# Cold Wallet Architecture - https://www.leewayhertz.com/hot-and-cold-wallet-architecture/  - https://www.researchgate.net/figure/Basic-Cold-Wallet-Management-System_fig1_355061834  - https://medium.com/hackernoon/secure-cryptocurrency-hardware-wallets-71a6c65247be  - **基於硬體的信任根：** - 要求硬體錢包擁有基於硬體的信任根，例如安全微控制器、安全元件、硬體安全模組等。 - 這些安全組件專門設計用於安全地儲存私鑰和處理交易，以防範物理攻擊。 - **分層安全與深度防禦：** - 強調需實施多種安全對策，應對不同潛在攻擊，包括防範硬體錢包竊取、惡意韌體刷新、以及保護連接的PC或行動裝置。 - **交易顯示與確認：** - 提倡硬體錢包配備可信任顯示器，用於驗證交易資訊。 - 強調必須有裝置按鈕用於確認或拒絕交易，以增加使用者對交易的控制。 - **加密貨幣的分區：** - 對於支援多種加密貨幣的硬體錢包，強調每個加密貨幣應在自己的分區中運行。 - 分區受到硬體強制邊界的保護，以有效隔離不同應用程式，防止一個應用程式的缺陷影響系統的其餘部分。 - **基於憑證的身份驗證：** - 強調在硬體錢包系統中使用數位憑證，以安全地更新韌體並實現遠端證明。 - 這有助於確保設備的合法性和可信度。 - https://arxiv.org/pdf/1804.08714.pdf - 硬體錢包在某些情況下（例如，當發起交易時）與在線計算機物理連接，因此可以視為熱錢包。然而，可信的硬體和安全的設計提供了對私鑰的邏輯隔離，防止惡意代碼訪問它們。請注意，硬體錢包並未提供完全隔離的安全性。近年來在硬體組件實現中發現了漏洞和漏洞 [28]、[29]，包括在像ARM TrustZone [30] [31]這樣的受信任執行環境中。這些類型的漏洞允許攻擊者規避硬體強制執行的隔離機制，訪問受保護的數據。 - MCU attack - https://dl.acm.org/doi/pdf/10.1145/3399742?casa_token=axGQX_NNiOoAAAAA:xyTXAEZq92IfM2P2O2J6yVlMse9bF8nI1mkxWdPjcZDp-1g7FFFqYfyMJtCkZfKIv4eWH0f6pCw - https://arxiv.org/pdf/1801.01207.pdf - trust zone attack - https://www.blackhat.com/docs/us-15/materials/us-15-Shen-Attacking-Your-Trusted-Core-Exploiting-Trustzone-On-Android.pdf - https://googleprojectzero.blogspot.com/2017/07/trust-issues-exploiting-trustzone-tees.html ## [air gapped wallet](https://academy.binance.com/en/articles/what-is-an-air-gapped-wallet) - ***The security of the Hardware Wallet depends on how it sanitizes and checks the integrity of the data being transferred. Not how that data is transferred.*** ([url](https://www.athena-alpha.com/airgap-wallet/)) - 連接到網路： - 氣隙錢包： 永遠不連接到網路，交易透過保持私鑰離線進行。 - 硬體錢包： 雖然私鑰仍然離線存儲，但在交易簽名過程中連接到網路裝置。 - 使用者體驗： - 氣隙錢包： 交易可能需要更多步驟，因為它們保持與互聯網連接的設備分離。 - 硬體錢包： 通常提供更簡單的交易簽名流程，因為它們直接與線上設備連接。 - 安全性： - 氣隙錢包： 採取額外步驟，嚴格分離與互聯網連接的設備，提高安全性。 - 硬體錢包： 設計目的是即使在連接到設備時仍能保持私鑰的隔離，提供高水準的安全性。 - **核心問題：** 誤解了實現絕對氣隙的概念，強調空氣間隙本身不能本質上提高安全性。 - **資料傳輸：** 關鍵在於錢包如何檢查和驗證資料，資料傳輸的方法比氣隙的存在更為重要。 - **安全措施穩健性：** 硬體錢包的安全性取決於對資料完整性的檢測、對程式碼和裝置篡改的防禦。 - **無通訊操作：** - 操作如建立錢包種子、產生接收位址等可以在無通訊的情況下進行，可減少攻擊面，適用於大多數硬體錢包。 - 重要性在於實現功能而非永久的、完全隔離的氣隙。 - **固有的漏洞：** - **攻擊媒介：** 電磁發射、木馬、二維碼等攻擊媒介仍然存在，難以根本解決。 - **韌體完整性：** 對硬體錢包的信任取決於其韌體的完整性，防止惡意篡改。 - **總結：** - **增強安全性：** 氣隙錢包與標準錢包相比未必提供增強安全性，也無法減少攻擊面。 - **資料傳輸方法：** 安全不僅取決於物理隔離，還取決於資料傳輸的方法。漏洞仍然存在，加密貨幣用戶應保持警惕。 ## 其他威脅 - [Clipboard Meddling Attack](https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=9705033&casa_token=oNlUu45Q9XwAAAAA:BqVNZ9pejKZNiIAL4UXRHjwRu-c3fy8431v2_5ZUwK9ex6_-igpLxMW8BguYoNNTEBUwsyY) - 攻擊者無需破解錢包即可盜竊資金——只需篡改發送給錢包進行簽名的交易數據，即篡改資金接收方的地址。 - 受害者可能未能注意到替換。我們與幾位硬體錢包用戶的非正式交流證實，當驗證接收方地址時，他們中的大多數人僅檢查前幾位和後幾位，或者根本不檢查 - 一旦該惡意軟件檢測到剪貼板中的以太坊地址，它立即向 ClipperCloud 系統提交該惡意軟件會將其注入到剪貼板中。從直觀上來說，對於該惡意軟件來說，非常重要的是在用戶將地址粘貼到錢包客戶端應用程序之前，迅速地替換該地址。 - 本研究中使用的硬件錢包的制造商向我們證實，目前對抗 EthClipper 攻擊並沒有有效手段。