Trezor 聊故事 trezor硬软体验证 加密晶片文件 https://github.com/tropicsquare/tropic01 硬体线路 https://github.com/trezor/trezor-hardware 加密晶片SDK https://github.com/tropicsquare/libtropic STM32U5G MCU firmware open source https://github.com/trezor/trezor-firmware App open source https://github.com/trezor/trezor-suite 为什麽 trezor 会完全公开也不怕别人抄? 只卖trezor safe 维生? 有像ubuntu一样的金主支持? 母公司：SatoshiLabs（捷克，布拉格） SatoshiLabs 是一个专注於加密货币与开源创新的科技集团，由 Marek Palatinus（绰 号 Slush）和 Pavol Rusnák（绰号 Stick）共同创办，打造了全球第一个加密货币硬体 钱包 Trezor。 商业模式：只靠卖硬体吗？ 主要就是卖硬体，没有像 Ubuntu 那样有 Canonical 企业金主： SatoshiLabs（母公司）持有 Trezor，是捷克私人公司，未上市 收入几乎全来自硬体销售（Trezor Model One、Safe 3、Safe 5） 没有已知的大型外部金主或风投主导 SatoshiLabs 旗下也做其他产品（如 Invity 加密货币换汇平台），有轻微营收多元化 Marek Palatinus（Slush）区块链先驱，同时也是全球第一个比特币矿池 Slush Pool 的 创办人 Pavol Rusnák（Stick）负责软硬体开发方向 整个集团的灵魂一以贯之：「不要相信，要验证（Don't trust, verify）」——从晶片 、韧体、到 App，全部开源，让任何人都能审计。ps:这精神非常像zkVM 整个故事的因果关系 Marek 一开始自己独立挖矿，但随着难度上升越来越不划算，於是创建了 Slush Pool— —全球第一个公开比特币矿池，让矿工可以合作挖矿。这个矿池後来演变为今天的 Braiins。 Satoshilabs Slush Pool 越来越成为骇客攻击的目标，这才让他意识到需要找到更好的安全解决方案 来保护比特币资产。就在这个背景下，Pavol 和 Marek 在 2011 年於布拉格的 brmlab 骇客空间相识，SatoshiLabs 的故事就此开始。 Satoshilabs 换句话说：被骇 → 想解决安全问题 → 发明硬体钱包 完全没有外部 VC 创投 Trezor 官方明确表示：「我们是一家独立公司，不接受任何外部投资，不参与风险投资 ，因为我们不想让产品的安全性受到妥协。 Marek 亲口说过：他在用 Slush Pool 挖矿时，矿池在 Linode 骇客事件中损失了数千枚 比特币。正是这个痛苦的经历让他们想出把私钥隔离到独立环境的概念。 Medium *****这不是商人看到商机——是工程师被抢了之後，怒而解决问题。***** 官方故事也明确写道：两人出於纯粹的好奇心与兴趣开始探索，完全没有商业动机。 不接受创投的原因不只是个性，是逻辑 Trezor 明确表示不参与风险投资，因为不想让产品的安全性受到妥协。 Trezor 这句话背後的意思很深：VC 要求成长、获利、退出——这些压力可能会迫使公司在安全 与商业之间妥协。Ledger 接了 5.75 亿美元的 VC，2023 年就推出了争议极大的 Ledger Recover（私钥分片上传云端），社群普遍认为这就是资本压力下的产物。 Trezor 选择穷，但不妥协。 感想:工程师怒气造就了Trezor 他们心愿在也许就是世界安全吧 这公司以後会发! ※ 引述《padmafeel (佳境)》之铭言： : https://www.mediafire.com/view/kqax9sozxv3m5va/db02.jpg/file : https://www.mediafire.com/view/sm37revfa623t47/db03.jpg/file : https://www.mediafire.com/view/zunu79vttxhaipb/db04.jpg/file : Trezor Safe 7 & Ledger Flex : 硬体上都没有破解记录 : 主要破口 : 助记词 被钓鱼钓出来 : 另外就是被相似字的网站诱导 : *密码短语一定要设* : 如果版上有人source build 出 Trezor suite 或 Ledger Live 安装在手机上 : 或安装在电脑上 : 再请公开过程 这是完美的防护 : PS: 未来 EVM 将改成 零知识虚拟机 目前主流是sp1 有兴趣的可以查找学习 : ※ 引述《padmafeel (佳境)》之铭言： : : 先看开箱文 : : https://www.youtube.com/watch?v=dELBs1f3RqM : : 1. 硬体防御的差距：Secure Element (SE) : : 这是 Ledger 最核心的胜场。 : : Ledger: 使用 EAL5+/EAL6+ 银行级安全晶片（类似信用卡或护照上的晶片）。这种 : : 晶片天生就是为了抵抗物理侧信道攻击（如微探针检测、电压故障注入）而设计的。即使 : : 骇客拿到你的实体装置，要从这颗晶片里直接「读出」私钥几乎是不可能的。 : : Trezor (早期型号): 使用的是通用微处理器（STM32），虽然代码开源，但晶片本身 : : 不具备抗物理攻击能力。过去曾有安全公司（如 Kraken）展示过透过物理接触，在 15 : : 分钟内提取 Trezor 私钥的案例。 : : 注：Trezor 在新款的 Safe 3/5/7 中也引入了 SE 晶片来补足这一点，但其核心架 : : 构仍追求透明，而 Ledger 则在硬体防御上深耕多年。 : : 2. 萤幕与输入的信任边界 : : Ledger 的做法： 它的萤幕和按钮是直接由安全晶片（SE）控制的。这意味着当你看 : : 到萤幕显示「发送 1 ETH」时，这个讯息是在安全区域生成的，不容易被外界窜改。 : : Trezor 的挑战： 在部分型号中，负责萤幕显示的处理器与储存金钥的区域是分开的 : : ，理论上存在骇客控制显示器（让你看到正确地址）但实际签署错误地址的可能性（尽管 : : 极难达成）。 : : 3. 多币种支持与隔离 (BOLOS 系统) : : Ledger 开发了自己的作业系统 BOLOS。 : : 它允许不同币种的 App（如 BTC、ETH、XRP）彼此物理隔离。即使 XRP 的 App 有漏 : : 洞，它也无法跨越边界去存取你 BTC App 的资料。 : : 对於像你这样会研究 XRPL、Rust 或是 NPU 模组的进阶工程师，Ledger 提供的这种 : : 「沙盒环境」在开发测试时提供了更高的安全性。 : : Ledger 的「缺点」与争议 : : 当然，「可重现性」和「开源」是 Ledger 的软肋： : : Ledger Recover 争议： 2023 年推出的韧体更新显示 Ledger 有能力透过软体导出 : : 加密的分片私钥，这打破了「私钥绝不离开装置」的传统认知。这让开源支持者（如 : : Trezor 用户）感到非常不安。 : : 不透明的韧体： 因为 SE 晶片制造商（如 STMicroelectronics）通常要求签署 NDA : : ，Ledger 无法完全开源其底层韧体。这意味着你必须完全信任 Ledger 这家公司没有植 : : 入後门。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.32.93.159 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1778745631.A.09D.html