Как онлайн-кошелек может быть более безопасным, чем бумажные кошельки или холодные хранилища?

Недавно, после того как я прочитал, что какой-то ранний пользователь биткойнов потерял 750 BTC из-за кражи из своего macbook, я искал наиболее безопасное решение для хранения своих монет.

Я уже знаю о бумажных кошельках и решениях для холодного хранения, но каким-то образом я прочитал о том, что онлайн-кошельки с мультиподписью более безопасны, чем традиционные системы.

Я наткнулся на BitGo.com, и они утверждают, что они более безопасны, чем бумажные/холодные хранилища, но так же просты в использовании, как онлайн/мобильные кошельки:

bitgo легко и безопасно?

Это действительно возможно? Я сам провел небольшое исследование и узнал, что они используют мультиподписные кошельки с тремя закрытыми ключами:

  1. Один зашифрованный закрытый ключ содержит BitGo с парольной фразой, известной только им.
  2. Другой зашифрованный закрытый ключ содержит BitGo с парольной фразой, выбранной мной.
  3. Один зашифрованный резервный ключ, который есть только у меня, с моей собственной парольной фразой.

Теперь есть несколько вариантов использования, я пробовал вносить и снимать небольшие суммы, и это действительно просто. Кажется, они используют свой ключ на стороне сервера и мой ключ на стороне клиента, чтобы подписать транзакцию. Все, что мне нужно сделать, это ввести мою парольную фразу, чтобы разблокировать ключ.

Кроме того, если BitGo когда-либо прекратит свое существование, я все равно смогу использовать свои собственные два ключа для доступа к монетам, не используя услугу, предлагаемую BitGo.

Но, честно говоря, это звучит слишком хорошо, чтобы быть правдой. Теперь мне интересно:

  1. Есть ли способ, которым BitGo (или злоумышленник, взломавший BitGo) может получить доступ к моим средствам, потому что у них есть два ключа? Или это действительно ненадежно, потому что все зависит от моей фразы-пароля?
  2. Разве ввод парольной фразы моего ключа на их веб-сайте не является слабым местом, которым могут злоупотреблять злоумышленники (или даже служба)? Или мой пароль действительно обрабатывается только на стороне клиента?
  3. Действительно ли такое решение более безопасно, чем холодные хранилища?

Ответы (3)

Я проверил это, создав безопасный кошелек на BitGo.

Дали мультисиг адрес для депозитов. 2/3 ключей необходимы для вывода биткойнов. BitGo содержит один ключ, вы получаете закрытый ключ и резервный ключ. Вам не нужно распечатывать закрытый ключ для вывода биткойнов. парольной фразы достаточно (очевидно, ключ получен из парольной фразы).

BitGo не может выполнять биткойн-транзакции без согласия пользователя, потому что у них (утверждают) нет других половинок ключа. Это защищает от некоторых атак. Например, на сайте нет горячего кошелька, который можно было бы опустошить в случае взлома сервера. BitGo принудительно активирует двухфакторную аутентификацию по SMS при регистрации. Это тоже хорошо, защищая от потери учетных данных из-за кражи или фишинга.

Если инфраструктура BitGo будет скомпрометирована, все созданные кошельки после компрометации также будут скомпрометированы, так как атака может захватить ключи при создании. Так что в конечном итоге вы доверяете BitGo. Они также могут нагло лгать вам и держать все копии созданных ключей, так как они создают ключи, а не вы. Даже если создание ключа происходит в веб-браузере с использованием JavaScript, вы доверяете коду, который они вам дают для запуска.

BitGo по-прежнему остается онлайн-сайтом. Если вы сохраните свою парольную фразу в менеджере паролей или веб-браузере, и ваш компьютер будет заражен, вы можете потерять свои биткойны, даже без вашего участия. BitGo также подвергается атакам вредоносных программ, которые изменяют запросы на вывод средств на лету . Однако « безумная общая проблема » не может быть решена, если вы не выполняете никаких проверок за пределами онлайн-мира, например, ручных телефонных звонков и голосовых подтверждений. Вам всегда нужно доверять устройству, которое вы используете для вывода средств.

У BitGo хороший процесс и хорошие инструкции по созданию мультиподписного кошелька, а также у них есть третий ключ, доступ к которому вы можете получить с помощью пароля и подтверждения по SMS. Вы можете создать аналогичную настройку самостоятельно, даже более безопасным образом, но BitGo может избавить вас от некоторых хлопот. BitGo также безопаснее, чем любой сервис биткойн-кошелька, где у вас вообще нет закрытых ключей.

Вывод: много маркетинговых обещаний, в конечном итоге онлайн-сайт, но он может быть безопаснее, чем ваш обычный сервис биткойн-кошелька. Вы должны доверять BitGo. Не безопаснее, чем ваш собственный холодный кошелек / мультиподпись, если вы знаете, что делаете.

Привет, я инженер-программист в BitGo, и я хотел бы отметить, что на самом деле мы не создаем ключи. Пользователь и резервный ключ генерируются на стороне клиента, и на наш сервер отправляются только открытые ключи. Закрытый ключ пользователя шифруется симметричным ключом, полученным из пароля кошелька, и этот зашифрованный большой двоичный объект также отправляется нам. Это также открыто проверяется, потому что наш SDK, который генерирует ключи, имеет открытый исходный код и доступен на Github: github.com/BitGo/BitGoJS .

Безопасность BitGo аналогична безопасности размещенных кошельков. Хотя они обычно не имеют доступа к обоим вашим ключам, они всегда могут предоставить Javascript, который отправит ваш пароль на их сервер. С другой стороны, если на вашем компьютере есть вредоносное ПО, даже если оно не может получить ваш резервный ключ, оно все равно может совершать транзакции от вашего имени (если для каждой транзакции требуется двухфакторная аутентификация, вредоносное ПО может просто заменить адрес назначения, когда вы совершить реальную сделку). Таким образом, BitGo определенно не так безопасен, как автономный кошелек, и вы можете украсть свои биткойны через компрометацию сервера.

Вы правы в том, что мультиподпись более безопасна, чем доверять свои BTC любому, у кого есть доступ к закрытым ключам (или n из m большинства) . Если вы не контролируете закрытые ключи , вы не контролируете свои деньги .

Теперь Bitgo предлагает решение, которое, как вы его описали, проблематично , поскольку требуется доверие Bitgo. Все, что делает Bitgo, — это упрощает сложность мультиподписного хранения/транзакций. Поставщики кошельков, такие как GreenAddress.it, используют n-timelockпеременную, которая делает мультиподписной txn (т.е. хеш) недействительным до тех пор, пока не истечет определенное количество (n) ~10-минутных блоков (Bitgo может использовать или не использовать n-timelock); это, по сути, позволяет получить ваши BTC после того, как прошло n блоков.

Что касается безопасности вашего BTC, есть несколько вариантов, каждый из которых имеет свои достоинства.

  1. Аппаратные кошельки (например, Trezor)
  2. Armory «Lock Boxes» (обычно считается лучшим для multisig txns)
  3. Бумажные кошельки на машине с воздушным зазором (т.е. в автономном режиме)
  4. HD (иерархические детерминированные) кошельки, такие как Armory, Electrum
Как онлайн-кошелек может быть более безопасным, чем бумажные кошельки или холодные хранилища?
СпросиСетьПолитика конфиденциальности1y, 0v