DigiCurrency 板


LINE

※ 引述《ULTIMA1002 (晚点再说)》之铭言: : 如题 : 个人不是学资讯相关的, : 只是觉得不少在卖冷钱包的厂商, : 本身的信誉有办法被验证吗? : 冷钱包里面如果预先暗藏什麽木马还是病毒的, : 等到哪天时机对了再一次收割? : 有没有这种风险? : 当然冷钱包只有用到的时候才会连网, : 但是如果里面已经有特殊程式会自动在连上网路时去抓取用户资料, : 然後在某个时间点最多人连网的时候作收割? : 还是我想太多? : 只是单纯觉得对硬体资安这种东西不太懂, : 想问冷钱包本身有没有被厂商动手脚的可能? 真正的冷钱包是完全离线的,用的时候都不连网, 不过这种冷钱包相对难用。(要把签名内容抄出来广播) 那麽冷钱包有没有来自设计者的风险? (二手搞鬼的姑且不论) 目前小弟想到的, 大致上大概有这两种途径: 一、冷钱包连线的时候。 多数市售冷钱包会附上手机用的app, 然後以蓝芽什麽等方式与装置连线, 那麽装置 <-> app <-> 网路 这之间确实存在着可能的通道。 如果厂商有心作怪,装置可以留下 app 可以访问密钥的後门。 当然,app要反解译并不难,若有人检查是有可能抓包。 二、出厂时预先决定好。 假设app与冷钱包内预先设计好, 助记词与私钥产生的方式其实只有一亿组 (或一个很大但不太离谱的数字), 你以为是随机产生,实际上只是在这一亿组里面随机挑一组出来, 那确实厂商有可能掌握到你的私钥。 破解方法:自己输入助记词, 并检查一下跟BIP39产生的结果是否相同。 不同的不要用。 目前小弟想到的方法大概是这两种。 还有其他的方法也欢迎提出来。 ***** 当然,还是完全离线的最好。 这时候就不得不推一下小弟自己写的ETH温钱包, #1YpEmf_G --



※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.32.7.7 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1668240475.A.0E3.html ※ 编辑: overdoingism (114.32.7.7 台湾), 11/12/2022 16:18:11
1F:推 sweetorz: 纯前端钱包可以放到 IPFS 上,只要该 CID 的程式码经得 11/12 16:20
2F:→ sweetorz: 起时间考验,就会有更多人使用 11/12 16:20
3F:推 frrr: 我看过离线的,有一个小萤幕 会显示交易讯息的qrcode, 接着 11/12 16:39
4F:→ frrr: 要用手机拍照广播 11/12 16:39
5F:推 frrr: http://i.imgur.com/yphN7Lv.jpg 11/12 16:43
6F:→ frrr: 感觉这种最稳 11/12 16:44
7F:→ brucetu: 楼上 塞个发报器把密钥打回去主机也不是不可能 11/12 16:49
8F:→ brucetu: 毕竟只要割到就是一大笔钱 技术上麻烦点没关系 11/12 16:50
9F:→ brucetu: 所以还是看厂商诚信 11/12 16:50
10F:推 deangood01: 真正要搞把产私钥的seed决定有限个就好了 然後可以用 11/12 17:03
11F:→ deangood01: PRNG产出 256bit的私钥 简化的方法可以是HMAC(seed, 11/12 17:03
12F:→ deangood01: round number) 不知道seed的状况下 PRNG 跟 RNG在数 11/12 17:03
13F:→ deangood01: 学上是完全分不出差异的,这如果开源还好检查 硬体的 11/12 17:03
14F:→ deangood01: 话真的很难验证是否作假 11/12 17:03
15F:推 trylovetom: 用 Paper wallet 呀 11/12 17:03
16F:→ brucetu: 原PO自己输入助记词的方式可以破解有限seed 11/12 17:06
17F:推 standalone: Safepal S1是用QR code我就是用这个 11/12 17:49
18F:→ sazabijiang: 只要有APP而原始码不公开,其实都有可能有後门 11/12 18:31
19F:→ sazabijiang: 但就算没有原始码,APP在干这种事情的时候也可能会 11/12 18:33
20F:→ sazabijiang: 被侦测到,厂商必须冒着被抓包的风险,而且钱包不 11/12 18:33
21F:→ sazabijiang: 绑使用者身分,每一只钱包都把注记词送回母公司 11/12 18:34
22F:→ sazabijiang: 它得到巨量资料也没有实际用途。但如果是鱼叉式钓鱼 11/12 18:34
23F:→ sazabijiang: 针对特定人士或特定机构订制特定钱包这样搞,技术上 11/12 18:35
24F:→ sazabijiang: 是可行的。毕竟一般人没事不会每次开APP交易时,还 11/12 18:35
25F:→ sazabijiang: 同时监看防火墙连线.... 11/12 18:35
26F:推 walkwall: 那麽是不是可以写成一个 Python 脚本, 存在自己电脑, 函 11/12 21:35
27F:→ walkwall: 式库也是存在自己的PC上, 应该做得到? 11/12 21:35
28F:→ brucetu: 楼上 原PO写的开源钱包就是这个意思 只是他不是Python 11/12 22:33
29F:推 dalconan: 最早挖比特币的,也是存在自己电脑吧?意思应该差不多 11/12 22:57
30F:推 deangood01: 有限seed可以经过KDF变成无限seed' 所以还是无法检 11/13 07:18
31F:→ deangood01: 查的 11/13 07:18







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:Soft_Job站内搜寻

TOP