回看板
Disp BBS
作者 azuel (Observer)
標題 Re: [新聞] Ledger助記詞恢復功能爭議整理
時間 Fri May 19 01:53:17 2023

※ 引述《MRjk ()》之銘言:
: 現在可能沒有任何一個硬體錢包是真正安全的
: 只能再觀察看看這部分的市場缺口之後會由誰補上
: 在那之前只能先勸大家不要隨便更新手上Ledger硬體錢包的韌體

再補充一點,目前有open source的硬體錢包
但我做一個晚上的功課還沒有辦法確認是不是所有環節都有open source
如果有人發現open source不完全的話,請也報給大家知

至少手中拿這些的人可以相對喘口氣:

1. trezor :
   https://trezor.io/
Trezor Hardware Wallet (Official) | Bitcoin & Crypto Security
[圖]
The safest cold storage wallets for crypt security and financial independence. Easily use, store, and protect Bitcoins. ...

 
   https://github.com/trezor
Trezor ·  GitHub
[圖]
👑 The Original Hardware Wallet | Usability + Security + Privacy | made by @satoshilabs - Trezor ...

 

2. coldcard :
   https://coldcard.com/
COLDCARD – Hardware Wallet - The Most Trusted and Secure Signing Device (aka. Hardware Wallet)
[圖]
COLDCARD Is The Most Trusted and Secure Bitcoin Signing Device (aka. Bitcoin Hardware Wallet) ...

 
   https://github.com/Coldcard
COLDCARD ·  GitHub
[圖]
The right kind of security, for the appropriate level of paranoia. - COLDCARD ...

 

3. blockstream jade(BTC only) :
   https://blockstream.com/jade/
   https://github.com/Blockstream/Jade
GitHub - Blockstream/Jade: Jade hardware wallet
[圖]
Jade hardware wallet. Contribute to Blockstream/Jade development by creating an account on GitHub. ...

 
   (好啦我知道這個很拉仇恨值,但我還是得列出來啊)

4. Bitbox :
   https://shiftcrypto.ch/bitbox02/
   https://github.com/digitalbitbox/bitbox02-firmware
GitHub - digitalbitbox/bitbox02-firmware: Firmware code of the BitBox02 hardware wallet
[圖]
Firmware code of the BitBox02 hardware wallet. Contribute to digitalbitbox/bitbox02-firmware development by creating an account on GitHub. ...

 

5. keepkey :
   https://www.keepkey.com/
KeepKey Hardware Wallet - The Next Frontier of Crypto Security
[圖]
KeepKey - The premier hardware wallet to help protect your cryptocurrencies and safeguard your assets from hackers. ...

 
   https://github.com/keepkey/keepkey-firmware
GitHub - keepkey/keepkey-firmware: KeepKey Device Firmware
[圖]
KeepKey Device Firmware. Contribute to keepkey/keepkey-firmware development by creating an account on GitHub. ...

 

6. Passport (BTC only) :
   https://foundationdevices.com/passport/
Passport – Foundation
[圖]
Passport, the next generation hardware wallet. Airgapped security, fully open source, assembled in the USA. ...

 
   https://github.com/Foundation-Devices/passport2
GitHub - Foundation-Devices/passport2: v2.x.x series of firmware for Passport
[圖]
v2.x.x series of firmware for Passport. Contribute to Foundation-Devices/passport2 development by creating an account on GitHub. ...

 


有open source表示它software / firmware都相對透明、可檢驗
廠商更新的時候,人們可以檢視更新的內容是什麼

如果有可疑的更新、包含任何把私鑰匯出的功能,就會被發現


ledger則是firmware沒有open source,只有app有

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.123.214 (臺灣)
※ 作者: azuel 2023-05-19 01:53:17
※ 文章代碼(AID): #1aPcOVpZ (DigiCurrency)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684432415.A.CE3.html
※ 同主題文章:
[新聞] Ledger助記詞恢復功能爭議整理
05-17 16:49 tadashi1024
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 00:34 MRjk
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 04:31 wahaha99
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 16:28 azuel
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 17:03 overdoingism
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-19 01:53 azuel
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-20 18:12 ProtectChu56
※ 編輯: azuel (1.164.123.214 臺灣), 05/19/2023 01:55:13
wahaha99: 其實APP有也很夠了,只有FW不能怎樣啊1F 05/19 03:51
I'm not... so sure
usttsu: safepay 這款有open source嗎2F 05/19 08:28
safe pay? 法幣和信用卡的支付交換系統?

還是你講的是safepal? 如果是safepal的話,它沒有開源
hallow: 只有FW不能怎麼樣?駭客可以不要用官方的SW啊3F 05/19 11:51
※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 13:30:28
wahaha99: 駭客不用官方FW 你FW有開源是有鳥用 XD
看錯
不用官方APP 那對一個沒開源的FW是能怎樣?4F 05/19 14:19
我想內部人風險是有的,哪天熟悉這部分環節的內部人精心策畫之後rug user
這樣的情境應該不是沒可能

開源除了大家來找蟲之外,也是隔離掉大部分的內部人風險

另外FW沒有開源但SW開源,也可能被摸出怎麼去call的方法?

usttsu: 我打錯字,safepal,沒有開源啊7F 05/19 15:13
※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 15:28:03
yahooyamgoog: 原來safepal沒開源,那可以繼續凍存了8F 05/19 15:46
wahaha99: 我的意思是如果FW沒開源、APP有開源的前提
APP既然開源, 內部人也沒法rug啊,不管怎樣要透過app去跟冷錢包access不是?9F 05/19 15:56
其實並不一定要全面性的一次攻擊所有的使用者才是攻擊呀
誘使使用者安裝偽造過的app,使用者來不及驗證app是開源的那一個的話,就能攻擊到

這在Electrum就發生過,整個electrum是開源的,但一次的update被劫持
就導致惡意客戶端被安裝,發生了竊盜事件

要客戶裝上假的app,始終還是比要客戶裝上惡意的firmware容易
如果flawed fw先被官方給裝進了全部的裝置,那漏洞就被固定住

剩下要處理社交工程/人因工程的侵入,就會比要破解FW容易得多

當然不是說fw惡搞之後就等於全面裸奔,但對於存有大量資產的人來說,夠驚悚了


更何況ledger外流過客戶資料...

wahaha99: 當然啦,開源的好處就是抓漏洞容易,FW確實有可能會被
找到未公開漏洞而被攻擊12F 05/19 15:57
※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 16:40:59
wahaha99: 考慮到這個層面那是這樣沒錯啦 XD14F 05/19 19:09

其實就FW是SW的後備防禦,當SW被攻破的時候,FW是最後一道防線
而硬體錢包因為大家認為有硬體這道防禦,對app更新之類的警戒心也會比較低

ledger等於是FW這一道防線無法讓人信服了,出現信用問題

他們唯一的拯救方式就是把firmware給開源

但不曉得是不是有很難秀給大家看的羞恥物 科科


是說這類東西就是如果能正常運作、沒有關於安全性的更新的話
不論firmware或是software,最好都是不要更新

或是等到更新出來好一陣子,沒有爆出問題,才考慮要不要去更新
※ 編輯: azuel (61.231.73.54 臺灣), 05/19/2023 20:03:07
brucetu: FW不開源等於有可能你更新FW然後錢就被新版的FW全部轉走內部人手上有開源的app加上FW sourcecode 加上你安裝了他新寫的惡意FW,絕對有能力把錢轉走,分析app code看key怎麼存的就能在FW裡面塞一段code把key傳出去或是發起交易,整個設備都是他控制啊15F 05/19 21:31
mongala: onekey也是開源的20F 05/20 08:18

--
作者 azuel 的最新發文:
點此顯示更多發文記錄