作者jinhouse123 (回到1981吧)
看板DigiCurrency
标题Re: [闲聊] 钱包被盗
时间Sat Jul 4 09:30:22 2026
其实早期任何冷钱包都会遇到这种问题,後面冷钱包公司也都会改良问题。
只是Trezor这个品牌最大又开源,Trezor 在欧美使用人数最多。
在台湾YT很少介绍 Trezor ,感觉Youtuber 都是拿广告收益在推冷钱包,或是推成立
没有很久的冷钱包公司的产品。
那冷钱包只要有电池 EX:锂电池
电池放久了就容易坏掉或膨胀,这点 YT 也都没啥在提,可Google: L牌 电池问题
----
AI :
「仿冒 Trezor One 案」是加密货币硬体钱包历史上非常着名且经典的供应链攻击(
Supply Chain Attack)与实体诈骗案例。
早年在加密货币社群(大约在 2018 至 2019 年间达到高峰),市面上出现了外观与捷克
制造商 SatoshiLabs 生产的 Trezor One 极其相似,但内部晶片已被窜改的仿冒品。这
类案件的技术细节与手法非常值得警惕:
1. 仿冒品的核心手法
这类仿冒品并非单纯的「山寨玩具」,而是具备高度技术含量的恶意装置:
完美复制的外观: 仿冒品的机壳、USB 接口、甚至是外包装盒和防伪全息贴纸(
Hologram sticker),都做到了肉眼难以分辨的程度。
窜改的硬体与韧体: 攻击者将内部的微控制器(MCU)更换,或写入了被修改过的恶意韧
体。
预设私钥(助记词): 正版的 Trezor 在第一次开机时,会要求使用者在随机生成的过
程中记录全新的 24 个助记词。而仿冒品往往在出厂时就已经写死了某一套助记词,或者
其随机数生成器(RNG)已被动过手脚,让黑客可以轻易推算出生成的密钥。
资产窃取: 当使用者以为自己把资产转进了安全的冷钱包,实际上黑客随时可以利用早
已掌握的私钥,将里面的加密货币全部转走。
2. 官方(SatoshiLabs)的应对与防御机制
此案发生後,Trezor 官方采取了多项硬体与软体上的升级来杜绝此类问题:
韧体签章验证(Firmware Signing):
目前的 Trezor 装置在开机时,引导加载程序(Bootloader)会严格验证韧体的加密签章
。如果装置内运行的是未经官方授权的修改版韧体,萤幕会直接跳出严重的警告讯息(例
如:“Unofficial firmware detected”)。
全息防伪贴纸改良:
官方多次升级了包装盒上的雷射全息贴纸,使用高科技的雷射图案与胶水,只要被撕开过
就无法完美复原。
超音波焊接机壳:
正版 Trezor One 的外壳是透过超音波焊接(Ultrasonic welding)密封的。如果要拆开
更换内部晶片,必然会破坏塑料外壳,留下明显的撬开或胶水修补痕迹。
如何确保手上的硬体钱包安全?
如果您正打算使用或检查手边的冷钱包,以下是防范此类安全威胁的铁律:
绝对只从官方网站或授权经销商购买: 避免在不明电商平台(如没有官方认证的第三方
卖家)或拍卖网站购买二手、甚至宣称「全新未拆」的便宜货。
检查初始状态: 收到装置开机时,绝对不能有预设的 PIN 码或现成的助记词。正版装置
第一次开机时,必然是空的,且会强制要求你进行韧体更新与亲自抄写随记生成的助记词
。
注意电脑端软体提示: 连结官方软体(如 Trezor Suite)时,如果软体提示「硬体特徵
不符」或「无法验证真伪」,应立即停止使用。
※ 引述《padmafeel (佳境)》之铭言:
: 2023年:卡巴斯基揭露的「仿冒 Trezor One 案」
: 这是近年最轰动的「真硬体替换」案例。
: 骇客手法: 骇客完全不是走网路攻击,而是拦截了运输途中(或透过非官方零售商
: )的 Trezor One 钱包。
: 他们在不破坏外包装(或伪造防伪贴纸)的情况下拆开机壳,将内部的原厂安全晶片
: (Secure Element)直接焊解下来,替换成骇客特制的恶意微控制器(MCU)。
: 资安後果: 这个特制的恶意晶片内建了被篡改的韧体(Firmware),它会移除韧体
: 签章验证。当用户开机时,它看似正常运作,但产生的助记词(Seed Phrase)根本不是
: 随机的,而是骇客早就预设好的私钥。
: 结果: 用户一将加密货币汇入,骇客立刻在远端将资产全数提走。
: 文章标题: Review and analysis of fake Trezor cryptowallet
: 发布日期: 2023 年 5 月 10 日
: 官方网址:
: https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/
: ※ 引述《padmafeel (佳境)》之铭言:
: : Trezor 聊故事
: : trezor硬软体验证
: : 加密晶片文件
: : https://github.com/tropicsquare/tropic01
: : 硬体线路
: : https://github.com/trezor/trezor-hardware
: : 加密晶片SDK
: : https://github.com/tropicsquare/libtropic
: : STM32U5G MCU firmware open source
: : https://github.com/trezor/trezor-firmware
: : App open source
: : https://github.com/trezor/trezor-suite
: : 为什麽 trezor 会完全公开也不怕别人抄? 只卖trezor safe 维生?
: : 有像ubuntu一样的金主支持?
: : 母公司:SatoshiLabs(捷克,布拉格)
: : SatoshiLabs 是一个专注於加密货币与开源创新的科技集团,由 Marek Palatinus(绰
: : 号 Slush)和 Pavol Rusnák(绰号 Stick)共同创办,打造了全球第一个加密货币硬体
: : 钱包 Trezor。
: : 商业模式:只靠卖硬体吗?
: : 主要就是卖硬体,没有像 Ubuntu 那样有 Canonical 企业金主:
: : SatoshiLabs(母公司)持有 Trezor,是捷克私人公司,未上市
: : 收入几乎全来自硬体销售(Trezor Model One、Safe 3、Safe 5)
: : 没有已知的大型外部金主或风投主导
: : SatoshiLabs 旗下也做其他产品(如 Invity 加密货币换汇平台),有轻微营收多元化
: : Marek Palatinus(Slush)区块链先驱,同时也是全球第一个比特币矿池 Slush Pool 的
: : 创办人
: : Pavol Rusnák(Stick)负责软硬体开发方向
: : 整个集团的灵魂一以贯之:「不要相信,要验证(Don't trust, verify)」——从晶片
: : 、韧体、到 App,全部开源,让任何人都能审计。ps:这精神非常像zkVM
: : 整个故事的因果关系
: : Marek 一开始自己独立挖矿,但随着难度上升越来越不划算,於是创建了 Slush Pool—
: : —全球第一个公开比特币矿池,让矿工可以合作挖矿。这个矿池後来演变为今天的
: : Braiins。 Satoshilabs
: : Slush Pool 越来越成为骇客攻击的目标,这才让他意识到需要找到更好的安全解决方案
: : 来保护比特币资产。就在这个背景下,Pavol 和 Marek 在 2011 年於布拉格的 brmlab
: : 骇客空间相识,SatoshiLabs 的故事就此开始。 Satoshilabs
: : 换句话说:被骇 → 想解决安全问题 → 发明硬体钱包
: : 完全没有外部 VC 创投
: : Trezor 官方明确表示:「我们是一家独立公司,不接受任何外部投资,不参与风险投资
: : ,因为我们不想让产品的安全性受到妥协。
: : Marek 亲口说过:他在用 Slush Pool 挖矿时,矿池在 Linode 骇客事件中损失了数千枚
: : 比特币。正是这个痛苦的经历让他们想出把私钥隔离到独立环境的概念。 Medium
: : *****这不是商人看到商机——是工程师被抢了之後,怒而解决问题。*****
: : 官方故事也明确写道:两人出於纯粹的好奇心与兴趣开始探索,完全没有商业动机。
: : 不接受创投的原因不只是个性,是逻辑
: : Trezor 明确表示不参与风险投资,因为不想让产品的安全性受到妥协。 Trezor
: : 这句话背後的意思很深:VC 要求成长、获利、退出——这些压力可能会迫使公司在安全
: : 与商业之间妥协。Ledger 接了 5.75 亿美元的 VC,2023 年就推出了争议极大的
: : Ledger Recover(私钥分片上传云端),社群普遍认为这就是资本压力下的产物。
: : Trezor 选择穷,但不妥协。
: : 感想:工程师怒气造就了Trezor 他们心愿在也许就是世界安全吧
: : 这公司以後会发!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.255.79.196 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1783128633.A.3B9.html
1F:嘘 woshiyisheng: 废文 07/11 15:27