Re: [新聞] Ledger助記詞恢復功能爭議整理 - DigiCurrency板

作者 azuel (Observer)
標題 Re: [新聞] Ledger助記詞恢復功能爭議整理
時間 Fri May 19 01:53:17 2023

※ 引述《MRjk ()》之銘言：
: 現在可能沒有任何一個硬體錢包是真正安全的
: 只能再觀察看看這部分的市場缺口之後會由誰補上
: 在那之前只能先勸大家不要隨便更新手上Ledger硬體錢包的韌體

再補充一點，目前有open source的硬體錢包
但我做一個晚上的功課還沒有辦法確認是不是所有環節都有open source
如果有人發現open source不完全的話，請也報給大家知

至少手中拿這些的人可以相對喘口氣：

1. trezor :
https://trezor.io/

Trezor Hardware Wallet (Official) | Bitcoin & Crypto Security

The safest cold storage wallets for crypt security and financial independence. Easily use, store, and protect Bitcoins. ...

https://github.com/trezor

Trezor · GitHub

👑 The Original Hardware Wallet | Usability + Security + Privacy | made by @satoshilabs - Trezor ...

2. coldcard :
https://coldcard.com/

COLDCARD – Hardware Wallet - The Most Trusted and Secure Signing Device (aka. Hardware Wallet)

COLDCARD Is The Most Trusted and Secure Bitcoin Signing Device (aka. Bitcoin Hardware Wallet) ...

https://github.com/Coldcard

COLDCARD · GitHub

The right kind of security, for the appropriate level of paranoia. - COLDCARD ...

3. blockstream jade(BTC only) :
https://blockstream.com/jade/
https://github.com/Blockstream/Jade

GitHub - Blockstream/Jade: Jade hardware wallet

Jade hardware wallet. Contribute to Blockstream/Jade development by creating an account on GitHub. ...

(好啦我知道這個很拉仇恨值，但我還是得列出來啊)

4. Bitbox :
https://shiftcrypto.ch/bitbox02/
https://github.com/digitalbitbox/bitbox02-firmware

GitHub - digitalbitbox/bitbox02-firmware: Firmware code of the BitBox02 hardware wallet

Firmware code of the BitBox02 hardware wallet. Contribute to digitalbitbox/bitbox02-firmware development by creating an account on GitHub. ...

5. keepkey :
https://www.keepkey.com/

KeepKey Hardware Wallet - The Next Frontier of Crypto Security

KeepKey - The premier hardware wallet to help protect your cryptocurrencies and safeguard your assets from hackers. ...

https://github.com/keepkey/keepkey-firmware

GitHub - keepkey/keepkey-firmware: KeepKey Device Firmware

KeepKey Device Firmware. Contribute to keepkey/keepkey-firmware development by creating an account on GitHub. ...

6. Passport (BTC only) :
https://foundationdevices.com/passport/

Passport – Foundation

Passport, the next generation hardware wallet. Airgapped security, fully open source, assembled in the USA. ...

https://github.com/Foundation-Devices/passport2

GitHub - Foundation-Devices/passport2: v2.x.x series of firmware for Passport

v2.x.x series of firmware for Passport. Contribute to Foundation-Devices/passport2 development by creating an account on GitHub. ...

有open source表示它software / firmware都相對透明、可檢驗
廠商更新的時候，人們可以檢視更新的內容是什麼

如果有可疑的更新、包含任何把私鑰匯出的功能，就會被發現

ledger則是firmware沒有open source，只有app有

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.123.214 (臺灣)
※ 作者: azuel 2023-05-19 01:53:17
※ 文章代碼(AID): #1aPcOVpZ (DigiCurrency)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684432415.A.CE3.html

※ 同主題文章:

[新聞] Ledger助記詞恢復功能爭議整理

05-17 16:49 tadashi1024

Re: [新聞] Ledger助記詞恢復功能爭議整理

05-18 00:34 MRjk

Re: [新聞] Ledger助記詞恢復功能爭議整理

05-18 04:31 wahaha99

Re: [新聞] Ledger助記詞恢復功能爭議整理

05-18 16:28 azuel

Re: [新聞] Ledger助記詞恢復功能爭議整理

05-18 17:03 overdoingism

Re: [新聞] Ledger助記詞恢復功能爭議整理

05-19 01:53 azuel

Re: [新聞] Ledger助記詞恢復功能爭議整理

05-20 18:12 ProtectChu56

※ 編輯: azuel (1.164.123.214 臺灣), 05/19/2023 01:55:13

推 wahaha99: 其實APP有也很夠了,只有FW不能怎樣啊1F 05/19 03:51

I'm not... so sure

推 usttsu: safepay 這款有open source嗎2F 05/19 08:28

safe pay? 法幣和信用卡的支付交換系統?

還是你講的是safepal? 如果是safepal的話，它沒有開源

推 hallow: 只有FW不能怎麼樣？駭客可以不要用官方的SW啊3F 05/19 11:51

※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 13:30:28

推 wahaha99: 駭客不用官方FW 你FW有開源是有鳥用 XD
看錯
不用官方APP 那對一個沒開源的FW是能怎樣?4F 05/19 14:19

我想內部人風險是有的，哪天熟悉這部分環節的內部人精心策畫之後rug user
這樣的情境應該不是沒可能

開源除了大家來找蟲之外，也是隔離掉大部分的內部人風險

另外FW沒有開源但SW開源，也可能被摸出怎麼去call的方法？

→ usttsu: 我打錯字，safepal，沒有開源啊7F 05/19 15:13

※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 15:28:03

推 yahooyamgoog: 原來safepal沒開源，那可以繼續凍存了8F 05/19 15:46

推 wahaha99: 我的意思是如果FW沒開源、APP有開源的前提
APP既然開源, 內部人也沒法rug啊,不管怎樣要透過app去跟冷錢包access不是?9F 05/19 15:56

其實並不一定要全面性的一次攻擊所有的使用者才是攻擊呀
誘使使用者安裝偽造過的app，使用者來不及驗證app是開源的那一個的話，就能攻擊到

這在Electrum就發生過，整個electrum是開源的，但一次的update被劫持
就導致惡意客戶端被安裝，發生了竊盜事件

要客戶裝上假的app，始終還是比要客戶裝上惡意的firmware容易
如果flawed fw先被官方給裝進了全部的裝置，那漏洞就被固定住

剩下要處理社交工程/人因工程的侵入，就會比要破解FW容易得多

當然不是說fw惡搞之後就等於全面裸奔，但對於存有大量資產的人來說，夠驚悚了

更何況ledger外流過客戶資料...

→ wahaha99: 當然啦,開源的好處就是抓漏洞容易,FW確實有可能會被
找到未公開漏洞而被攻擊12F 05/19 15:57

※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 16:40:59

推 wahaha99: 考慮到這個層面那是這樣沒錯啦 XD14F 05/19 19:09

其實就FW是SW的後備防禦，當SW被攻破的時候，FW是最後一道防線
而硬體錢包因為大家認為有硬體這道防禦，對app更新之類的警戒心也會比較低

ledger等於是FW這一道防線無法讓人信服了，出現信用問題

他們唯一的拯救方式就是把firmware給開源

但不曉得是不是有很難秀給大家看的羞恥物科科

是說這類東西就是如果能正常運作、沒有關於安全性的更新的話
不論firmware或是software，最好都是不要更新

或是等到更新出來好一陣子，沒有爆出問題，才考慮要不要去更新
※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 20:03:07

推 brucetu: FW不開源等於有可能你更新FW然後錢就被新版的FW全部轉走內部人手上有開源的app加上FW sourcecode 加上你安裝了他新寫的惡意FW，絕對有能力把錢轉走，分析app code看key怎麼存的就能在FW裡面塞一段code把key傳出去或是發起交易，整個設備都是他控制啊15F 05/19 21:31

推 mongala: onekey也是開源的20F 05/20 08:18

作者 azuel 的最新發文:

+8 Re: [閒聊] 比特幣的未來 - DigiCurrency 板

作者: azuel 1.164.116.154 (台灣) 2024-11-23 20:24:29

48F 8推
Re: [閒聊] 比特幣的未來 - DigiCurrency 板

作者: azuel 1.164.116.154 (台灣) 2024-11-23 00:39:16

7F
+14 [閒聊] 舊手機PSBT錢包 BTC良好儲存方案 - DigiCurrency 板

作者: azuel 136.23.35.37 (台灣) 2023-05-24 14:19:01

註1：這個方法是BTC only，其他幣如果有類似的方法，就麻煩其他熟悉的人分享了註2：雖然嚴格來說iOS可以透過安裝Python環境來安裝所需的功能，但麻煩度還是太高了，建議還是以androi …

27F 14推
+9 Re: [新聞] Ledger助記詞恢復功能爭議整理 - DigiCurrency 板

作者: azuel 1.164.123.214 (台灣) 2023-05-19 01:53:17

20F 9推
+11 Re: [新聞] Ledger助記詞恢復功能爭議整理 - DigiCurrency 板

作者: azuel 1.164.123.214 (台灣) 2023-05-18 16:28:08

拋磚引玉一下，提供幾個可以自己製作近似硬體錢包的方案。我相信可能有人有更優秀、更方便的方案，請不吝分享。我的方法： 1. 舊手機 : 1.a 任何退役下來的舊手機，恢復乾淨狀態之後，只安裝軟體錢 …

22F 11推

點此顯示更多發文記錄