※ 引述《a14736989tw (毛阿)》之铭言： : 最近终於下定决心买冷钱包，想说可以不用担心平台卷款逃跑，手上拿着ledger nano s : plus打算明天要入金进去，在做功课的时候才看到ledger recover事件。先不讨论他要不 : 要先经过你同意，至少这台机器是有能力把助记词上传到网路上的，这让我觉得市面上的 : 冷钱包都不冷了，到底有什麽方式能确保助记词不上网呢? : 以下是我考虑过的方式，但是别说骇客，连我自己都觉得很多漏洞... : 旧手机自制冷钱包： : 有看到用旧手机制作不联网的冷钱包教学，似乎都是先下载一个app後离线生成助记词， : 但是有没有可能这个app一开始就被设定只产出某几串的助记词? 正常助记词的可能性是2 : 048^24种，谁知道这app内会不会如实设定? : 自己选择助记词： : 假设自己选择24个助记词後在网站上形成私钥来使用，使用的加密网站也可能是有心人士 : 设计出来的，你打上去後他也会知道你的助记词。 : 我越研究头越痛，想说还是发文问问广大网友的意见好了，感谢耐心看完，能给我建议就 : 更好了，谢谢！ : ----- : Sent from PttX on my iPhone 其实我最近一直在思考这问题 我认为Ledger这家公司硬体冷钱包不建议去买 因为它是半开源半封闭软体而该公司有没有後门跟动过手脚真的没人知道 也就是说硬体钱包助记词是给英国公司托管而server是否离线我不确定 另外一个trezor冷钱包属於开源软体比较推荐买它 买之前先确认是否100%官方网站之前有人去买不知道哪里管道结果资金被偷走 对方也是离线生成助记词钱包没有下载过软体照样中招 原因是原来他买的硬体钱包竟然被私自被改装晶片轫体结果就是贪小便宜就没了 还有另外一个比较离谱就是钱包正货的结果有人跑去Apple Store下载官方软体 结果就是因为官方跟骗子APP图片网站太过类似很难察觉有人去下载安装打助记词 传资金进入结果被转走事件发生等等 至於有人提到纸钱包比较出名是bitaddress.org 网站 不过纸钱包生成网站不建议因为有许多都是有後门你离线生私钥照样被偷 实际上当你从资金转进来你在blockchain.com 是无法察觉的 骇客不会立刻转走而使用钓鱼方法赌你一直转进来而不去启动私钥 实际上生成网站随机数产生私钥都是假的 你的钱包早就被他控制在一个主钱包 只有bitinfocharts.com才发觉到因为我曾经中招 https://bitinfocharts.com/bitcoin/wallet/92410247 bitaddress.org软体已经2016年从没更新过 最重要的是开发者fingerprint早就过期不建议使用而且只支持到win10 如果那麽怕的话建议使用verify软体例如gpg4win 再创建kleopatra 去认证下载过的 exe 跟 asc或signature openPGP text file 然後去认证开发者fingerprint RSA key 另外一个方法是window powershell 如果网站有提供SHA256 checksum的话 就输入指令Get-FileHash打入exe 就可以比对SHA256 Hash是否正确 还有gpg --verify 指令就可以认证开发者fingerprint RSA Key MDS & SHA Checksum Utility 2.1软体也有提供认证 想要很详细自己去看找找我只是讲重点 最後我想说的是冷钱包到底是不是绝对安全没人敢保证 桌面软体钱包也是曾经会受到攻击例如electrum 不管怎样最好是完全断网跟影印机是没wifi只有usb前提是你的硬体钱包是正货 verify软体有去认证的话我想没问题吧 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 219.94.62.112 (马来西亚) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1710517443.A.055.html