trezor錢包轉幣被盜，硬件錢包全面介紹和正確屯幣姿勢_ledger錢包

作者彩云比特專欄cncoin

今日圈內各路媒體都開始進行屯幣日的宣傳，吸引了一波又一波的人買幣提幣，但是在這個關鍵環節，卻有人爆料自己的Trezor硬件錢包轉幣的時候，遭遇盜竊，損失慘重。

據悉，帖子的作者將幣轉到火幣的時候，遭遇幣被盜，然后損失5個左右的比特幣，并一時引起大家紛紛議論，最后根據大家的了解，基本上確定這是由于電腦中了剪切板病，使得在轉賬的時候，地址被替換掉，然后就這樣被轉走了。

當然最讓人爭議的是硬件錢包的安全性，trezor是很多人都使用的一款硬件錢包，并和ledger錢包差不多齊名，由于非常流行，可能在使用的時候會引起黑客的針對，導致損失慘重，因為大多數人都非常信任硬件錢包，因此在使用上可能比較麻木大意，這樣也容易造成資產丟失，因此這里有必要寫一篇關于硬件錢包的相關文章，讓大家正確的使用硬件錢包。

安全公司Unciphered聲稱曾破解硬件錢包Trezor:2月13日消息，針對“OneKey的加密錢包被安全公司被成功破解”相關推文，安全公司Unciphered回應稱，“OneKey已修復該漏洞。我們仍然破解了Trezor和其他硬件錢包。”

Unciphered披露Trezor相關漏洞的視頻發布于2022年8月。截至目前，硬件錢包Trezor未回應該推文。

據此前報道，安全公司Unciphered在YouTube視頻中披露硬件錢包OneKey的漏洞。黑客能夠通過利用該漏洞從OneKey Mini錢包中提取助記詞。Unciphered在與OneKey溝通后，通知其修復該漏洞。Unciphered表示，可以通過高速處理器FPGA利用硬件錢包的CPU和安全元件之間缺乏加密，攔截處理器和保存助記詞的安全元件之間的通信。

OneKey發文稱，在收到通知后已經立即修復漏洞并更新安全補丁，沒有造成任何損失。此外，OneKey向Unciphered支付一筆漏洞賞金。[2023/2/13 12:04:10]

1、硬件錢包的種類

目前主流硬件錢包有trezor和ledger兩種品牌，這屬于一線品牌，二線品牌種類比較多，比如keepkey、庫神、cobo、比特護盾、bepal、coolwallet等等，當然還有一些新進入硬件錢包領域的很多品牌，這里就一一不進行列舉了。

9900萬枚USDC從USDC Treasury轉移至Coinbase:金色財經報道，Whale Alert數據顯示，99,000,000 枚USDC (99,010,985 USD) 從USDC Treasury轉移至Coinbase。[2022/10/25 16:37:41]

形式上硬件錢包也是五花八門，但是主要還是外觀分為U盾形狀、手機形狀、卡片式、MP3式這幾種，比如我們常見的ledger就是U盾形式的，庫神的錢包大多數為手機形式的，卡片式的主要為bepal、coolwallet、庫神等，而MP3/MP4形式的硬件錢包則更多，比如imtoken的、cobo的等等。

2、硬件錢包支持的幣種

一般基本所有的硬件錢包都支持比特幣和以太坊，再加上ERC20代幣，而部分錢包比如trezor和ledger錢包則支持的幣種會更多，因為這兩類的錢包相關接口開放，因此一般項目方也樂意去在其上面開發相應的幣種支持功能，唯一需要的就是項目方軟件方面的支持，比如你用ledger錢包去保存你的ONT資產，你需要下載OWallet錢包軟件，然后錢包連接電腦，接著就可以看到ledger的功能了，這個功能一般與ledger錢包官方無關，屬于項目方開發的適配功能。

Bittrex Global將于6月推出交易所代幣:5月6日消息，Bittrex在歐洲的交易所合作伙伴Bittrex Global周二表示，它將在6月推出交易所代幣。目前，美國用戶無法訪問Bittrex Global的網站，并且在另一條推文中，該公司表示該代幣將不會在美國提供。（The Block）[2020/5/6]

還有一些錢包本身就不提供接口，由錢包方進行相關幣種的支持，比如庫神的錢包，支持的像萊特幣、狗狗幣等幣種，就是錢包方開發的，與項目方無關。

當然理論上，幾乎所有的硬件錢包都能支持所有的幣種，但是因為一些錢包接口和開發商的原因，或者部分材質等限制，也就沒能過多的支持，因此對于選購硬件錢包，我們一定要清楚自己的需求，也就是保存什么幣，錢包是否支持，這是非常關鍵的。

動態 | 超2526.8萬枚USDT從Bitfinex轉至Tether Treasury:據Whale Alert數據，北京時間6點40分，25,268,008枚USDT自Bitfinex地址轉至Tether Treasury地址。[2019/11/21]

3、錢包購買途徑

一般來說，硬件錢包建議去官網購買，或者你可以去官方旗艦店購買，但是原則上不能購買來歷不明或者二手錢包，主要原因是前幾年網上紛紛出現的錢包被調換或者被拆機插入木馬盜取用戶資產的事情，因此購買錢包一定要注意其購買途徑。

當然現在隨著錢包制造商的重視，其實一些錢包商也提供防拆機的功能，用以保障用戶的錢包安全，比如cobo金庫就使用了拆機銷毀的功能，只要錢包被拆機，那么內部芯片就會銷毀，黑客無法得到想要的數據，筆者手中也有一款別人送的keybox錢包，這款錢包是采用碳纖維+鋁鎂合金外框一體成型，沒有一顆可以拆卸的螺絲，因此也可以保證錢包無法被拆機，還有就是比如現在流行的卡片式錢包，和銀行卡類似，被封裝在卡片中，也無法被拆。

動態 | Bitstamp、BitFlyer、Bittrex三家交易所欲加入Gemini推出的“虛擬商品協會”:據彭博消息，Bitstamp、BitFlyer與Bittrex三家交易所有意加入Gemini推出的“虛擬商品協會”。[2018/8/20]

Cobo金庫

keybox

庫神

當然現在二手咸魚網上也有很多賣硬件錢包的，而且還有一些價格比官網低很多，因此這里很多人可能會貪便宜去咸魚上購買，其實個人建議，除了卡片式的錢包之外，其他的各類錢包都不要去咸魚上購買，因為你不知道官方宣傳的各類防拆機到底有沒有用，有的可能有用，有的可能沒用，甚至有的黑客不去拆機而是在相關的數據連接線上動手腳，因此這都不能保證你手里硬件錢包的安全。

而對于卡片形式的錢包，筆者查詢到一般這種錢包都是使用NFC通訊的，錢包并沒有帶電池，而且芯片是被封裝在塑料里面的，因此無法被拆解，供電也是由手機NFC提供，因此這種錢包還是可以購買的，當然即使卡片錢包在咸魚購買，也要問清錢包來路，讓賣方提供完整的獲取途徑的證據，這也是保護自己錢包的一個重要手段。

當然現在卡片錢包一般也比較便宜，市面上的基本都是一兩百塊錢，因此如果可以，建議去官網買新的。

4、錢包交互方式

目前錢包的交互方式也有很多，一般通過藍牙、二維碼、數據線、NFC這幾種進行數據連接和交換，使用的輔助設備一般為手機和電腦。個人建議能用手機和錢包交互，那么盡量不要用電腦，除非你專門做一個U盤啟動或者光盤啟動形式的LIVECD形式的linux系統，做到隨用隨清。

其實一般電腦的危險程度比手機多很多，除非你的手機root之后還安裝各類亂七八糟的軟件，否則一般手機和錢包交互是安全的。錢包和手機交互時，建議使用手機流量或者可信WiFi，對于公共WiFi盡量不要用，雖然錢包最后的簽名數據是加密的，但是也不能保證被劫持或者通過公共WiFi侵入到手機中，最后做到替換轉幣的錢包賬號，就和開頭說的那樣，用戶最后的提幣地址被替換掉，使得黑客成功盜取資金。

5、錢包是否需要屏幕

曾經很多人都說錢包需要屏幕，以便抵擋前面說的剪切板攻擊，具體就是轉幣過程中，需要用戶從錢包上實體按鍵進行確認，在確認的時候會顯示轉幣的地址，以便使得用戶對比，防止錯誤，比如前面那位幣被盜的用戶其實就是他在轉幣的時候，沒看錢包屏幕，因此使得幣被轉走，這種屬于錯誤操作，但是也說明了屏幕的重要性。

另外一些錢包卻沒有屏幕，比如最典型的卡片錢包，只有一張卡片，這里就有很多人質疑，因此也使得很多卡片錢包銷售量并不怎么好。

個人觀點，錢包是否需要屏幕還是主要看在什么設備上使用，前面已經說過，電腦上用錢包很危險，因此只要和電腦連接的硬件錢包，都建議選用帶屏幕的，而一般安卓手機的安全性還是比較不錯的，所以使用安卓手機的用戶和錢包交互的時候可以選擇沒屏幕的錢包，當然有屏幕更好。

至于沒屏幕的硬件錢包，比如卡片錢包，即使使用安卓手機進行交互，我們也得注意，那就是盡量專機專用，也就是說為卡片錢包專門配置一個新手機或者沒root的恢復出廠設置的手機，手機不能隨便刷機或安裝其他軟件，真正做到專機專用，這樣還是比較安全的。

6、硬件錢包的開源問題

硬件錢包本質上其實是一個密碼簽名器，也就是說硬件錢包本身不保存資產，只是進行相關的簽名，比如我們使用trezor錢包，那么當我們利用電腦向硬件錢包發起轉幣的操作的時候，其實主要是硬件錢包將這個操作利用我們的私鑰進行簽名，然后廣播到網絡上，這樣就完成了一次交易，一般來說，硬件錢包的私鑰都是使用安全加密芯片進行加密的，不太容易被破解。

錢包開源是比較關鍵的，一些錢包因為漏洞可能會被黑客鉆空子，因此開源可使得錢包的軟件層面更安全，當然一些錢包因為自身專利，所以不方便開源，這樣的錢包，除非是大品牌廠商，比如飛天誠信這類上市公司專業做銀行級的硬件，否則不太建議選用，如果非要選用，一般錢包都要進行相關安全性測試。

7、錢包的安全性測試

開機錢包測試主要是從結果導向的測試，雖然不全面，甚至沒啥效果，但是也是一個必需步驟，甚至也有可能檢測到錢包的軟硬件問題，以防萬一。

主要內容就是打開錢包，存入少量的比特幣或者以太坊，然后將幣轉出，再然后增加幣的數量，再進行轉入，再轉出，記得轉入轉出中間間隔時間要長，一般一天左右，中間也可以重新生成助記詞和新錢包，重復轉入轉出操作，如果你的硬件錢包以后需要保存更多的幣，那么就多進行幾次，這樣，如果黑客控制了錢包，那么他會在第二次或者第三次的時候將幣轉出去，這種有點類似于釣魚的策略，可能會暴露出錢包的問題，如果你的錢包沒有問題，通過測試，那么你就可以安全放心的將幣轉進去了。

Tags：ledger錢包比特幣NFCledger錢包被盜幣ledger錢包官網地址ledger錢包官網下載比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢NFC價格NFC幣

比特幣交易所