如何避免买到假的硬件钱包

网络安全2个月前发布 cryptobaby

167 0 0

本文作者：OneKey 中文@OneKeyCN。发文时间：上午12:38 · 2024年7月1日

币圈「狸猫换太子」真的太多了。

你一定听说过这种诈骗手段——骗子自媒体引流到假交易所、钱包 App，让用户往里面充钱到一定数额直接收网卷走所有的钱。

诱导用户使用篡改过的 Crypto 产品，这种手段在安全圈统称「供应链攻击」。

去年就有多家媒体曝光，有海外用户买到了骗子篡改过的 Trezor 硬件钱包——这些钱包的随机助记词生成都是经过黑客特殊处理，里面的资产能被黑客轻松拿到。

而区块链，讲究的就是零信任、自行验证。

下面 OneKey 来讲讲我们是如何借鉴区块链技术流程实现最大化的 0 信任，保证你买不到假的 OneKey。（略硬核）

✉️ 1 一次性密封（One-time seal）

不知道你是否还有印象，之前很火的 CKB 的 BTC 扩容技术 RGB++ 的一个 meme 币就叫做 Seal，其名字就是来自这个扩容方案 RGB 的核心技术——一次性密封。

该技术最早由 Peter Todd 在 2016 年提出。如果你有简单了解过比特币的运行机制，你会很容易发现比特币的 UTXO 本身就具有「一次性」的属性。一个 UTXO 就像是一个密封条：创建时，它被锁上；花费时，它被打开。

根据比特币的共识规则，一个输出只能被花费一次、不能「双花」——这将是由整个比特币网络算力保证的安全性。RGB 利用了这一点，它将 RGB 资产的信息、合约的状态等都「封装」在 UTXO 里面，保证了扩容网络的安全。

这一思想与和我们反供应链攻击的产品包装是一致的。具体来说，我们使用业内顶尖的包装自毁封条和密封包装来确保产品在交付过程中不被篡改。

自毁封条：我们的包装盒采用自毁撕扯封条，一旦被撕开，就会留下明显的破坏痕迹，无法复原。这确保了你收到的产品是第一次被打开。

不可逆密封胶带：产品内部的透明包装的采用不可逆密封胶带。这种胶带在第一次撕开时会形成完整的字母图案，如果再次撕开，字母图案将被破坏，从而无法复原。

反供应链攻击，认准不可逆密封胶带

反供应链攻击，认准自毁封条

反供应链攻击，认准固件版本

收到 OneKey 的硬件钱包后，第一时间就是检测这两个指标——确保包装盒自毁封条没有被撕开的痕迹；确保硬件钱包的包装密封胶带完整无损，且字母图案完好。

如果你发现自毁封条或密封胶带有任何问题，请立即联系咱们的@onekey_support客服协助处理和检测换货，以确保您的设备安全无虞。

🛡️ 2 客户端验证（Client-side verification）

客户端验证是指在用户的设备（客户端）上执行数据验证，以确保数据的完整性、真实性和合法性。

对于比特币，每个比特币客户端都会下载区块链的一部分或全部，并使用预先定义的规则来验证区块链中的区块和交易。这些规则确保每个节点独立验证区块链的一致性和有效性，而无需信任任何中心化的实体。类似地，对于比特币扩容方案 RGB，他们的客户端验证技术允许用户只需要验证与自己有关的 UTXO 分支历史，而无需关心与自己无关的交易历史。RGB 的状态安全性通过客户端验证方式保障，不依赖任何中心化第三方。

这其实反映了区块链零信任的思想——「Don’t Trust, Verify.（不要信任，要验证。）」，如果对 Degen 们说，那就是「DYOR」。

对于 OneKey 的硬件钱包而言，除了验证包装的完整性外，验证固件没有被篡改也是同等重要。在使用 OneKey App 的时候，我们就已经一直在校验您的固件安全。

当然——你也可以进行自行验证，这种自行验证只有开源的硬件产品公司才能做到。OneKey 每年接受各大安全公司「体检」审计，并且 Day1 就全部开源——你可以在 Github 上轻松看到我们的源码。

对于硬核用户，您可以通过这个教程「OneKey 硬件钱包设备固件的开源代码验证

https://help.onekey.so/hc/zh-cn/articles/9695887559823-OneKey-硬件钱包设备固件的开源代码验证…

」来学习。

如何一步一步，自行校对 OneKey 硬件钱包的源代码与 Github 发布开源代码的一致性。

通过我们官方、以及用户自行「客户端验证」，黑客试图篡改固件「助记词算法」的行为会轻松露出狐狸尾巴！

以及，我们的产品 Classic 1s 和 Pro 使用的都是多颗最新的 EAL6+ 安全芯片，这也是同行产品的旗舰配置，这已经在使用最先进的技术抵御黑客入侵篡改。