求使用者在隨機生成的過
程中記錄全新的 24 個助記詞。而仿冒品往往在出廠時就已經寫死了某一套助記詞,或者
其隨機數生成器(RNG)已被動過手腳,讓黑客可以輕易推算出生成的密鑰。
資產竊取: 當使用者以為自己把資產轉進了安全的冷錢包,實際上黑客隨時可以利用早
已掌握的私鑰,將裡面的加密貨幣全部轉走。
2. 官方(SatoshiLabs)的應對與防禦機制
此案發生後,Trezor 官方採取了多項硬體與軟體上的升級來杜絕此類問題:
韌體簽章驗證(Firmware Signing):
目前的 Trezor 裝置在開機時,引導加載程序(Bootloader)會嚴格驗證韌體的加密簽章
。如果裝置內運行的是未經官方授權的修改版韌體,螢幕會直接跳出嚴重的警告訊息(例
如:“Unofficial firmware detected”)。
全息防偽貼紙改良:
官方多次升級了包裝盒上的雷射全息貼紙,使用高科技的雷射圖案與膠水,只要被撕開過
就無法完美復原。
超音波焊接機殼:
正版 Trezor One 的外殼是透過超音波焊接(Ultrasonic welding)密封的。如果要拆開
更換內部晶片,必然會破壞塑料外殼,留下明顯的撬開或膠水修補痕跡。
如何確保手上的硬體錢包安全?
如果您正打算使用或檢查手邊的冷錢包,以下是防範此類安全威脅的鐵律:
絕對只從官方網站或授權經銷商購買: 避免在不明電商平台(如沒有官方認證的第三方
賣家)或拍賣網站購買二手、甚至宣稱「全新未拆」的便宜貨。
檢查初始狀態: 收到裝置開機時,絕對不能有預設的 PIN 碼或現成的助記詞。正版裝置
第一次開機時,必然是空的,且會強制要求你進行韌體更新與親自抄寫隨記生成的助記詞
。
注意電腦端軟體提示: 連結官方軟體(如 Trezor Suite)時,如果軟體提示「硬體特徵
不符」或「無法驗證真偽」,應立即停止使用。
※ 引述《padmafeel (佳境)》之銘言:
: 2023年:卡巴斯基揭露的「仿冒 Trezor One 案」
: 這是近年最轟動的「真硬體替換」案例。
: 駭客手法: 駭客完全不是走網路攻擊,而是攔截了運輸途中(或透過非官方零售商
: )的 Trezor One 錢包。
: 他們在不破壞外包裝(或偽造防偽貼紙)的情況下拆開機殼,將內部的原廠安全晶片
: (Secure Element)直接焊解下來,替換成駭客特製的惡意微控制器(MCU)。
: 資安後果: 這個特製的惡意晶片內建了被篡改的韌體(Firmware),它會移除韌體
: 簽章驗證。當用戶開機時,它看似正常運作,但產生的助記詞(Seed Phrase)根本不是
: 隨機的,而是駭客早就預設好的私鑰。
: 結果: 用戶一將加密貨幣匯入,駭客立刻在遠端將資產全數提走。
: 文章標題: Review and analysis of fake Trezor cryptowallet
: 發布日期: 2023 年 5 月 10 日
: 官方網址:
: https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/
: ※ 引述《padmafeel (佳境)》之銘言:
: : Trezor 聊故事
: : trezor硬軟體驗證
: : 加密晶片文件
: : https://github.com/tropicsquare/tropic01
: : 硬體線路
: : https://github.com/trezor/trezor-hardware
: : 加密晶片SDK
: : https://github.com/tropicsquare/libtropic
: : STM32U5G MCU firmware open source
: : https://github.com/trezor/trezor-firmware
: : App open source
: : https://github.com/trezor/trezor-suite
: : 為什麼 trezor 會完全公開也不怕別人抄? 只賣trezor safe 維生?
: : 有像ubuntu一樣的金主支持?
: : 母公司:SatoshiLabs(捷克,布拉格)
: : SatoshiLabs 是一個專注於加密貨幣與開源創新的科技集團,由 Marek Palatinus(綽
: : 號 Slush)和 Pavol Rusnák(綽號 Stick)共同創辦,打造了全球第一個加密貨幣硬體
: : 錢包 Trezor。
: : 商業模式:只靠賣硬體嗎?
: : 主要就是賣硬體,沒有像 Ubuntu 那樣有 Canonical 企業金主:
: : SatoshiLabs(母公司)持有 Trezor,是捷克私人公司,未上市
: : 收入幾乎全來自硬體銷售(Trezor Model One、Safe 3、Safe 5)
: : 沒有已知的大型外部金主或風投主導
: : SatoshiLabs 旗下也做其他產品(如 Invity 加密貨幣換匯平台),有輕微營收多元化
: : Marek Palatinus(Slush)區塊鏈先驅,同時也是全球第一個比特幣礦池 Slush Pool 的
: : 創辦人
: : Pavol Rusnák(Stick)負責軟硬體開發方向
: : 整個集團的靈魂一以貫之:「不要相信,要驗證(Don't trust, verify)」——從晶片
: : 、韌體、到 App,全部開源,讓任何人都能審計。ps:這精神非常像zkVM
: : 整個故事的因果關係
: : Marek 一開始自己獨立挖礦,但隨著難度上升越來越不划算,於是創建了 Slush Pool—
: : —全球第一個公開比特幣礦池,讓礦工可以合作挖礦。這個礦池後來演變為今天的
: : Braiins。 Satoshilabs
: : Slush Pool 越來越成為駭客攻擊的目標,這才讓他意識到需要找到更好的安全解決方案
: : 來保護比特幣資產。就在這個背景下,Pavol 和 Marek 在 2011 年於布拉格的 brmlab
: : 駭客空間相識,SatoshiLabs 的故事就此開始。 Satoshilabs
: : 換句話說:被駭 → 想解決安全問題 → 發明硬體錢包
: : 完全沒有外部 VC 創投
: : Trezor 官方明確表示:「我們是一家獨立公司,不接受任何外部投資,不參與風險投資
: : ,因為我們不想讓產品的安全性受到妥協。
: : Marek 親口說過:他在用 Slush Pool 挖礦時,礦池在 Linode 駭客事件中損失了數千枚
: : 比特幣。正是這個痛苦的經歷讓他們想出把私鑰隔離到獨立環境的概念。 Medium
: : *****這不是商人看到商機——是工程師被搶了之後,怒而解決問題。*****
: : 官方故事也明確寫道:兩人出於純粹的好奇心與興趣開始探索,完全沒有商業動機。
: : 不接受創投的原因不只是個性,是邏輯
: : Trezor 明確表示不參與風險投資,因為不想讓產品的安全性受到妥協。 Trezor
: : 這句話背後的意思很深:VC 要求成長、獲利、退出——這些壓力可能會迫使公司在安全
: : 與商業之間妥協。Ledger 接了 5.75 億美元的 VC,2023 年就推出了爭議極大的
: : Ledger Recover(私鑰分片上傳雲端),社群普遍認為這就是資本壓力下的產物。
: : Trezor 選擇窮,但不妥協。
: : 感想:工程師怒氣造就了Trezor 他們心願在也許就是世界安全吧
: : 這公司以後會發!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.255.79.196 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1783128633.A.3B9.html
討論串 (同標題文章)
DigiCurrency 近期熱門文章
PTT數位生活區 即時熱門文章