PTT鄉民日記

今日文章
八卦
股票
海外投資
理財規劃
日旅
韓旅
歐旅
航空
工作
軟工
職場
肌肉
單車
跑步
健身
NBA
棒球
表特
韓星
汽車
重機
機車
行動通訊
PC購物
鍵鼠
硬碟
耳機
喇音
攝影
網購
家電
電視
iOS
Steam
NSwitch
PS5
XBOX
行動支付
數位貨幣
女孩
精品
美保
美妝
醫美
電影
日劇
韓劇
EA
中劇
烹飪
飽板
咖啡
男女
婚姻
媽寶
愛貓
媽佛
房屋
省錢
銀行服務
信用卡
保險
公職
教師
國營
國考
超商
速食
玄幻
原創
霹靂
笑話
笨板
西斯
AV女優
裏洽
隱私權政策關於我
數位貨幣分享連結

Re: [新聞] Ledger助記詞恢復功能爭議整理

數位貨幣

980

: 現在可能沒有任何一個硬體錢包是真正安全的
: 只能再觀察看看這部分的市場缺口之後會由誰補上
: 在那之前只能先勸大家不要隨便更新手上Ledger硬體錢包的韌體

再補充一點,目前有open source的硬體錢包
但我做一個晚上的功課還沒有辦法確認是不是所有環節都有open source
如果有人發現open source不完全的話,請也報給大家知

至少手中拿這些的人可以相對喘口氣:

1. trezor :
https://trezor.io/

https://github.com/trezor
Trezor
GITHUB.COM
Trezor
The Original Hardware Wallet | Usability + Security + Privacy | made by @satoshilabs - Trezor


2. coldcard :
https://coldcard.com/

https://github.com/Coldcard
COLDCARD
GITHUB.COM
COLDCARD
The right kind of security, for the appropriate level of paranoia. - COLDCARD


3. blockstream jade(BTC only) :
https://blockstream.com/jade/
Blockstream Jade: A powerful hardware wallet for securing your Bitcoin.
BLOCKSTREAM.COM
Blockstream Jade: A powerful hardware wallet for securing your Bitcoin.
Traders. Hodlrs. Investors. Your Hardware wallet is here. Jade is the most advanced hardware wallet yet.

https://github.com/Blockstream/Jade
GitHub - Blockstream/Jade: Jade hardware wallet
GITHUB.COM
GitHub - Blockstream/Jade: Jade hardware wallet
Jade hardware wallet. Contribute to Blockstream/Jade development by creating an account on GitHub.

(好啦我知道這個很拉仇恨值,但我還是得列出來啊)

4. Bitbox :
https://shiftcrypto.ch/bitbox02/
BitBox02 hardware wallet
BITBOX.SWISS
BitBox02 hardware wallet
Your crypto journey starts with a BitBox02. Secure your Bitcoin and cryptocurrency with the Swiss-made hardware wallet

https://github.com/digitalbitbox/bitbox02-firmware
GitHub - digitalbitbox/bitbox02-firmware: Firmware code of the BitBox02 hardware wallet
GITHUB.COM
GitHub - digitalbitbox/bitbox02-firmware: Firmware code of the BitBox02 hardware wallet
Firmware code of the BitBox02 hardware wallet. Contribute to digitalbitbox/bitbox02-firmware development by creating an account on GitHub.


5. keepkey :
https://www.keepkey.com/

https://github.com/keepkey/keepkey-firmware
GitHub - keepkey/keepkey-firmware: KeepKey Device Firmware
GITHUB.COM
GitHub - keepkey/keepkey-firmware: KeepKey Device Firmware
KeepKey Device Firmware. Contribute to keepkey/keepkey-firmware development by creating an account on GitHub.


6. Passport (BTC only) :
https://foundationdevices.com/passport/
Passport
FOUNDATIONDEVICES.COM
Passport
Passport, the next generation hardware wallet. Airgapped security, fully open source, assembled in the USA.

https://github.com/Foundation-Devices/passport2
GitHub - Foundation-Devices/passport2: v2.x.x series of firmware for Passport
GITHUB.COM
GitHub - Foundation-Devices/passport2: v2.x.x series of firmware for Passport
v2.x.x series of firmware for Passport. Contribute to Foundation-Devices/passport2 development by creating an account on GitHub.



有open source表示它software / firmware都相對透明、可檢驗
廠商更新的時候,人們可以檢視更新的內容是什麼

如果有可疑的更新、包含任何把私鑰匯出的功能,就會被發現


ledger則是firmware沒有open source,只有app有

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.123.214 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684432415.A.CE3.html
wahaha991樓其實APP有也很夠了,只有FW不能怎樣啊 05/19 03:51
I'm not... so sure
usttsu2樓safepay 這款有open source嗎 05/19 08:28
safe pay? 法幣和信用卡的支付交換系統? 還是你講的是safepal? 如果是safepal的話,它沒有開源
hallow3樓只有FW不能怎麼樣?駭客可以不要用官方的SW啊 05/19 11:51
wahaha994樓駭客不用官方FW 你FW有開源是有鳥用 XD 05/19 14:19
wahaha995樓看錯 05/19 14:19
wahaha996樓不用官方APP 那對一個沒開源的FW是能怎樣? 05/19 14:20
我想內部人風險是有的,哪天熟悉這部分環節的內部人精心策畫之後rug user 這樣的情境應該不是沒可能 開源除了大家來找蟲之外,也是隔離掉大部分的內部人風險 另外FW沒有開源但SW開源,也可能被摸出怎麼去call的方法?
usttsu7樓我打錯字,safepal,沒有開源啊 05/19 15:13
yahooyamgoog8樓原來safepal沒開源,那可以繼續凍存了 05/19 15:46
wahaha999樓我的意思是如果FW沒開源、APP有開源的前提 05/19 15:56
wahaha9910樓APP既然開源, 內部人也沒法rug啊,不管怎樣要透過app去 05/19 15:56
wahaha9911樓跟冷錢包access不是? 05/19 15:56
其實並不一定要全面性的一次攻擊所有的使用者才是攻擊呀 誘使使用者安裝偽造過的app,使用者來不及驗證app是開源的那一個的話,就能攻擊到 這在Electrum就發生過,整個electrum是開源的,但一次的update被劫持 就導致惡意客戶端被安裝,發生了竊盜事件 要客戶裝上假的app,始終還是比要客戶裝上惡意的firmware容易 如果flawed fw先被官方給裝進了全部的裝置,那漏洞就被固定住 剩下要處理社交工程/人因工程的侵入,就會比要破解FW容易得多 當然不是說fw惡搞之後就等於全面裸奔,但對於存有大量資產的人來說,夠驚悚了 更何況ledger外流過客戶資料...
wahaha9912樓當然啦,開源的好處就是抓漏洞容易,FW確實有可能會被 05/19 15:57
wahaha9913樓找到未公開漏洞而被攻擊 05/19 15:57
wahaha9914樓考慮到這個層面那是這樣沒錯啦 XD 05/19 19:09
其實就FW是SW的後備防禦,當SW被攻破的時候,FW是最後一道防線 而硬體錢包因為大家認為有硬體這道防禦,對app更新之類的警戒心也會比較低 ledger等於是FW這一道防線無法讓人信服了,出現信用問題 他們唯一的拯救方式就是把firmware給開源 但不曉得是不是有很難秀給大家看的羞恥物 科科 是說這類東西就是如果能正常運作、沒有關於安全性的更新的話 不論firmware或是software,最好都是不要更新 或是等到更新出來好一陣子,沒有爆出問題,才考慮要不要去更新
brucetu15樓FW不開源等於有可能你更新FW然後錢就被新版的FW全部轉走 05/19 21:31
brucetu16樓內部人手上有開源的app加上FW sourcecode 加上你安裝了他 05/19 21:37
brucetu17樓新寫的惡意FW,絕對有能力把錢轉走,分析app code看key 05/19 21:37
brucetu18樓怎麼存的就能在FW裡面塞一段code把key傳出去或是發起交 05/19 21:37
brucetu19樓易,整個設備都是他控制啊 05/19 21:37
mongala20樓onekey也是開源的 05/20 08:18