硬件钱包七宗罪

本文作者：OneKey 中文@OneKeyCN。发文时间：2024年10月25日

“硬件钱包是最邪恶、最无用的 Crypto 产品，
还影响朝鲜 GDP，负分差评。”

——某不知名链上钓鱼黑客

昨天，可能是我钓鱼生涯中最崩溃的一天。

我像往常一样，假装美女 BD 在推特私信钓一个 KOL 韭菜，磨了一天终于让他安装了木马。

结果扫描出来一看，麻了——这哥们用的硬件钱包，根本拿不到私钥缓存文件…而且小狐狸才放了 10u。这波钓鱼妥妥地空军了，这你受得了吗？

一怒之下，我怒了一下。写下这篇文章，一起锤爆硬件钱包的罪恶！

🚫 首先是犯下了傲慢之罪「离线断网」

就是这个机制断了我一大半的财路，害得我少赚了很多钱。

这种不联网的傲慢东西，注定走不长远。

如果韭菜直接在联网的电脑手机上生成、缓存私钥，直接用比如小狐狸这样的热钱包插件，那我就爽了。

只要他的设备上软件、插件有漏洞或者被我骗到安装木马，我就能后台偷偷扫描，看是不是有写了私钥助记词的截图或者文件。

等我拿到了热钱包插件的缓存，我就嘎嘎破解。

可惜，不久前我的死对头，专搞区块链生态安全的慢雾科技的创始人余弦@evilcos
披露了这件事。

没关系，我家的木马在后台运行，在钱包的解锁状态下，还能后台操作钱包转钱，以及直接记录键盘密码解出私钥文件。

但是！

硬件钱包这玩意，在完全离线的环境下生成和存储私钥助记词，韭菜抄在纸上，不跟互联网直接连接——就等于和病毒隔离了一样，根本拿不到韭菜的私钥！我也不可能顺着网线去他家物理控制硬件钱包…

而且，硬件钱包这玩意的私钥助记词是只进不出的。

只要录入了私钥助记词，就只能验证对错，而不能以任何形式导出，也没有导出功能。

前几天某硬件钱包公司还发了个文章——《「黑奴」指南：如何安全地把硬件钱包借给朋友/团队员工使用？》他们甚至还可以让团队上下级来使用，我安排内鬼都没用！

🚫 其次是犯下懒惰之罪的「通信接口限制」

你就设计这么一点接口指令，我怎么玩？

这玩意不止能当「仅转账」的冷钱包，还能直接在离线硬件芯片确认复杂的合约交互签名。看着韭菜拿着硬件钱包自由交互，我就难受。

而且，所有的区块链交互都传入到硬件芯片里面签名，只传签名结果出来。硬件钱包与外部设备的通信受到严格限制，只接受特定的指令集。我根本没办法通过USB接口发送和篡改恶意指令，设备只会响应合法的操作请求。

这种懒惰的接口，食之无味弃之可惜，实在是没用！

🚫 然后是犯下嫉妒之罪的「风险提醒」

现在最流行的 Permit 钓鱼听说过吗？

我们经常就用假的官方网站，骗韭菜签名登录——他们不知道，其实签的是 Permit 授权的签名，分分钟掏空他们的代币。看了 ScamSniffer 的数据，现在同行 8 成的钓鱼都是通过这个方法，还经常能钓波大的。

可惜，之前被 OneKey 等一众人披露科普了一波，搞得太多人知道。气晕。

而且 OneKey 那个可恶的公司，现在 App 和 Pro 硬件钱包都更新支持以太坊和所有 EVM L2 的所有 Permit 类型风险提醒。而且听说他们后面还要升级更高级的可读的签名解析、结果模拟预警。

也就是说，本来我们都骗到用户点击「登录」，就差钱包确认就能骗到钱了。

结果，在确认前的最后一关。你们硬件钱包识别出了 Permit 类型，搞了个「风险预警提醒」，让用户发现这个不是普通的签名。

这就是嫉妒我们快要成功捞到钱了，才搞的吧？

🚫 再然后是犯下愤怒之罪的「防篡改设计」

不是哥，我就微改你的固件怎么了，改得不多也就改个 40% 吧？怎么就自毁了？

这种一点就炸的小家子气东西，是注定无法做大做强的。

记得我之前派了内鬼去某项目方团队工作，终于线下摸到了几个高权限的 OneKey 硬件钱包。

结果，输入 PIN 错误 10 次将会彻底抹去数据。行，那我看看改电路或者固件，好家伙，他们储存私钥的 EAL6+ 加密芯片是内置底层检测算法。通电后如果是非官方固件的签名或者有异常电路，都会被检测到并硬抹除数据。

他们狠到什么程度？甚至连自己的官方固件，强行降级都不行，也会抹除数据。

而且，他们连接自家 App 都会验证固件。韭菜还能手动验证固件的代码一致性。心累。

🚫 再再然后是犯下贪婪之罪的「Fido 通行密钥」

你在 Web3 安全搞事情，也就算了——怎么 Web2 的安全也搞起来了？

韭菜居然还可以用硬件钱包作为多因素认证 2DA/NFA 之一，去守护 Web2 账户了（比如 Google、Telegram）。

各大厂员工都在使用的商业级密码技术——FIDO/FIDO2，竟敢下放给个人，真是太贪了。

还相当于让韭菜节省了购买 YubiKey 的钱。

本来想着说，用户的谷歌邮箱或者 TG 里面可能有敏感信息甚至是私钥，好好钓一波。

但是看到 OneKey 还出了怎么在硬件钱包用 Fido 的教程（https://x.com/OneKeyCN/status/1841437412226179565），我就下头了。

🚫 接着是犯下淫欲之罪的「开源代码」

谁家好人把 App 和硬件的代码都敞开给所有人看的？

就在这种大型程序员同性交友网站 Github 上，暴露自己的信息，堂而皇之地让所有用户和专业机构视奸，每一寸代码都被看光了！

不守软德，真的普通又自信。

这样子团队每一次更新和代码变动都要被监督，出了漏洞甚至是内鬼都能被第一时间披露，还有没有羞耻之心？

🚫 最后是犯下暴食之罪的「安全科普」

你说你们搞硬件钱包也就算了，还整天输出这么多科普，让韭菜都信息过载了。

一下又是 Tron 生态防钓鱼指南，一下又是 Telegram 安全防盗指南。

连我的终极杀招——杀人越货抢劫，你都给了个保命指南。

甚至，从去年至今都出了好几个合订本了。

这么多文章，还传播这么广，这么多韭菜有安全意识了，我还钓个吉尔吉斯斯坦。（搞不好这篇黑稿都被他们发出来🤨）