Re: [新聞] Ledger助記詞恢復功能爭議整理
※ 引述《MRjk ()》之銘言:
: 是說氣憤歸氣憤 現在也還不知道哪一家硬體錢包能代替 照國外討論區的說法
: 現在可能沒有任何一個硬體錢包是真正安全的
拋磚引玉一下,提供幾個可以自己製作近似硬體錢包的方案。
我相信可能有人有更優秀、更方便的方案,請不吝分享。
我的方法:
1. 舊手機 :
1.a 任何退役下來的舊手機,恢復乾淨狀態之後,只安裝軟體錢包。開飛航模式
然後wifi on,平常不用的時候關機,就相當於cold storage。
當然Seed phrase也要抄下來,這樣舊手機要是壞了,就還可以用其他的舊手
機去復原錢包。
如果手機的系統版本太舊,比較有可能因為系統本身的弱點,而使得這個方
式變得較為不安全,至於多舊算是舊到不安全,沒有一個黑白的分界線,大
致iPhone 7以後、Android版本10以後算是我個人認為的標準。
1.b 如果太舊的安卓手機,自己有足夠的經驗的話,找到夠乾淨的XDA rom也可以
考慮刷掉,有些手機也有發展其他的linux版本OS。這部分的安全性就是要
自己負責了。
2. VMware :
2.a 現在用VMware安裝Linux發行版本的難度已經大幅度降低,關於要使用哪個版
本容易引發Linux使用者的喜好戰爭,我姑且先用Ubuntu舉例。
安裝的方式問ChatGPT就好了,現在的安裝流程已經非常簡化。
VMware的虛擬機安裝Ubuntu之後,整個虛擬機會封裝成一個(或是數個)檔案,
可以複製到隨身硬碟去,要用的時候接上、載入。
VMware關閉的時候,裡面的OS會維持著關閉前的操作狀態,載入的時候就直接
會恢復成那個狀態,相當於睡眠喚醒,很方便。
在裡面安裝自己想使用的wallet,不用的時候卸載、裝在離線硬碟,也可以成
為冷儲存的狀態。
2.b 缺點是VMware的安全性還是會受到運行的電腦影響,如果你用日常電腦開VM,且
日常電腦已經被種了key logger或是剪貼簿被監聽,那VMware在使用途中也可能
會碰到被盜取的危險。
所以,要不就是日常電腦的使用也要很"衛生",要不就是要準備一台被淘汰下來
的舊電腦來當作專用終端機。
關於VMware的使用方式,想必有更多更熟練的高手,希望能出來造福大家。
3. Dual Boot :
對電腦比較熟悉的人,可以考慮弄Dual boot,用一個並行的OS專門處理加密貨
幣的交易,這個OS就盡量避免安裝其他任何的功能。也可以用Ubuntu,搜尋
Ubuntu dual boot可以找到安裝的方式。 (當然也可以用其他的Linux發行版)
4. 現有的手機 :
這僅限於版本可以更新到最新、安全性更新也都有跟上的手機,極度不建議中國
系列的廠商,只要firmware不乾淨就可能被提走私鑰。手機使用也必須要很衛生
,不會去裝來路不明的app、不裝那種小眾app、不亂開有的沒的網頁、不安裝可
能有資安疑慮的app。
裝軟體錢包,抄下Seed phrase,不用的時候清掉,要用的時候才用seed去復舊, 然後用完就再清掉。
這並不非常的建議,但可能可以作為一個分流用的錢包。
為何提手機而不是PC?因為普遍來說大部分的人PC使用的衛生習慣比手機要差,
如果自己覺得PC用的方式很衛生,是也可以用PC這樣做,但同樣不是很建議。
以上的方法之中,採用的其實都是用不同的方式安裝軟體錢包,然後不用的時候讓它從
網路與自己的使用環境分割開來。
至於要用什麼錢包,我個人用Exodus、Electrum。其中Electrum是BTC專用錢包,Exodus則是泛用。如果有其他愛用的錢包,其實都可以自己斟酌。
任何的錢包,都必須要經過以下步驟:
1. 創立錢包,抄下seed phrase
2. 保留app,但是清除錢包
3. 嘗試用seed復舊錢包,確定沒有抄錯
4. 可以復舊之後,才開始送幣進去
5. 第一筆轉小小的一筆,確定能入帳、有收到,然後才打入你要的目標額度
在這之外也有直接存private key、或是使用PGP再加密之類的議題,但那複雜度比較
高,這裡就先不談,這篇的目標還是提供相對簡易的方式。
另外也不一定只採用上述的一種方法,可以用多種方法、依照自己需求分成好幾份儲存。
任何一種方法都要確保只用來處理錢包功能,不要在裡面又安裝了什麼遊戲或是其他機
能。
以及,任何安全方法產生的錢包seed,都萬萬不可以為了貪圖方便而使用日常電腦或是
手機去輕易復原錢包,很有可能一旦這麼做了就把安全機制全部都融掉了。
就好比說你如果把自己的家門鑰匙放在星巴克的桌上,然後離開座位半天再回來取走,
你回家還是可以開得了門,但你不知道這鑰匙是不是在你離開的時候被別人複製過了,
這樣你家大門可能就不再安全。
如有錯誤請多指正,越多的分享越能完善這些方法,讓大家都有更好的參考。
--
冷錢包的好處是,它有物理按紐,這是手機做得到嗎?
coldcard? 我的硬體錢包用的是trezor T用觸控螢幕的,是也還行 如果手機需要物理按鈕的話,安卓應該都可以接一個實體鍵盤,就不拆掉了當作一體 但是按鈕功能指定就比較麻煩了,可能要自己寫程式
#1Zgb7vy5 (DigiCurrency) AirGap
物理按鈕...要做什麼用?
專業分享推
感謝分享
虛擬機雙系統就不怕被盜嗎 不都存同顆硬碟接同條網路線
虛擬機的資料存在虛擬機的那一整包裡面,跟外部硬碟隔絕 比較像是包在一個壓縮檔裡面一樣 但就像內文寫的一樣,是的如果主系統被汙染的話VM也可能被盜 只不過不是因為資料從硬碟被讀取,而是因為key logger / 剪貼簿 / 畫面擷取之類 (所以vm本身就自帶比較高的防禦能力,算是一個沙盒隔絕開) 雙系統通常要裝在兩個不同的實體硬碟,不過確實兩個系統都可以讀取另一個硬碟的東西 這牽涉到怎麼加密,比較複雜我就沒有太深入提 私鑰通常是存在另一個OS裡面安裝的軟體錢包裡面 假設是用Linux的話,在windows這一頭被入侵 通常掃描資料是不至於去掃linux格式底下的東西 想到要從windows入侵去掃描dual boot的linux再從裡面dump東西出來的case還是很少 相較之下還是會比直接裝在日常使用電腦裡面的安全度要高些 不過當然Linux那一頭的加密有處理好的話會更好 總之不論什麼方法,搭配更好的資安概念與日常使用習慣,總是會更安全
駭客、病毒無法處理物理按紐
沒有喔,現在冷錢包的按鈕都是拉到MCU上的一根GPIO
背後還是由MCU上的韌體控制(也可以說是軟體)
不考慮原廠搞鬼的前題下,MCU本身特性是安全很多,
但跟有沒有物理按鈕無關
如果你能準備夠安全的環境,那用冷錢包、或是下面提到
的手機/VMWARE,其實都是安全的
謝謝!回答。那五年前買的呢?Nano S呢?
都一樣,這類電子產品不可能有靠MCU以外的方式運作的
或是說不需要韌體的方式運作的
即便簡單如25年前的電子雞,也是如此喔
謝謝
畢竟還是電子錢包不是一個純機械零件
前提還是必須信任錢包設計者不會偷偷搞鬼
就算開放原始碼 使用者通常看不懂也不會自己編譯
這方法還是存在著軟體是否有後門的問題
是,所以軟體的挑選也會影響安全度 有些軟體我就覺得有點疑慮,但疑慮不能證明有罪,所以我也不好多說什麼 如果是開源且用的人數多,相對就會安全許多 要最乾淨的話,就是各protocol的官方軟體,比如說Bitcoin Core 但是core本身是node,就變成每次使用要花時間更新整個chain data,容量也吃比較大 其他protocol的official client我就不太熟 但... protocol本身會不會被rug pull就又是另一個層面的話題
※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 13:34:20還有一種 WinToUSB USB3隨身碟開機系統
多簽錢包, end
如果multisig的每一個key都分開來安全存放的話,是比上述的方法要更加安全 算是基於上面講的安全環境條件之上,要不要再分拆key就是了 如果環境不安全、或是所有key都放在一起的話,那安全度可能就沒有變好
※ 編輯: azuel (61.231.73.54 臺灣), 05/20/2023 15:01:04推,專業
2
這下爭議很大了 影響遠比Google authenticator開放雲端備份嚴重的多 因為Google authenticator私鑰本來就存在手機裡 大家預期的安全性不會太高 但Ledger的硬體錢包 一直以來的賣點主打就是 "私鑰永遠不會離開你的硬體裝置" "任何對實體進行電壓/雷射/輻射精密測量也無法取出私鑰"6
老實說 我對大家的氣憤感到非常意外 XDD 如果說私鑰從頭到尾都是純硬體保護 不可變不可改不可提取 那你的硬體錢包根本無法升級啊3
剛好前陣子所寫的文章、程式,通通派上用場了。 XD 大概是有預感、這天遲早會來的。 ...買股票有這種預感能力就好了。 #1ZRrHR3Z #1YpEmf_G9
再補充一點,目前有open source的硬體錢包 但我做一個晚上的功課還沒有辦法確認是不是所有環節都有open source 如果有人發現open source不完全的話,請也報給大家知 至少手中拿這些的人可以相對喘口氣: 1. trezor :13
提出幾個技術事實,這場風波看下來,多數使用者可能先前沒弄清楚,加上糟糕的行銷宣傳,所以自認被欺騙了: 1.Ledger架構的作業系統(BOLOS)和支持各鏈算法的APP「本來就是」跑在安全晶片(SE)裡 面。 2.BOLOS虛擬機下的APP為了簽名「可以」碰到派生的各鏈私鑰。 3.Ledger的韌體更新和Live軟體安裝APP,就是在操作SE內容。1
先不論Unciphered的破解方式到底是不是真的存在 (因為也有可能並不是真的破解) Trezor有另一個方法增強防護能力,官方聲稱這可以阻斷物理攻擊。 不過僅限於Trezor T,並且需要自己建立Python環境。
18
[閒聊] 用最嚴謹的姿勢玩轉BTC幣圈最可怕的不是虧錢,而是丟幣。比踏空還難受 所以當你擁有大額BTC時,我建議使用冷錢包,不過如果你是資本大佬,還是去比特幣地 堡? 那個更安全。 紙錢包是什麼?9
Re: [閒聊] 推薦的手機錢包想跟大家討論一下 手機錢包大部分的人是拿一支手機 就只下載冷錢包的app 移除大部分程式 也盡量不連網 就把他當冷錢包 擺在家裡或保險箱 還是會在日常使用的手機安裝? 我自己想不太明白的是 如果是前者 那就買冷錢包不就好了8
關於Defi錢包連結安全性及coinbase錢包被駭身邊有位朋友最近coinbase wallet 被駭 (不是coinbase, 是coinbase wallet) 我們查了一下目前只有reddit上面有看到一些類似案件 目前還是不太清楚駭客的手法 先說一下大概的情況 1. 手機下載coinbase wallet8
[Coin] LBRY(LBC) Ledger硬體錢包使用教學1. 電腦要安裝Ledger Live 2. 確認韌體是最新版本, 如果更新韌體, 請務必確認recovery seed有留好 3. 開啟Ledger Live, 選擇Manage, 安裝LBRY APP 4. 關閉Ledger Live, 並且在Ledger上面執行LBRY APP6
[閒聊] 冷錢包APP?最近全新的廉價手機最低大約3000就有 好一點的大概也4000就有了 電量5000mah待機時間也夠長 非常符合當硬體冷錢包的身份 目前使用冷錢包APP6
[Coin] 離線舊手機變冷錢包 AirGap要求: 1、免費用既有硬體:舊 Android 或 iphone 手機、免費對新手或賠光老手友善 2、冷錢包:鎖保險箱離線、飛航模式(無藍牙、WiFi、4G/5G、NFC,除非我充電插頭會傳東西出去)、平時關機,要用再開 3、安全性:審計並開源 有 github 可自己編 4、DeFi :Metamask 支援,可像其它硬體錢包與 DeFi EVM 互動2
[Coin] MEW CX停止更新 改名Enkrypt Web3錢包面世(本篇討論的是PC錢包/瀏覽器錢包, APP錢包請左轉離開) 從最早的Ethereum錢包 MyEtherWallet開始 到瀏覽器插件如Chrome上的 MEW CX MEW一直是受到信任與普遍使用的Eth錢包 但MEW CX在前陣子已停止更新, 更名為 Enkrypt 重新面世:1
[Coin] Metamask有辦法用私鑰導入錢包嗎?以前舊版本的Metamask可以用.json或私鑰導入錢包的樣子 但最新版本的似乎只能用12個種子碼導入 No, I already have a seed phrase Import your existing wallet using a 12 word seed phrase