一位钓鱼黑客的自白:硬件钱包的七宗「原罪」,让我们无从下手
要点总结
• 私钥离线生成与存储,杜绝网络木马、缓存提取等远程攻击路径。
• 通信接口受限,仅允许合法签名交互,彻底隔绝 USB 注入与恶意控制。
• OneKey 可识别 Permit 类钓鱼签名,并在用户签署前发出风险提醒,斩断诈骗链条。
• EAL6+ 安全芯片具备防篡改自毁机制,任何固件异常或降级行为都会触发数据抹除。
• 支持 FIDO2 标准,用户可将硬件钱包作为安全密钥,守护 Google、Telegram 等账户。
• 全硬件+软件开源,所有更新透明可查,漏洞能第一时间被社区发现与修复。
• 长期输出安全科普内容,覆盖钓鱼、抢劫、防盗等场景,全面提升用户防骗能力。
「硬件钱包是最邪恶、最无用的 Crypto 产品,还影响朝鲜 GDP,负分差评。」
—— 某不知名链上钓鱼黑客
昨天,可能是我钓鱼生涯中最崩溃的一天。
我像往常一样,假装美女 BD 在推特私信钓一个 KOL 韭菜,磨了一天终于让他安装了木马。
结果扫描出来一看,麻了——这哥们用的硬件钱包,根本拿不到私钥缓存文件…而且小狐狸才放了 10u。这波钓鱼妥妥地空军了,这你受得了吗?
一怒之下,我怒了一下。写下这篇文章,一起锤爆硬件钱包的罪恶!
一、犯下了「傲慢」之罪:离线断网
就是这个机制断了我一大半的财路,害得我少赚了很多钱。
这种不联网的傲慢东西,注定走不长远。
如果韭菜直接在联网的电脑手机上生成、缓存私钥,直接用比如 小狐狸 这样的热钱包插件,那我就爽了。
只要他的设备上软件、插件有漏洞或者被我骗到安装木马,我就能后台偷偷扫描,看是不是有写了私钥助记词的截图或者文件。
等我拿到了热钱包插件的缓存,我就嘎嘎破解。
可惜,不久前我的死对头,专搞区块链生态安全的慢雾科技的创始人余弦 @evilcos 披露了这件事。(原文链接)
没关系,我家的木马在后台运行,在钱包的解锁状态下,还能后台操作钱包转钱,以及直接记录键盘密码解出私钥文件。
但是!
硬件钱包这玩意,在完全离线的环境下生成和存储私钥助记词,韭菜抄在纸上,不跟互联网直接连接——就等于和病毒隔离了一样,**根本拿不到韭菜的私钥!**我也不可能顺着网线去他家物理控制硬件钱包…
而且,硬件钱包这玩意的私钥助记词是只进不出的。
只要录入了私钥助记词,就只能验证对错,而不能以任何形式导出,也没有导出功能。前几天某硬件钱包公司还发了个文章——「黑奴」指南:如何安全地把硬件钱包借给朋友/团队员工使用?。他们甚至还可以让团队上下级来使用,我安排内鬼都没用!
二、犯下了「懒惰」之罪:通信接口限制
你就设计这么一点接口指令,我怎么玩?
这玩意不止能当「仅转账」的冷钱包,还能直接在离线硬件芯片确认复杂的合约交互签名。看着韭菜拿着硬件钱包自由交互,我就难受。
而且,所有的区块链交互都传入到硬件芯片里面签名,只传签名结果出来。硬件钱包与外部设备的通信受到严格限制,只接受特定的指令集。我根本没办法通过USB接口发送和篡改恶意指令,设备只会响应合法的操作请求。
这种懒惰的接口,食之无味弃之可惜,实在是没用!
三、犯下了「嫉妒」之罪:风险提醒
现在最流行的 Permit 钓鱼听说过吗?
我们经常就用假的官方网站,骗韭菜签名登录——他们不知道,其实签的是 Permit 授权的签名,分分钟掏空他们的代币。看了 ScamSniffer 的数据,现在同行 8 成的钓鱼都是通过这个方法,还经常能钓波大的。
可惜,之前被 OneKey 等一众人披露科普了一波,搞得太多人知道。气晕。
而且 OneKey 那个可恶的公司,现在 App 和 Pro 硬件钱包都更新支持以太坊和所有 EVM L2 的所有 Permit 类型风险提醒。而且听说他们后面还要升级更高级的可读的签名解析、结果模拟预警。
也就是说,本来我们都骗到用户点击「登录」,就差钱包确认就能骗到钱了。
结果,在确认前的最后一关。你们硬件钱包识别出了 Permit 类型,搞了个**「风险预警提醒」**,让用户发现这个不是普通的签名。
这就是嫉妒我们快要成功捞到钱了,才搞的吧?
四、犯下了「愤怒」之罪:防篡改设计
不是哥,我就微改你的固件怎么了,改得不多也就改个 40% 吧?怎么就自毁了?
这种一点就炸的小家子气东西,是注定无法做大做强的。
记得我之前派了内鬼去某项目方团队工作,终于线下摸到了几个高权限的 OneKey 硬件钱包。
结果,输入 PIN 错误 10 次将会彻底抹去数据。行,那我看看改电路或者固件,好家伙,他们储存私钥的 EAL6+ 加密芯片是内置底层检测算法。通电后如果是非官方固件的签名或者有异常电路,都会被检测到并硬抹除数据。
他们狠到什么程度?甚至连自己的官方固件,强行降级都不行,也会抹除数据。
而且,他们连接自家 App 都会验证固件。韭菜还能手动验证固件的代码一致性。心累。
五、犯下了「贪婪」之罪:Fido 通行密钥
你在 Web3 安全搞事情,也就算了——怎么 Web2 的安全也搞起来了?
韭菜居然还可以用硬件钱包作为多因素认证 2FA/MFA 之一,去守护 Web2 账户了(比如 Google、Telegram)。
各大厂员工都在使用的商业级密码技术——FIDO/FIDO2,竟敢下放给个人,真是太贪了。
还相当于让韭菜节省了购买 YubiKey 的钱。
本来想着说,用户的谷歌邮箱或者 TG 里面可能有敏感信息甚至是私钥,好好钓一波。但是看到 OneKey 还出了怎么在硬件钱包用 Fido 的教程,我就下头了。
六、犯下了「淫欲」之罪:开源代码
谁家好人把 App 和硬件的代码都敞开给所有人看的?
就在这种大型程序员同性交友网站 Github 上,暴露自己,堂而皇之地让所有用户和专业机构视奸,每一寸代码都被看光了!
不守软德,真的普通又自信。
这样子团队每一次更新和代码变动都要被监督,出了漏洞甚至是内鬼都能被第一时间披露,还有没有羞耻之心?
七、犯下了「暴食」之罪:安全科普
你说你们搞硬件钱包也就算了,还整天输出这么多科普,让韭菜都信息过载了。
- 一下又是《Tron 生态防钓鱼指南》
- 一下又是《Telegram 安全防盗指南》
- 连我的终极杀招——杀人越货抢劫,你都给了个《保命指南》
甚至,从去年至今都出了好几个合订本了(合订本1、合订本2)。
这么多文章,还传播这么广,这么多韭菜有安全意识了,我还钓个吉尔吉斯斯坦。(搞不好这篇黑稿都被他们发出来)
家人们,做钓鱼黑客真的太难了。
