বর্তমান হার্ডওয়্যার ওয়ালেটের সাথে, AFAIK-এর কাছে HW ওয়ালেট প্রকৃতপক্ষে নিরাপদ, ব্যক্তিগত ঠিকানা তৈরি করেছে কিনা তা যাচাই করার কোনো উপায় নেই৷ সমস্ত চেক আসলে ফার্মওয়্যার এবং হার্ডওয়্যার অখণ্ডতা যাচাই করার জন্য বিভিন্ন পদ্ধতি ব্যবহার করে যা হ্যাককে আরও কঠিন করে তোলে কিন্তু অসম্ভব নয়। কিন্তু তবুও, আপনি বলতে পারবেন না যে HW Wallet মূল সফ্টওয়্যার অনুকরণ করে না যখন এটি অন্যান্য জিনিস করে। এমনকি যখন ফার্মওয়্যারটি ওপেন সোর্স হয়, আপনি যে কোডটি দেখছেন তা আসলে হার্ডওয়্যারে চলছে কিনা তা আপনি বলতে পারবেন না। এমনকি আপনি কোডটি পরিবর্তন করে ওয়ালেটে আপলোড করার পরেও, আপনি এখনও নিশ্চিত হতে পারবেন না যে আপলোডটি আসলে ফার্মওয়্যারটি পুনরায় লিখেছে কিনা বা আপনার কোডটি আপনার দ্বারা কোনওভাবে সংশোধন করা হয়েছে কিনা তা কোডটি অনুলিপি করার জন্য ব্যাখ্যা করা হয় তবে এখনও নিয়ন্ত্রণ করা হয় আক্রমণকারীর ফার্মওয়্যার।
ন্যূনতম, এইগুলি সম্ভাব্য আক্রমণ ভেক্টর যা একটি আপস করা HW ওয়ালেট পারে এবং সফ্টওয়্যার সনাক্ত করতে পারে না:
- বীজ এলোমেলোভাবে উত্পন্ন হবে না। পরিবর্তে, আক্রমণকারীর পরিচিত কিছু প্রাক-উত্পন্ন বীজ (বা তাদের মধ্যে একটি) প্রদর্শিত হবে। ক্লায়েন্টের কাছে এটি যাচাই করার কোন উপায় নেই, কারণ HW ওয়ালেট এটি সম্পূর্ণভাবে তৈরি করে (এবং সফ্টওয়্যারটি এটি দেখতেও পায় না)।
- বীজ এলোমেলো কিন্তু উদ্ভূত ঠিকানা (এবং xpubs) বীজ থেকে উদ্ভূত হয় না। পরিবর্তে, কিছু আক্রমণকারীর পূর্ব-উত্পাদিত ঠিকানা ব্যবহার করা হয়। যেহেতু ক্লায়েন্ট বীজটি জানে না (এবং এটি অবশ্যই জানা উচিত নয়), এটি ডেরিভেশনটি সঠিক কিনা তা যাচাই করতে পারে না। পাসফ্রেজগুলিও সাহায্য করে না; হ্যাক করা ঠিকানাগুলির আরেকটি সেটও প্রদর্শিত হতে পারে এবং ক্লায়েন্ট এটি যাচাই করতে সক্ষম নাও হতে পারে।
প্রথম সংখ্যাটি BIP39 থেকে আসে এবং দ্বিতীয় সংখ্যাটি BIP32 থেকে আসে, একটি বহুল ব্যবহৃত মান। এই দুটি দুর্বলতা সম্বোধন করে এমন অন্য কোন মান/প্রস্তাব আছে কি? ক্লায়েন্টে এলোমেলোতার একটি অংশ তৈরি করা এবং প্রাপ্ত ঠিকানাগুলিতে এর ব্যবহার বাস্তবায়ন করা।
আমার লক্ষ্য উভয় HW এবং SW জাল. বর্তমান অবস্থান হল আমরা নিরাপদ যদি এবং শুধুমাত্র যদি HW নকল না হয় এবং আসল SW সাহায্য করতে পারে না।
আমার চিন্তা কি সঠিক? এটা কি কোন সমস্যা?