硬件钱包七宗罪

网络安全2个月前发布 cryptobaby
69 0 0

本文作者:OneKey 中文@OneKeyCN。发文时间:2024年10月25日


“硬件钱包是最邪恶、最无用的 Crypto 产品,
还影响朝鲜 GDP,负分差评。”

——某不知名链上钓鱼黑客

昨天,可能是我钓鱼生涯中最崩溃的一天。

我像往常一样,假装美女 BD 在推特私信钓一个 KOL 韭菜,磨了一天终于让他安装了木马。

结果扫描出来一看,麻了——这哥们用的硬件钱包,根本拿不到私钥缓存文件…而且小狐狸才放了 10u。这波钓鱼妥妥地空军了,这你受得了吗?

一怒之下,我怒了一下。写下这篇文章,一起锤爆硬件钱包的罪恶!

🚫 首先是犯下了傲慢之罪「离线断网」

就是这个机制断了我一大半的财路,害得我少赚了很多钱。

这种不联网的傲慢东西,注定走不长远。

如果韭菜直接在联网的电脑手机上生成、缓存私钥,直接用比如小狐狸这样的热钱包插件,那我就爽了。

只要他的设备上软件、插件有漏洞或者被我骗到安装木马,我就能后台偷偷扫描,看是不是有写了私钥助记词的截图或者文件。

等我拿到了热钱包插件的缓存,我就嘎嘎破解。

可惜,不久前我的死对头,专搞区块链生态安全的慢雾科技的创始人余弦@evilcos
披露了这件事。

没关系,我家的木马在后台运行,在钱包的解锁状态下,还能后台操作钱包转钱,以及直接记录键盘密码解出私钥文件。

但是!

硬件钱包这玩意,在完全离线的环境下生成和存储私钥助记词,韭菜抄在纸上,不跟互联网直接连接——就等于和病毒隔离了一样,根本拿不到韭菜的私钥!我也不可能顺着网线去他家物理控制硬件钱包…

而且,硬件钱包这玩意的私钥助记词是只进不出的。

只要录入了私钥助记词,就只能验证对错,而不能以任何形式导出,也没有导出功能。

前几天某硬件钱包公司还发了个文章——《「黑奴」指南:如何安全地把硬件钱包借给朋友/团队员工使用?》他们甚至还可以让团队上下级来使用,我安排内鬼都没用!

🚫 其次是犯下懒惰之罪的「通信接口限制」

你就设计这么一点接口指令,我怎么玩?

这玩意不止能当「仅转账」的冷钱包,还能直接在离线硬件芯片确认复杂的合约交互签名。看着韭菜拿着硬件钱包自由交互,我就难受。

而且,所有的区块链交互都传入到硬件芯片里面签名,只传签名结果出来。硬件钱包与外部设备的通信受到严格限制,只接受特定的指令集。我根本没办法通过USB接口发送和篡改恶意指令,设备只会响应合法的操作请求。

这种懒惰的接口,食之无味弃之可惜,实在是没用!

🚫 然后是犯下嫉妒之罪的「风险提醒」

现在最流行的 Permit 钓鱼听说过吗?

我们经常就用假的官方网站,骗韭菜签名登录——他们不知道,其实签的是 Permit 授权的签名,分分钟掏空他们的代币。看了 ScamSniffer 的数据,现在同行 8 成的钓鱼都是通过这个方法,还经常能钓波大的。

可惜,之前被 OneKey 等一众人披露科普了一波,搞得太多人知道。气晕。

而且 OneKey 那个可恶的公司,现在 App 和 Pro 硬件钱包都更新支持以太坊和所有 EVM L2 的所有 Permit 类型风险提醒。而且听说他们后面还要升级更高级的可读的签名解析、结果模拟预警。

也就是说,本来我们都骗到用户点击「登录」,就差钱包确认就能骗到钱了。

结果,在确认前的最后一关。你们硬件钱包识别出了 Permit 类型,搞了个「风险预警提醒」,让用户发现这个不是普通的签名。

这就是嫉妒我们快要成功捞到钱了,才搞的吧?

🚫 再然后是犯下愤怒之罪的「防篡改设计」

不是哥,我就微改你的固件怎么了,改得不多也就改个 40% 吧?怎么就自毁了?

这种一点就炸的小家子气东西,是注定无法做大做强的。

记得我之前派了内鬼去某项目方团队工作,终于线下摸到了几个高权限的 OneKey 硬件钱包。

结果,输入 PIN 错误 10 次将会彻底抹去数据。行,那我看看改电路或者固件,好家伙,他们储存私钥的 EAL6+ 加密芯片是内置底层检测算法。通电后如果是非官方固件的签名或者有异常电路,都会被检测到并硬抹除数据。

他们狠到什么程度?甚至连自己的官方固件,强行降级都不行,也会抹除数据。

而且,他们连接自家 App 都会验证固件。韭菜还能手动验证固件的代码一致性。心累。

🚫 再再然后是犯下贪婪之罪的「Fido 通行密钥」

你在 Web3 安全搞事情,也就算了——怎么 Web2 的安全也搞起来了?

韭菜居然还可以用硬件钱包作为多因素认证 2DA/NFA 之一,去守护 Web2 账户了(比如 Google、Telegram)。

各大厂员工都在使用的商业级密码技术——FIDO/FIDO2,竟敢下放给个人,真是太贪了。

还相当于让韭菜节省了购买 YubiKey 的钱。

本来想着说,用户的谷歌邮箱或者 TG 里面可能有敏感信息甚至是私钥,好好钓一波。

但是看到 OneKey 还出了怎么在硬件钱包用 Fido 的教程(https://x.com/OneKeyCN/status/1841437412226179565),我就下头了。

🚫 接着是犯下淫欲之罪的「开源代码」

谁家好人把 App 和硬件的代码都敞开给所有人看的?

就在这种大型程序员同性交友网站 Github 上,暴露自己的信息,堂而皇之地让所有用户和专业机构视奸,每一寸代码都被看光了!

不守软德,真的普通又自信。

这样子团队每一次更新和代码变动都要被监督,出了漏洞甚至是内鬼都能被第一时间披露,还有没有羞耻之心?

🚫 最后是犯下暴食之罪的「安全科普」

你说你们搞硬件钱包也就算了,还整天输出这么多科普,让韭菜都信息过载了。

一下又是 Tron 生态防钓鱼指南,一下又是 Telegram 安全防盗指南。

连我的终极杀招——杀人越货抢劫,你都给了个保命指南。

甚至,从去年至今都出了好几个合订本了。

这么多文章,还传播这么广,这么多韭菜有安全意识了,我还钓个吉尔吉斯斯坦。(搞不好这篇黑稿都被他们发出来🤨)

 

© 版权声明

相关文章

暂无评论

暂无评论...