Re: [新聞] Ledger助記詞恢復功能爭議整理
: 推 john371911: https://reurl.cc/nD61kD 樓上,這篇說還是有問題? 05/22 08:36: → azuel: 感謝john補充,那看來如果實體被奪走裝置還是有可能被破解 05/22 11:57: → azuel: 但相較之下,比起裝置沒有被奪走、自己插上USB卻被漏洞攻擊 05/22 11:58: → azuel: 的程度來說,嚴重度應該還是低了許多 05/22 11:59: → azuel: 需要被實體奪走、跟軟體更新就可能被奪走的差距還是有 05/22 12:00: → azuel: https://youtu.be/M78BpPCO43Q 05/22 12:04: → azuel: Unciphered聲稱破解的影片是這個 05/22 12:05: → azuel: 這方法是要置換掉晶片,跟最早破解的那種方法又不同了 05/22 12:11
先不論Unciphered的破解方式到底是不是真的存在 (因為也有可能並不是真的破解)
Trezor有另一個方法增強防護能力,官方聲稱這可以阻斷物理攻擊。
不過僅限於Trezor T,並且需要自己建立Python環境。
https://trezor.io/learn/a/using-trezorctl-commands
https://trezor.io/learn/a/encrypt-pin-with-microsd-card
簡單說就是:
1. 從Python環境安裝trezorctl命令工具
2. Trezor T裝MicroSD卡,用trezorctl相關工具啟用SD protect
這樣會把機敏訊息分拆一份token到SD卡上,必須要插卡才能解密Trezor T。
就官方的說法來說,只要把Trezor跟SD卡分開放的話,就算被物理取得Trezor也無法
破解,除非你再次手動關閉這個功能,或是把Trezor給還原成出廠狀態。
這個就屬於比較進階的操作了,用Trezor T同時又有這些技能的人可能少,但既然有
方法,我就轉貼上來,有需要的人去使用吧。
https://twitter.com/brian_trollz/status/1661470842847625216
Shinobius認為Coldcard是目前安全度比較高的選擇,但Trezor T如果至少能採用這種
方法的話,沒有SD卡就不可能解密私鑰,基本無法物理破解,就會比較好些。
--
可以用這方法,把passphrase放到記憶卡上嗎?不然如果
想要用passphrase, 做保護就蠻安全了,再加sd卡用的
時候會又多一個步驟。
我不太確定你說的passphrase是指哪邊的passphrase 如果要把任何的passphrase / seed phrase放到SD卡上的話 強烈建議要用GPG加密,然後把GPG的key放在不同的SD卡上收起來 或是用multisig在不同的卡上存放不同的key 總之避免一個儲存裝置被找到就被整鍋端走的風險
※ 編輯: azuel (136.23.34.72 臺灣), 05/29/2023 02:02:322
這下爭議很大了 影響遠比Google authenticator開放雲端備份嚴重的多 因為Google authenticator私鑰本來就存在手機裡 大家預期的安全性不會太高 但Ledger的硬體錢包 一直以來的賣點主打就是 "私鑰永遠不會離開你的硬體裝置" "任何對實體進行電壓/雷射/輻射精密測量也無法取出私鑰"6
老實說 我對大家的氣憤感到非常意外 XDD 如果說私鑰從頭到尾都是純硬體保護 不可變不可改不可提取 那你的硬體錢包根本無法升級啊13
拋磚引玉一下,提供幾個可以自己製作近似硬體錢包的方案。 我相信可能有人有更優秀、更方便的方案,請不吝分享。 我的方法: 1. 舊手機 : 1.a 任何退役下來的舊手機,恢復乾淨狀態之後,只安裝軟體錢包。開飛航模式3
剛好前陣子所寫的文章、程式,通通派上用場了。 XD 大概是有預感、這天遲早會來的。 ...買股票有這種預感能力就好了。 #1ZRrHR3Z #1YpEmf_G9
再補充一點,目前有open source的硬體錢包 但我做一個晚上的功課還沒有辦法確認是不是所有環節都有open source 如果有人發現open source不完全的話,請也報給大家知 至少手中拿這些的人可以相對喘口氣: 1. trezor :13
提出幾個技術事實,這場風波看下來,多數使用者可能先前沒弄清楚,加上糟糕的行銷宣傳,所以自認被欺騙了: 1.Ledger架構的作業系統(BOLOS)和支持各鏈算法的APP「本來就是」跑在安全晶片(SE)裡 面。 2.BOLOS虛擬機下的APP為了簽名「可以」碰到派生的各鏈私鑰。 3.Ledger的韌體更新和Live軟體安裝APP,就是在操作SE內容。
7
[閒聊] ledger nano s螢幕壞了很久沒動過的ledger nano s 居然發現即使在很暗的臥室裡 也要非常努力才勉強才看的到字 而且有嚴重殘影 幾乎不能使用了 不知道是個案還是通案4
[挖礦] 在網站做流動性挖礦的時候請問一下要是正在質押或做流動性挖礦的時候,metamask點connected site然後刪除那個 網站,裡面的錢是不是就會不見啊 --4
[閒聊] 交易所錢包請問一下一般正常人使用錢包就是熱錢包metamask或是trezor 和ledger這種,那交易所 是怎麼持有客戶的幣的,也是像一般人用硬體錢包這樣嗎?還是是用熱錢包,畢竟很多東 西不太支援硬體錢包 --3
Re: [閒聊] 冷錢包購買來源問題想借這串標題問一下 幾個月前在 "X花實驗室"購買一個冷錢包 他號稱是TREZOR的台灣授權經銷商 但是在TREZOR官網都看不到任何相關資料 現在有點抖 怕被sorry we have to.....3
[Coin] Unconfirmed Transaction我平常會在trezor 和幣安間轉幣,今天第一次卡住了。 最近幣市過熱想避避風頭,所以老樣子在Trezor 選了發送,填了幣安錢包,fee用經濟的 就送出了,過了快10小時還沒過去,去explorer看狀態一直在unconfirmed transactions ,不確定這是正常的時間嗎?以前我選一樣的費用最多也幾小時就過了 這樣代表是不是交易還沒上鏈呢?有辦法用更高的fee重送嗎?感謝大大3
Re: [閒聊] Ledger Nano S 入手+心得(支援BSC等側鏈)這個部分有點複雜先整理一下,主要針對Trezor跟Ledger 首先是作業系統的部分 iOS | Android 連接方式 藍芽 | USB OTG/藍芽 適用機種 Ledger Nano X | Ledger全系/Trezor全系1
[閒聊] trezor使用問題請問一下我metamask有trezor1 trezor2可是在trezor io只有顯示1的錢包,要怎麼讓2的 也顯示出來,我新增一個hidden wallet以為會跑出2結果是別的地址,我有在網路上找不 過沒有類似的資訊 --- 用了很久的的Trezor one 冷錢包,不支援ADA ,想升級 Trezon T 請問如果新買的Trezon T 直接使用助記詞來恢復,那原本的Trezon one 還可以繼續使用嗎? 還是會失效?如果沒失效 那兩個冷錢包可以同時使用一組助記詞及私鑰嗎? ----- Sent from JPTT on my Samsung SM-G965F.
- 看著最近各國對於加密貨幣的政策控管愈趨明顯,想說買個冷錢包trezor one自己保管加 密貨幣。 為了避免買到二手假貨,我會在官網購買,請問各位版友有優惠碼嗎? 謝謝大家 --