区块广播:

0.19.0版bitcoin core钱包默认禁用bip70

uc8btc副船长发布在 技术交流来自App
 13255  107
https://cointelegraph.com/news/sorry-bitpay-new-bitcoin-upgrade-proposal-disables-bip70-by-default
呵呵
  • 正序
  • 最新
只看帖主楼层直达
  • BurntCoins 副船长 2019-09-24 18:47:19 只看该作者沙发
    早就说要禁了吧……
    还有BIP37布隆过滤器(给SPV钱包提供服务的协议)也要默认禁用了。
  • 把心思都用在这种事上面
  • pppp@8btc 副船长 2019-09-24 19:13:17 只看该作者地板
    据金色财经报道,为保护比特币用户,Bitpay为其钱包添加BIP70功能。批评者担心依赖既有公共密钥体系的BIP70将增加AML/KYC监视和监控交易的风险。因为Bitpay采用了BIP70而不是segwit,此举也受到比特币核心开发者的批评。Samourai团队发表意见称,“我们绝对不支持Bitpay,因为他们利用市场份额的主导地位,迫使钱包供应商支持他们的商业计划,他们是为了自己的利益而劫持网络”。
  • BurntCoins 副船长 2019-09-24 19:17:35 只看该作者5楼
    说实话,我一直没明白BIP70具体是干啥的……

    比特币支付不是直接把地址和金额输入给钱包就OK了么?现在已经有bitcoin:开头的URI了吧,这就像网址一样,点击发送比特币,这样已经够用了啊。

    BIP70又是怎么个玩法?

    很久以前我用过一次bitpay付款,我记得好像也是把地址展示给用户的。这个地址应该就是bitpay自己的吧,然后bitpay才能卖掉比特币转换成法币付给商户。

    bitpay支持BIP70,不知道到底是咋个支持法。

    我印象里,有人支持BIP70,说BIP70可以解决中间人攻击问题(偷换收款地址);也有人反对BIP70,说BIP70有安全/隐私方面的缺陷……说实话,两方面的理由我都没懂。
  • BurntCoins 副船长 2019-09-24 19:25:15 只看该作者6楼
    如果说中间人攻击,这个问题本质上是“无解”的,HTTPS引入了CA,大家就得信任CA不会作恶。

    只有当面交易这种情景才不怕中间人攻击吧。

    一个网站如果愿意收比特币,直接把“bitcoin:”开头的URI放在网页里,传给用户的浏览器,用户点这个URI,系统就拉起钱包app,然后确认支付,我觉得这样看上去没毛病。

    中间人攻击的问题,交给HTTPS就行了。

    如果要说恶意浏览器插件之类的问题,我觉得操心这个没有意义,因为如果用户自己的设备已经被黑客操纵,他的安全总是受到威胁的,我想不到怎么做能让这个问题得到改善。
  • BurntCoins 副船长 2019-09-24 19:42:54 只看该作者7楼
    pppp@8btc 发表于2019-09-24 19:13:17 据金色财经报道,为保护比特币用户,Bitpay为其钱包添加BIP70功能。批评者担心依赖既有公共密钥体系的BIP70将增加AML/KYC监视和监控交易的风险。因为Bitpay采用了BIP70而不是segwit,此举也受到比特币核心开发者的批评。Samourai团队发表意见称,“我们绝对不支持Bitpay,因为他们利用市场份额的主导地位,迫使钱包供应商支持他们的商业计划,他们是为了自己的利益而劫持网络”。
    Samourai Wallet?这个钱包的开发者曾经被Core开发者Greg Maxwell喷过,说他们“又蠢又坏”(outright dishonest and extremely incompetent):https://www.reddit.com/r/Bitcoin/comments/9r9344/slp29_samourai_wallet_bitcoin_privacy_software/e8fm1v8/

    Greg Maxwell喷他们的理由,大概是:
    1.他们一边宣传“我们的钱包隐私好”,一边还是用自己的服务器帮用户查交易,所以实际上他们有能力监视用户的交易记录(知道哪些地址背后属于同一个主人),隐私方面光是在这一点上就存疑。
    2.还有就是他们曾经搞过的一个功能,允许用户“对接自己的全节点”,这个功能实际上粗制滥造,是直接明文连接到全节点的JSON-RPC控制台,这样同时带来了隐私和安全两方面的威胁。

    按我的理解:隐私方面,明文传输可以被窃听;安全方面,JSON-RPC可以控制全节点自带的钱包功能(如果用户在用全节点当钱包,那就有威胁吧)。


    好像Luke Dashjr以前也喷过他们,后来,可以看到Samourai Wallet很“记仇”,时不时就在推特上呛Luke Dashjr。


    Samourai Wallet还有其他方面的争议(我不知道Greg Maxwell是不是也有类似的想法)。
    比如Ricochet(直译为“跳弹”,别想歪了,这里是“子弹被反弹”的意思),也就是转出一笔交易时,不是直接发出去,而是先发给自己的地址,在自己的钱包里“跳转”5次,才最终转出去。
    他们的理由是,这样可以一定程度地抑制交易所在接受充值后封杀/冻结账号的问题。
    我一开始就怀疑这个功能,因为这看上去就是自欺欺人……Reddit上也有网友持类似的怀疑态度。
    不过这个功能也在andreas antonopoulos的科普视频里提到过……这就让我感到有点纠结……难道传说中的AA大神也会犯这种错误?还是说,这个问题确实存在?就像Reddit上一位网友说的,首先是因为交易所搞了一个敷衍了事、误报率极高的弱智的检测系统,然后Ricochet这种同样弱智的反制方法才有机会起效——难道现实真的有那么魔幻么?
    楼层直达
  • uc8btc 副船长 2019-09-24 19:51:45 只看该作者8楼
    BurntCoins 发表于2019-09-24 19:17:35 说实话,我一直没明白BIP70具体是干啥的……

    比特币支付不是直接把地址和金额输入给钱包就OK了么?现在已经有bitcoin:开头的URI了吧,这就像网址一样,点击发送比特币,这样已经够用了啊。

    BIP70又是怎么个玩法?

    很久以前我用过一次bitpay付款,我记得好像也是把地址展示给用户的。这个地址应该就是bitpay自己的吧,然后bitpay才能卖掉比特币转换成法币付给商户。

    bitpay支持BIP70,不知道到底是咋个支持法。

    我印象里,有人支持BIP70,说BIP70可以解决中间人攻击问题(偷换收款地址);也有人反对BIP70,说BIP70有安全/隐私方面的缺陷……说实话,两方面的理由我都没懂。
    你可以给维基百科捐1美元试试 https://donate.wikimedia.org/wiki/Ways_to_Give/zh-hans#Bitcoin
    楼层直达
  • uc8btc 副船长 2019-09-24 19:53:06 只看该作者9楼
    BurntCoins 发表于2019-09-24 19:25:15 如果说中间人攻击,这个问题本质上是“无解”的,HTTPS引入了CA,大家就得信任CA不会作恶。

    只有当面交易这种情景才不怕中间人攻击吧。

    一个网站如果愿意收比特币,直接把“bitcoin:”开头的URI放在网页里,传给用户的浏览器,用户点这个URI,系统就拉起钱包app,然后确认支付,我觉得这样看上去没毛病。

    中间人攻击的问题,交给HTTPS就行了。

    如果要说恶意浏览器插件之类的问题,我觉得操心这个没有意义,因为如果用户自己的设备已经被黑客操纵,他的安全总是受到威胁的,我想不到怎么做能让这个问题得到改善。
    bip70包括准确金额和付款时限,超时就不能再付款了
    楼层直达
  • uc8btc 副船长 2019-09-24 19:54:54 只看该作者10楼
    pppp@8btc 发表于2019-09-24 19:13:17 据金色财经报道,为保护比特币用户,Bitpay为其钱包添加BIP70功能。批评者担心依赖既有公共密钥体系的BIP70将增加AML/KYC监视和监控交易的风险。因为Bitpay采用了BIP70而不是segwit,此举也受到比特币核心开发者的批评。Samourai团队发表意见称,“我们绝对不支持Bitpay,因为他们利用市场份额的主导地位,迫使钱包供应商支持他们的商业计划,他们是为了自己的利益而劫持网络”。
    bip70和segwit不矛盾吧?core支持者是想让bitpay支持闪电网络
    楼层直达
  • BurntCoins 副船长 2019-09-24 20:02:05 只看该作者11楼
    uc8btc 发表于2019-09-24 19:53:06 bip70包括准确金额和付款时限,超时就不能再付款了
    准确金额,bitcoin:开头的URI也可以提供啊(这个URI说白了就是把比特币地址和金额拼接起来)。
    “超时就不能再付款”,这个具体是怎么做到的?比特币地址本身是没有过期时间的,如果付款方一开始就知道地址,那他还是一直都有能力付款给那个地址。而且付款方和收款方的时钟也未必是同步的,这里也可能产生不一致吧。如果纯粹是靠付款方用本地时间验证,那万一付款方的机器时钟相比收款方偏快,就可能产生“什么付款请求都直接过期”的怪异错误……
    楼层直达
  • BurntCoins 副船长 2019-09-24 20:07:11 只看该作者12楼
    uc8btc 发表于2019-09-24 19:51:45 你可以给维基百科捐1美元试试 https://donate.wikimedia.org/wiki/Ways_to_Give/zh-hans#Bitcoin
    试了一下,现在看不到收款地址了。
    Bitpay提供的URI也是bitcoin:开头,但是不包含比特币地址,里面只有一个 https:// 开头的网址——所以BIP70大概就是长这个样子?
    我记得以前是可以看到的,网页上的操作提示明确说到“请给XXX地址准确发送XXXBTC”……也许是我记错了?
    楼层直达
  • uc8btc 副船长 2019-09-24 20:10:14 只看该作者13楼
    BurntCoins 发表于2019-09-24 20:02:05 准确金额,bitcoin:开头的URI也可以提供啊(这个URI说白了就是把比特币地址和金额拼接起来)。
    “超时就不能再付款”,这个具体是怎么做到的?比特币地址本身是没有过期时间的,如果付款方一开始就知道地址,那他还是一直都有能力付款给那个地址。而且付款方和收款方的时钟也未必是同步的,这里也可能产生不一致吧。如果纯粹是靠付款方用本地时间验证,那万一付款方的机器时钟相比收款方偏快,就可能产生“什么付款请求都直接过期”的怪异错误……
    钱包在付款时验证本地的时间。bitpay的付款时限是15分钟,你的时间别误差太多就行了……
    楼层直达
  • uc8btc 副船长 2019-09-24 20:13:48 只看该作者14楼
    BurntCoins 发表于2019-09-24 20:07:11 试了一下,现在看不到收款地址了。
    Bitpay提供的URI也是bitcoin:开头,但是不包含比特币地址,里面只有一个 https:// 开头的网址——所以BIP70大概就是长这个样子?
    我记得以前是可以看到的,网页上的操作提示明确说到“请给XXX地址准确发送XXXBTC”……也许是我记错了?
    你没记错,很久以前是那样的
    楼层直达
  • BurntCoins 副船长 2019-09-24 20:26:37 只看该作者15楼
    uc8btc 发表于2019-09-24 20:13:48 你没记错,很久以前是那样的
    我又搜了一下,/r/Bitcoin上有个一年多以前的老帖:https://www.reddit.com/r/Bitcoin/comments/7yf1vs/psa_the_biggest_threat_to_bitcoin_at_the_moment/

    大概扫了一眼,抵制Bitpay/BIP70的观点大概是这样:
    使用BIP70付款时,交易并不是直接广播到比特币网络,而是直接发给Bitpay。
    这样的话,如果Bitpay这样的“支付处理商”想要拒绝某些人群(大概是出于反洗钱之类的原因)的付款,BIP70就给他们这些“支付处理商”提供了一种比较可行的手段——尽管这种手段只是形式上的,没有强制力,看上去有点多余,但仍然是对比特币抗审查、点对点交易精神的背离。
    楼层直达
  • BurntCoins 副船长 2019-09-24 20:32:03 只看该作者16楼
    我感觉BIP70有点像是Bitcoin snack machine那个老帖子里中本聪描述的那个“支付处理商负责保证零确认安全”的机制……不过我觉得中本聪也未必在这个问题上完全考虑周全了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 8
前往
登录 账号发表你的看法,还没有账号?立即免费 注册