Re: [閒聊] 冷錢包有可能被廠商動手腳嗎?
※ 引述《ULTIMA1002 (晚點再說)》之銘言:
: 如題
: 個人不是學資訊相關的,
: 只是覺得不少在賣冷錢包的廠商,
: 本身的信譽有辦法被驗證嗎?
: 冷錢包裡面如果預先暗藏什麼木馬還是病毒的,
: 等到哪天時機對了再一次收割?
: 有沒有這種風險?
: 當然冷錢包只有用到的時候才會連網,
: 但是如果裡面已經有特殊程式會自動在連上網路時去抓取用戶資料,
: 然後在某個時間點最多人連網的時候作收割?
: 還是我想太多?
: 只是單純覺得對硬體資安這種東西不太懂,
: 想問冷錢包本身有沒有被廠商動手腳的可能?
真正的冷錢包是完全離線的,用的時候都不連網,
不過這種冷錢包相對難用。(要把簽名內容抄出來廣播)
那麼冷錢包有沒有來自設計者的風險?
(二手搞鬼的姑且不論)
目前小弟想到的,
大致上大概有這兩種途徑:
一、冷錢包連線的時候。
多數市售冷錢包會附上手機用的app,
然後以藍芽什麼等方式與裝置連線,
那麼裝置 <-> app <-> 網路
這之間確實存在著可能的通道。
如果廠商有心作怪,裝置可以留下 app 可以訪問密鑰的後門。
當然,app要反解譯並不難,若有人檢查是有可能抓包。
二、出廠時預先決定好。
假設app與冷錢包內預先設計好,
助記詞與私鑰產生的方式其實只有一億組
(或一個很大但不太離譜的數字),
你以為是隨機產生,實際上只是在這一億組裡面隨機挑一組出來,
那確實廠商有可能掌握到你的私鑰。
破解方法:自己輸入助記詞,
並檢查一下跟BIP39產生的結果是否相同。
不同的不要用。
目前小弟想到的方法大概是這兩種。
還有其他的方法也歡迎提出來。
*****
當然,還是完全離線的最好。
這時候就不得不推一下小弟自己寫的ETH溫錢包,
#1YpEmf_G
--
純前端錢包可以放到 IPFS 上,只要該 CID 的程式碼經得
起時間考驗,就會有更多人使用
我看過離線的,有一個小螢幕 會顯示交易訊息的qrcode, 接著
要用手機拍照廣播
感覺這種最穩
樓上 塞個發報器把密鑰打回去主機也不是不可能
畢竟只要割到就是一大筆錢 技術上麻煩點沒關係
所以還是看廠商誠信
真正要搞把產私鑰的seed決定有限個就好了 然後可以用
PRNG產出 256bit的私鑰 簡化的方法可以是HMAC(seed,
round number) 不知道seed的狀況下 PRNG 跟 RNG在數
學上是完全分不出差異的,這如果開源還好檢查 硬體的
話真的很難驗證是否作假
用 Paper wallet 呀
原PO自己輸入助記詞的方式可以破解有限seed
Safepal S1是用QR code我就是用這個
只要有APP而原始碼不公開,其實都有可能有後門
但就算沒有原始碼,APP在幹這種事情的時候也可能會
被偵測到,廠商必須冒著被抓包的風險,而且錢包不
綁使用者身分,每一隻錢包都把註記詞送回母公司
它得到巨量資料也沒有實際用途。但如果是魚叉式釣魚
針對特定人士或特定機構訂製特定錢包這樣搞,技術上
是可行的。畢竟一般人沒事不會每次開APP交易時,還
同時監看防火牆連線....
那麼是不是可以寫成一個 Python 腳本, 存在自己電腦, 函
式庫也是存在自己的PC上, 應該做得到?
樓上 原PO寫的開源錢包就是這個意思 只是他不是Python
最早挖比特幣的,也是存在自己電腦吧?意思應該差不多
有限seed可以經過KDF變成無限seed' 所以還是無法檢
查的
爆
Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包我是幫苦主與幾位受害者調查與做數位鑑識此件事情的資安顧問.苦主被盜刷第一時間就 報警並聯絡我.在這次的事件中我用我的專業談談,並把一些版友友興趣的資訊上色強調: 1.苦主被盜刷的卡是滙豐銀行. 詐騙集團精心偽造某家第三方支付的刷卡頁面與3D驗證頁面, 並不是苦主傻傻把OTP直接交給詐騙集團.大家要小心假冒的第三方支付與3D驗證頁面!!![Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包](https://i.imgur.com/g3wfzStb.png "Re: [心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包")
爆
[心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包(文長慎入) (此篇為友人代PO) 各位好,我是最近因為買芒果被盜刷了19萬而找上鍾佳濱委員開記者會的愚婦。愚婦歷練 不多,沒能辨識出臉書私訊我的並非芒果農本人,而被引導至自製的訂購表單以及假的交 易驗證網站填上我的信用卡資料以後,又不知收到的一元簡訊代表綁卡,以為果農在試刷 而給出OTP,導致信用卡被綁上不是我名字的7-11的OPEN錢包帳戶,連續盜刷八筆共19萬![[心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包](https://i.imgur.com/FXJbmRsb.png "[心得] 被莫名其妙綁定自己從來不用的 OPEN 錢包")
39
[閒聊] pqi冷錢包開箱+測試最近看升息還要再往上,跟幾個打滾幣圈4、5年的朋友打算暫時不操作,把大部分的籌碼存到冷錢包放長期,所以前陣子有在搜集資料比較一些冷錢包, 大家蠻推的就CoolWallet, ledger, trezor 這幾款,看來看去我比較喜歡卡片型的,滑到pqi新出這款冷錢包剛好符合我的需求,順便寫個開箱文分享一下: 1.內容物 這款pqi冷錢包會包含(1)卡片主體、(2)充電架、(3)助記詞卡、(4)包裝盒子![[閒聊] pqi冷錢包開箱+測試](https://i.imgur.com/uIZpabGb.jpg "[閒聊] pqi冷錢包開箱+測試")
32
[討論] Re: 被莫名其妙綁定自己從來不用的OPEN錢包我剛剛嘗試在OPEN錢包綁卡 綁卡只需要輸入卡號、有效期以及CVV 輸入完畢,按下一步後,會跳出OTP驗證![[討論] Re: 被莫名其妙綁定自己從來不用的OPEN錢包](https://i.imgur.com/oJh4CGUb.png "[討論] Re: 被莫名其妙綁定自己從來不用的OPEN錢包")
22
[閒聊] 自製的ETH溫錢包~正式釋出Overdoing ETH warm wallet 完全開放原始碼 使用介紹影片:![[閒聊] 自製的ETH溫錢包~正式釋出](https://img.youtube.com/vi/wbzfLOe8_ek/mqdefault.jpg "[閒聊] 自製的ETH溫錢包~正式釋出")
18
[閒聊] 冷錢包會不能使用嗎?小弟幣圈菜雞,前文提到穩定幣、大哥、二哥放冷錢包最安全,小弟也有使用冷錢包,但一直有個疑問,如果冷錢包的公司倒了或者被戰爭炸掉了,冷錢包還可以使用嗎? 麻煩幣圈大神幫小弟解惑 -- Sent from nPTT on my iPhone 8 --17
[閒聊] BTC錢包Electrum簡介教學ver.2022最近由於各種平台的風險,比較多人開始討論cold wallet 當然如果能買hardware wallet是比較好,但不一定每個人願意負擔那個成本 實際上免費方案是有足夠強的選擇,依照使用的方式,可以達到冷儲存的效果 只是使用上必須要自己具備一些知識 我在這篇只針對BTC的錢包Electrum簡介與教學,其他錢包或是幣種給有意願的人分享![[閒聊] BTC錢包Electrum簡介教學ver.2022](https://en.bitcoinwiki.org/resources/new_assets/MetaPicWIKI.png "[閒聊] BTC錢包Electrum簡介教學ver.2022")
9
[Coin]在ledger恢復coolwallet pro冷錢包註記詞請問 第一個使用的冷錢包是coolwallet pro 產生24個註記詞 現在買了ledger nano x恢復coolwallet pro冷錢包24個註記詞 註記詞恢復成功後![[Coin]在ledger恢復coolwallet pro冷錢包註記詞](https://river.com/learn/images/heroes/bitcoin-hand.jpg "[Coin]在ledger恢復coolwallet pro冷錢包註記詞")
