※ 引述《ULTIMA1002 (晚点再说)》之铭言：
: 如题
: 个人不是学资讯相关的，
: 只是觉得不少在卖冷钱包的厂商，
: 本身的信誉有办法被验证吗？
: 冷钱包里面如果预先暗藏什么木马还是病毒的，
: 等到哪天时机对了再一次收割？
: 有没有这种风险？
: 当然冷钱包只有用到的时候才会连网，
: 但是如果里面已经有特殊程式会自动在连上网络时去抓取用户资料，
: 然后在某个时间点最多人连网的时候作收割？
: 还是我想太多？
: 只是单纯觉得对硬件资安这种东西不太懂，
: 想问冷钱包本身有没有被厂商动手脚的可能？
真正的冷钱包是完全离线的，用的时候都不连网，
不过这种冷钱包相对难用。（要把签名内容抄出来广播）
那么冷钱包有没有来自设计者的风险？
（二手搞鬼的姑且不论）
目前小弟想到的，
大致上大概有这两种途径：
一、冷钱包连线的时候。
多数市售冷钱包会附上手机用的app，
然后以蓝芽什么等方式与装置连线，
那么装置 <-> app <-> 网络
这之间确实存在着可能的通道。
如果厂商有心作怪，装置可以留下 app 可以访问密钥的后门。
当然，app要反解译并不难，若有人检查是有可能抓包。
二、出厂时预先决定好。
假设app与冷钱包内预先设计好，
助记词与私钥产生的方式其实只有一亿组
（或一个很大但不太离谱的数字），
你以为是随机产生，实际上只是在这一亿组里面随机挑一组出来，
那确实厂商有可能掌握到你的私钥。
破解方法：自己输入助记词，
并检查一下跟BIP39产生的结果是否相同。
不同的不要用。
目前小弟想到的方法大概是这两种。
还有其他的方法也欢迎提出来。
＊＊＊＊＊
当然，还是完全离线的最好。
这时候就不得不推一下小弟自己写的ETH温钱包，
#1YpEmf_G

纯前端钱包可以放到 IPFS 上，只要该 CID 的程式码经得起时间考验，就会有更多人使用

我看过离线的，有一个小萤幕 会显示交易讯息的qrcode, 接着要用手机拍照广播http://i.imgur.com/yphN7Lv.jpg感觉这种最稳

楼上 塞个发报器把密钥打回去主机也不是不可能毕竟只要割到就是一大笔钱 技术上麻烦点没关系所以还是看厂商诚信

真正要搞把产私钥的seed决定有限个就好了 然后可以用PRNG产出 256bit的私钥 简化的方法可以是HMAC(seed,round number) 不知道seed的状况下 PRNG 跟 RNG在数学上是完全分不出差异的，这如果开源还好检查 硬件的话真的很难验证是否作假

用 Paper wallet 呀

原PO自己输入助记词的方式可以破解有限seed

Safepal S1是用QR code我就是用这个

只要有APP而原始码不公开，其实都有可能有后门但就算没有原始码，APP在干这种事情的时候也可能会被侦测到，厂商必须冒着被抓包的风险，而且钱包不绑使用者身分，每一只钱包都把注记词送回母公司它得到巨量资料也没有实际用途。但如果是鱼叉式钓鱼针对特定人士或特定机构订制特定钱包这样搞，技术上是可行的。毕竟一般人没事不会每次开APP交易时，还同时监看防火墙连线....

那么是不是可以写成一个 Python 脚本, 存在自己电脑, 函式库也是存在自己的PC上, 应该做得到?

楼上 原PO写的开源钱包就是这个意思 只是他不是Python

最早挖比特币的，也是存在自己电脑吧？意思应该差不多

有限seed可以经过KDF变成无限seed' 所以还是无法检查的