会不会有漏洞或者后门,偷偷把币转走了
目前还没有人成功破解硬件钱包。
TREZOR的话所有的源代码都是开源的,在github上都可以找到。全世界好多人都盯着看试图找到漏洞,不可能有后门。
但当然啦,不是说这个硬件还有代码都是完美的,没有漏洞的。也就是近几天的事情,他们发现钱包里面使用的一个芯片是有瑕疵的。会导致别人能够恶意替换bootloader,但也必须要拿到这个钱包且在没有初始化之前做到才行。更多的细节我们翻译:https://www.jianshu.com/p/f888819e97cd
目前没有任何证据证明这个漏洞被不法分子提前发现利用了。这次的漏洞不能被远程使用,主要影响的还是供应链这方面。所以如果是从官方或者是授权的经销商买的话,出问题的可能性为0。我不偏不倚凭良心讲这次SatoshiLabs作为公司处理得很棒。虽然这次不是他们的锅(芯片厂商的锅),在漏洞被报告之后,立马开始行动修复这个漏洞,35天就搞定然后广而告之还是很有效率的。
很多人可能不知道,他们广而告之的同时还给所有的经销商发了邮件。这次的固件更新完全是软件的,官方还主动给所有的经销商免费换货。虽然新换的货其实就是把bootloader更新一下,和用户在家更新没两样。作为经销商我可以说我也是被惊到了。所以如果要买的话最好到经销商处买,然后问一句是不是换过的货。没换过问题也不大,就是初始化的时候多一个步骤而已。
话又说回来,硬件钱包还是现在最安全的存储方式。当然技术日新月异,不是说买了就什么事情都不用干了。不要把恢复种子和别人分享,每次发布的更新都及时更新的话,基本上是不用担心的。所有的私钥全部保存在你的设备里面,除非把密码忘掉,丢掉,被自然灾害损坏,或者被人偷走,不然丢不了币,别人也窃取不到。