区块广播:

Coinomi钱包爆出严重bug:密语被上传至Google在线拼写检查服务

BurntCoins副船长发布在 技术交流
 12975  27
  • 正序
  • 最新
只看帖主楼层直达
  • 周宇盛 版主 2019-04-01 15:07:51 只看该作者17楼
    我只信任开源、社区活跃的桌面钱包,而且有专门的助记词,不将它的助记词用于其他钱包软件。

    文章 https://www.avoid-coinomi.com/ 中作者将 Exodus 钱包和 Coinomi 钱包使用相同的助记词,这会增加出事故的风险。因为只要这2个钱包中有一个出事故,它的所有的钱就都有危险了。

    - 中心化钱包让你将自己的钱交给他们保管,会因为中心化钱包出事故造成丢币;
    - 不使用中心化钱包,由自己管理,也会因为管理不善,造成丢币。
  • 周宇盛 版主 2019-04-01 15:11:02 只看该作者18楼
    从App Store下载的手机钱包也无法被信任,即使满足代码开源、社区活跃这2个条件。
  • BurntCoins 副船长 2019-04-01 21:50:08 只看该作者19楼
    周宇盛发表于2019-04-01 15:11:02从App Store下载的手机钱包也无法被信任,即使满足代码开源、社区活跃这2个条件。
    为什么?
    楼层直达
  • BurntCoins 副船长 2019-04-01 21:50:24 只看该作者20楼
    周宇盛发表于2019-04-01 15:07:51我只信任开源、社区活跃的桌面钱包,而且有专门的助记词,不将它的助记词用于其他钱包软件。

    文章 https://www.avoid-coinomi.com/ 中作者将 Exodus 钱包和 Coinomi 钱包使用相同的助记词,这会增加出事故的风险。因为只要这2个钱包中有一个出事故,它的所有的钱就都有危险了。

    - 中心化钱包让你将自己的钱交给他们保管,会因为中心化钱包出事故造成丢币;
    - 不使用中心化钱包,由自己管理,也会因为管理不善,造成丢币。
    开源、社区活跃的桌面钱包,而且有专门的助记词——比如?
    楼层直达
  • 周宇盛 版主 2019-04-01 22:18:59 只看该作者21楼
    BurntCoins发表于2019-04-01 21:50:24 开源、社区活跃的桌面钱包,而且有专门的助记词——比如?
    Bitcoin Core 和 Electrum 满足开源、社区活跃、桌面钱包这3个条件
    我指的专门的助记词意思是:这个软件生成的助记词只用于这一个钱包,不用于其他钱包。
    楼层直达
  • 周宇盛 版主 2019-04-01 22:24:12 只看该作者22楼
    因为 App Store 的手机钱包是由开发者build并上传的,即使软件是开源的,仍然不能保证:
    - App Store里版本就是开源的那个版本;
    - 没有添加后门;
    - 没有将你的助记词上传到后台服务器;
    楼层直达
  • 周宇盛 版主 2019-04-01 22:27:35 只看该作者23楼
    周宇盛发表于2019-04-01 22:18:59Bitcoin Core 和 Electrum 满足开源、社区活跃、桌面钱包这3个条件
    我指的专门的助记词意思是:这个软件生成的助记词只用于这一个钱包,不用于其他钱包。
    之前我和https://www.avoid-coinomi.com/作者一样,将一套助记词用于多个钱包,以便使用多个钱包软件的同时,减少管理助记词的麻烦。
    比如将Coinomi和Atomic Wallet共用一套助记词(不过这2个钱包我现在已经弃用了,因为它们不满足开源的条件)
    楼层直达
  • BurntCoins 副船长 2019-04-01 22:29:35 只看该作者24楼
    周宇盛发表于2019-04-01 22:24:12因为 App Store 的手机钱包是由开发者build并上传的,即使软件是开源的,仍然不能保证:
    - App Store里版本就是开源的那个版本;
    - 没有添加后门;
    - 没有将你的助记词上传到后台服务器;
    随便挑个其他的软件也是这样的啊……即使是可重现编译,也很难说是不是恶意开发者把后门藏在编译器里了。
    楼层直达
  • BurntCoins 副船长 2019-04-01 22:32:41 只看该作者25楼
    周宇盛发表于2019-04-01 22:27:35之前我和https://www.avoid-coinomi.com/作者一样,将一套助记词用于多个钱包,以便使用多个钱包软件的同时,减少管理助记词的麻烦。
    比如将Coinomi和Atomic Wallet共用一套助记词(不过这2个钱包我现在已经弃用了,因为它们不满足开源的条件)
    如果我没理解错的话,HD本来是可以支持一个助记词管理多个钱包的,要不然怎么叫“‘分层’确定性钱包”呢?就是说,可以只导出某个层级的扩展私钥/扩展公钥,然后即使这个层级被黑掉了,也可以把损失控制在一定范围内,不影响上一个层级和同层级的其他钱包。实际上好像大家都直接用最顶层的了,没有利用“分层”这个特性,只用到了“确定性”这个特性。
    楼层直达
  • 周宇盛 版主 2019-04-01 23:22:27 只看该作者26楼
    BurntCoins发表于2019-04-01 22:32:41如果我没理解错的话,HD本来是可以支持一个助记词管理多个钱包的,要不然怎么叫“‘分层’确定性钱包”呢?就是说,可以只导出某个层级的扩展私钥/扩展公钥,然后即使这个层级被黑掉了,也可以把损失控制在一定范围内,不影响上一个层级和同层级的其他钱包。实际上好像大家都直接用最顶层的了,没有利用“分层”这个特性,只用到了“确定性”这个特性。
    是的, HD 钱包确实支持这个功能,这样我就不用手动管理了。
    如果有工具可以帮助我方便、安全的利用“分层”这个特性的话,我肯定会尝试一下。
    楼层直达
  • 周宇盛 版主 2019-04-01 23:30:35 只看该作者27楼
    BurntCoins发表于2019-04-01 22:29:35随便挑个其他的软件也是这样的啊……即使是可重现编译,也很难说是不是恶意开发者把后门藏在编译器里了。
    在编译器植入后门不是不可能,但是难度很大。
    就拿Bitcoin Core用的C++来说,要想在C++编译器植入后门,并通过review,显然并非易事。
    楼层直达
  • 汉服骑射 水手 2019-09-08 17:42:23 只看该作者28楼
    我的朋友用Coinomi钱包丢币了。刚刚从交易所提出来,还在确认中,就发现被别人转走了。
    交易ID:ce41b03009a6e42944cbfaaad40346d8f104ea68f73137606952f602fcc933af
    左边1.88个币是刚从交易所提出的,你可以看到两笔交易是在同一个包里打包的。
    看起来这个地址早就被人监控了,一发现有大额金额转入,即时盗走。
  • 1
  • 2
登录 账号发表你的看法,还没有账号?立即免费 注册