作者namyoung (meng)
看板DigiCurrency
標題Re: [閒聊] 冷錢包,真的冷嗎?
時間Fri Mar 15 23:44:00 2024
※ 引述《a14736989tw (毛阿)》之銘言:
: 最近終於下定決心買冷錢包,想說可以不用擔心平台捲款逃跑,手上拿著ledger nano s
: plus打算明天要入金進去,在做功課的時候才看到ledger recover事件。先不討論他要不
: 要先經過你同意,至少這台機器是有能力把助記詞上傳到網路上的,這讓我覺得市面上的
: 冷錢包都不冷了,到底有什麼方式能確保助記詞不上網呢?
: 以下是我考慮過的方式,但是別說駭客,連我自己都覺得很多漏洞...
: 舊手機自製冷錢包:
: 有看到用舊手機製作不聯網的冷錢包教學,似乎都是先下載一個app後離線生成助記詞,
: 但是有沒有可能這個app一開始就被設定只產出某幾串的助記詞? 正常助記詞的可能性是2
: 048^24種,誰知道這app內會不會如實設定?
: 自己選擇助記詞:
: 假設自己選擇24個助記詞後在網站上形成私鑰來使用,使用的加密網站也可能是有心人士
: 設計出來的,你打上去後他也會知道你的助記詞。
: 我越研究頭越痛,想說還是發文問問廣大網友的意見好了,感謝耐心看完,能給我建議就
: 更好了,謝謝!
: -----
: Sent from PttX on my iPhone
其實我最近一直在思考這問題
我認為Ledger這家公司硬體冷錢包不建議去買
因為它是半開源半封閉軟體而該公司有沒有後門跟動過手腳真的沒人知道
也就是說硬體錢包助記詞是給英國公司託管而server是否離線我不確定
另外一個trezor冷錢包屬於開源軟體比較推薦買它
買之前先確認是否100%官方網站之前有人去買不知道哪裡管道結果資金被偷走
對方也是離線生成助記詞錢包沒有下載過軟體照樣中招
原因是原來他買的硬體錢包竟然被私自被改裝晶片軔體結果就是貪小便宜就沒了
還有另外一個比較離譜就是錢包正貨的結果有人跑去Apple Store下載官方軟體
結果就是因為官方跟騙子APP圖片網站太過類似很難察覺有人去下載安裝打助記詞
傳資金進入結果被轉走事件發生等等
至於有人提到紙錢包比較出名是bitaddress.org 網站
不過紙錢包生成網站不建議因為有許多都是有後門你離線生私鑰照樣被偷
實際上當你從資金轉進來你在blockchain.com 是無法察覺的
駭客不會立刻轉走而使用釣魚方法賭你一直轉進來而不去啟動私鑰
實際上生成網站隨機數產生私鑰都是假的
你的錢包早就被他控制在一個主錢包
只有bitinfocharts.com才發覺到因為我曾經中招
https://bitinfocharts.com/bitcoin/wallet/92410247
bitaddress.org軟體已經2016年從沒更新過
最重要的是開發者fingerprint早就過期不建議使用而且只支持到win10
如果那麼怕的話建議使用verify軟體例如gpg4win
再創建kleopatra 去認證下載過的 exe 跟 asc或signature openPGP text file
然後去認證開發者fingerprint RSA key
另外一個方法是window powershell 如果網站有提供SHA256 checksum的話
就輸入指令Get-FileHash打入exe 就可以比對SHA256 Hash是否正確
還有gpg --verify 指令就可以認證開發者fingerprint RSA Key
MDS & SHA Checksum Utility 2.1軟體也有提供認證
想要很詳細自己去看找找我只是講重點
最後我想說的是冷錢包到底是不是絕對安全沒人敢保證
桌面軟體錢包也是曾經會受到攻擊例如electrum
不管怎樣最好是完全斷網跟影印機是沒wifi只有usb前提是你的硬體錢包是正貨
verify軟體有去認證的話我想沒問題吧
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.94.62.112 (馬來西亞)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1710517443.A.055.html
推 LaPass: 台灣什麼時候要上ETF QQ 03/15 23:59
推 john371911: 詳細推。 03/16 00:33
推 kme6833291: 一般人冷錢包的風險其實高於交易所 03/16 01:24
推 john371911: 稍微學習過的一般人,冷錢包風險就小於交易所了。 03/16 02:44
→ namyoung: 冷錢包不是不能用只是要小心謹慎尤其是網路下載軟體 03/16 07:13
推 Chricey: 魚油推薦 03/17 10:32→ sazabijiang: 用冷錢包都有風險的人,其實他上網本身就是種風險 03/17 10:30
→ sazabijiang: 從安裝來路不明的軟體、點擊來路不明的網站、密碼 03/17 10:31
→ sazabijiang: 複雜度過於簡單、以為開啟2FA認證卻又放任瀏覽器 03/17 10:31
→ sazabijiang: 自動記憶密碼等等。 03/17 10:32
推 Kroner: DHA 03/17 10:32 推 QQKING: coolwallet冷錢包如何? 03/17 10:50
→ j49222106: 需要充電的,不太考慮... 03/17 14:35
→ asoedarren: 哪個數位的不用充電? 04/05 16:35