※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684577530.A.BCE.html
推 MRjk: 簡單講 大家發現用了Ledger錢包 還是逃離不了"trust me bro" 05/21 00:56
→ MRjk: 既然都要"trust me bro" , 那怎不一開始信任銀行就好 05/21 00:57
→ MRjk: 畢竟市值幾千億受監管的銀行 和一間遠在法國的小公司 05/21 00:57
→ MRjk: 硬只能選一個比較信任的 那還真不好說該相信誰 05/21 00:58
→ MRjk: 80%以上的人(*包括我)之前會用Ledger 多半是相信他人"無法" 05/21 01:00
→ MRjk: 觸及我的金鑰種子;當然大家現在發現真相了 從day1就不是無法 05/21 01:00
→ MRjk: 只是ledger"還不想"或"還沒被大家發現"這樣做而已 05/21 01:01
→ MRjk: 最後感謝ledger發布這功能 敲醒了很多人的幻想 05/21 01:02
→ MRjk: 原來加密貨幣發展10幾年了 市面上還沒有任何一家無須信任的 05/21 01:03
→ MRjk: 硬體錢包解決方案 05/21 01:03
→ MRjk: 我就說一個假設情境就好 法國政府或法院 要求Ledger必須秘密 05/21 01:09
→ MRjk: 在下一版FW中 將現有全球各Ledger用戶的seed加密傳回政府留 05/21 01:09
→ MRjk: 存 , 請問現在加密社群 有辦法抵擋這種攻擊嗎? 我想連這件事 05/21 01:10
→ MRjk: 是不是早就發生了 都無法偵測 這就是最恐怖的地方 05/21 01:10
→ MRjk: 經過這次揭露 FW根本可以為所欲為 它完全可以繞過user確認 05/21 01:11
→ MRjk: 透過ledger live將敏感資訊發送回去 根本感知不到 05/21 01:12
推 MRjk: 以政府的角度 也要感謝ledger把事情變簡單了 攻破ledger管理 05/21 01:18
→ MRjk: 層 直接一鍋端,以ledger現有市場份額 大概能掌握1/3以上貨幣 05/21 01:20
推 john371911: 樓上,trezor呢?他們都有開源吧? 05/21 01:52
推 MRjk: trezor受限於硬體裝備 被掌握到裝置本身 能透過物理手法取得 05/21 02:01
→ MRjk: seed , Ledger之前的優勢是在於它有特化的安全性硬體,能抵擋 05/21 02:02
→ MRjk: 物理攻擊 但弱點變成FW有可能已被開好後門 05/21 02:02
→ MRjk: 現在還沒有兩全其美的解決方案 等過一陣子看有沒有廠商能補 05/21 02:03
→ MRjk: 我相信很多人會接受完全硬體化 不可透過更新FW支援一堆亂七 05/21 02:04
→ MRjk: 八糟的shit coin,只支援主流BTC/ETH等加密算法的硬體錢包 05/21 02:05
→ MRjk: 也不要為了能靈活支援各種shit coin,讓FW有能力開一堆後門 05/21 02:06
推 hallow: Keystone如何?有開源加上airgap,夠安全了吧? 05/21 05:40
推 tropotato: 這些其實都不是問題吧,雖然我沒ledger,不過上水管看 05/21 05:43
→ tropotato: 一下,貌似初始設置要連接電腦,這就算了大不了斷網跑 05/21 05:43
→ tropotato: 完設置就重灌。更白癡的是搞個藍牙功能。 05/21 05:43
→ tropotato: 只能說冷錢包市場太小,只能每次都妥協一點,到一葛點 05/21 05:43
→ tropotato: 社群終於發現好像怪怪的惹== 05/21 05:43
推 tropotato: 不過這次就看得出來,大多數人不需要真‧冷錢包 05/21 05:46
→ tropotato: 心安又方便的產品才是好產品 05/21 05:46
推 john371911: trezor如果被其他人掌握,也能破解取得passphrase嗎? 05/21 08:22
推 azuel: 感謝分享 05/21 14:10
推 shaomi: 以前聽過有人用trezor 密碼弄丟,找駭客來幫忙破解 有點忘 05/21 14:43
→ shaomi: 了 05/21 14:43
→ azuel: trezor那個需要實體被奪取硬體裝置 05/21 14:51
→ azuel: 並且那個破解的方法其實在2017的更新已經修掉了 05/21 14:51
→ azuel: 只有非常舊的trezor而且被實體取走才有辦法重現那個方法 05/21 14:52
推 john371911: https://reurl.cc/nD61kD 樓上,這篇說還是有問題? 05/22 08:36
推 tadashi1024: 硬體可破解但軟體開源,和硬體難破解但軟體封閉 05/22 10:17
→ tadashi1024: 我個人是覺得前者似乎相對安全 05/22 10:17
→ tadashi1024: 至少前者你可以把冷錢包鎖好不要隨便帶出門 05/22 10:17
→ tadashi1024: 後者是你每次連接網路或更新軟體都是私鑰露出的風險 05/22 10:18
推 usttsu: 線上被盜 大於 實體被盜的機率 05/22 11:48
→ azuel: 感謝john補充,那看來如果實體被奪走裝置還是有可能被破解 05/22 11:57
→ azuel: 但相較之下,比起裝置沒有被奪走、自己插上USB卻被漏洞攻擊 05/22 11:58
→ azuel: 的程度來說,嚴重度應該還是低了許多 05/22 11:59
→ azuel: 需要被實體奪走、跟軟體更新就可能被奪走的差距還是有 05/22 12:00
→ azuel: https://youtu.be/M78BpPCO43Q 05/22 12:04
→ azuel: Unciphered聲稱破解的影片是這個 05/22 12:05
→ azuel: 這方法是要置換掉晶片,跟最早破解的那種方法又不同了 05/22 12:11
推 Wilson310: 刻在鐵板上完全離線自己保存才是 05/25 07:45
→ Wilson310: 冷錢包最原始最核心的理念 05/25 07:45
→ Wilson310: 也是最安全的方式 05/25 07:45
→ Wilson310: 建議可以購買那種拼字的不鏽鋼鐵板 05/25 07:45
→ azuel: 鋼板的問題在於你要交易的時候私鑰還是會暴露在網路環境 05/25 17:53
→ azuel: 始終必須要把鋼板上的seed匯入到某個地方去建立交易 05/25 17:53
→ Wilson310: 寧可信任這些天天吹爆的冷錢包 05/27 08:26
→ Wilson310: 也不願信任鋼板,這就是下場 05/27 08:26
→ azuel: 不需要弄成鋼板和冷錢包的對立吧,各有優缺 05/28 16:45
→ azuel: 一個冷錢包出包,不代表所有冷錢包都出包 05/28 16:45
→ azuel: 鋼板也有屬於鋼板的風險,也有來自於軟體和系統的風險 05/28 16:47
→ azuel: 理解自己選擇的選項可能有甚麼風險、並管理好,是最重要的 05/28 16:47