Der Kauf eines Trezors hat mich nicht zur Ruhe kommen lassen.

Dieses Thema hat 4 Antworten und 1 Teilnehmer, und wurde zuletzt aktualisiert vor 9 Monaten, 2 Wochen von CDalberg.

Ansicht von 4 Antwort-Themen

Autor

Beiträge
- 23. Juli 2023 um 21:32 Uhr #2706643
  
  root_s2yse8vt
  Administrator
  
  Up
  0
  Down
  ::
  Ich mache mir jetzt Sorgen, ob meine Trezor T in der Lieferkette gehackt werden könnte, da ich zuvor einige Nachrichten gelesen habe.
  
  So kaufen eine hw machte mich nicht mein Geist friedlich.
  
  Wie könnte ich den Supply-Chain-Hack loswerden? Ich glaube nicht, dass die Passphrase den Hack beseitigen kann. Der gefälschte Trezor sollte in der Lage sein, unseren Seed und unsere Passphrase aufzuzeichnen und an den Hacker zurückzuschicken?
  
  Ich nehme an, wenn ich die Firmware installiere, dann das T durchstreiche, einen Werksreset durchführe und die Firmware erneut installiere, dann sollte die bösartige Firmware durch eine offizielle Firmware ersetzt werden?
  Könnte dies das Risiko eines Hacks in der Lieferkette mindern?
  
  Bitte lassen Sie mich wissen, wie ich überprüfen kann, ob mein Trezor T ein echtes Diamantgerät ist, obwohl es äußerlich in Ordnung ist und bei der Einrichtung alles in Ordnung zu sein scheint.
  
  PS: Ich habe von der offiziellen Website gekauft.
- 23. Juli 2023 um 21:32 Uhr #2706644
  
  simonmales
  Gast
  
  Up
  0
  Down
  ::
  Supply chain attack was executed against those who didn’t buy from trezor.io.
- 23. Juli 2023 um 21:32 Uhr #2706645
  
  michalsrb
  Gast
  
  Up
  0
  Down
  ::
  You could do a canary test. Put a little bit on it and wait to see if it disappears.
  
  Not sure how the existing supply chain attacks work. If I was doing one, I would put a custom bootloader that patches the code generating seed with a pseudorandom one that picks out of a few (thousands) seeds that the attacker knows and can monitor. In that case flashing firmware as many times as you want won’t help and there is no need to also get compromised software on your computer – no need to actually send anything to the attacker. As a bonus it could ignore passphrase or maybe use just first few letters of it – so that the attacker can brute force it. The only defence against it would be to generate seed securely by other means (dice rolls?) and restore that on the trezor.
  
  How do I know my trezor is safe? Nothing disappeared from it yet, so probably ok.
- 23. Juli 2023 um 21:32 Uhr #2706646
  
  walterpadick78
  Gast
  
  Up
  0
  Down
  ::
  If your Trezor was compromised during transit, it probably won’t be able to send your seed phrase to the hacker. More likely, the hacker would put a pre-defined seed phrase, so that when you initialize the device for the first time, it won’t generate a random one.
  
  Here’s how to make sure it’s authentic: [https://trezor.io/learn/a/authenticate-model-t](https://trezor.io/learn/a/authenticate-model-t)
  
  If you install the official firmware, I think it’s pretty much impossible for that trick to work.
- 23. Juli 2023 um 21:32 Uhr #2706647
  
  CDalberg
  Gast
  
  Up
  0
  Down
  ::
  Check out Casa and unchained capital could be an option.
Autor

Beiträge

Ansicht von 4 Antwort-Themen

Du musst angemeldet sein, um auf dieses Thema antworten zu können.