Re: [閒聊] 冷錢包，真的冷嗎？

※ 引述《a14736989tw (毛阿)》之銘言：
: 最近終於下定決心買冷錢包，想說可以不用擔心平台捲款逃跑，手上拿著ledger nano s: plus打算明天要入金進去，在做功課的時候才看到ledger recover事件。先不討論他要不: 要先經過你同意，至少這台機器是有能力把助記詞上傳到網路上的，這讓我覺得市面上的: 冷錢包都不冷了，到底有什麼方式能確保助記詞不上網呢?
: 以下是我考慮過的方式，但是別說駭客，連我自己都覺得很多漏洞...
: 舊手機自製冷錢包：
: 有看到用舊手機製作不聯網的冷錢包教學，似乎都是先下載一個app後離線生成助記詞，: 但是有沒有可能這個app一開始就被設定只產出某幾串的助記詞? 正常助記詞的可能性是2: 048^24種，誰知道這app內會不會如實設定?
: 自己選擇助記詞：
: 假設自己選擇24個助記詞後在網站上形成私鑰來使用，使用的加密網站也可能是有心人士: 設計出來的，你打上去後他也會知道你的助記詞。
: 我越研究頭越痛，想說還是發文問問廣大網友的意見好了，感謝耐心看完，能給我建議就: 更好了，謝謝！
: -----
: Sent from PttX on my iPhone

其實我最近一直在思考這問題

我認為Ledger這家公司硬體冷錢包不建議去買

因為它是半開源半封閉軟體而該公司有沒有後門跟動過手腳真的沒人知道

也就是說硬體錢包助記詞是給英國公司託管而server是否離線我不確定

另外一個trezor冷錢包屬於開源軟體比較推薦買它

買之前先確認是否100%官方網站之前有人去買不知道哪裡管道結果資金被偷走

對方也是離線生成助記詞錢包沒有下載過軟體照樣中招

原因是原來他買的硬體錢包竟然被私自被改裝晶片軔體結果就是貪小便宜就沒了

還有另外一個比較離譜就是錢包正貨的結果有人跑去Apple Store下載官方軟體

結果就是因為官方跟騙子APP圖片網站太過類似很難察覺有人去下載安裝打助記詞

傳資金進入結果被轉走事件發生等等

至於有人提到紙錢包比較出名是bitaddress.org 網站

不過紙錢包生成網站不建議因為有許多都是有後門你離線生私鑰照樣被偷

實際上當你從資金轉進來你在blockchain.com 是無法察覺的

駭客不會立刻轉走而使用釣魚方法賭你一直轉進來而不去啟動私鑰

實際上生成網站隨機數產生私鑰都是假的

你的錢包早就被他控制在一個主錢包

只有bitinfocharts.com才發覺到因為我曾經中招

https://bitinfocharts.com/bitcoin/wallet/92410247

bitaddress.org軟體已經2016年從沒更新過

最重要的是開發者fingerprint早就過期不建議使用而且只支持到win10

如果那麼怕的話建議使用verify軟體例如gpg4win

再創建kleopatra 去認證下載過的 exe 跟 asc或signature openPGP text file

然後去認證開發者fingerprint RSA key

另外一個方法是window powershell 如果網站有提供SHA256 checksum的話

就輸入指令Get-FileHash打入exe 就可以比對SHA256 Hash是否正確

還有gpg --verify 指令就可以認證開發者fingerprint RSA Key

MDS & SHA Checksum Utility 2.1軟體也有提供認證

想要很詳細自己去看找找我只是講重點

最後我想說的是冷錢包到底是不是絕對安全沒人敢保證

桌面軟體錢包也是曾經會受到攻擊例如electrum

不管怎樣最好是完全斷網跟影印機是沒wifi只有usb前提是你的硬體錢包是正貨

verify軟體有去認證的話我想沒問題吧

--