COIN:再谈“开源还是安全芯片?”-ODAILY

之前的一篇《硬件钱包-开源还是安全芯片?》

文章引起了广泛的讨论,虽然我们已经用非常清晰的逻辑说明了“为什么说开源是硬件钱包的前提条件?”“以及”安全芯片的目的是什么?”,但仍有不少混淆的声音在不停的重复着”四条腿好,两条腿坏“。

没办法,只好在这个话题上再多说几句了。

首先,我们一直强调的是“开源的目的是自证清白”,有人跑出来说“开源也不一定更安全”、“开源社区也不一定能把你的漏洞都发现出来”......问题是,我们强调这句话里面,有“安全”这两个字吗?难道跑出来说这些话的人能得出“闭源更安全”、“闭源就能把所有漏洞都发现出来”这类的结论吗?

安全不安全,那是由冷钱包方案、架构、代码等方面共同决定的,如果真有问题,那无论你的方案开不开源都是不安全的,所以安全本身跟开不开源没有任何关系,开源的目的也不是为了更安全。

OKT Chain集成WasmVM:据OKX官方消息,为实现OKT链(OKTC)多虚拟机(VM)愿景,OKT Chain已集成WebAssembly(Wasm)技术,成为同时支持EVM和WasmVM的公链。集成后,在Wasm上运行的项目现在可以无缝过渡并迁移到OKTC,这为新的创新dApp创造了更多机会。此外,还能够自动将KIP20资产转换为CW20资产的本机桥接模块,反之亦然,从而实现合约交互的高度创新方法。OKTC是一个基于Cosmos构建的EVM和IBC兼容的L1,专注于真正的互操作性和最大化的性能。在高可扩展性下,开发人员可以以较低的gas费用构建和扩展。OKTC生态系统和基础设施,包括一体化的多链Web3界面,为开发人员和用户提供无缝体验。[2023/4/3 13:42:12]

我们仍然不得不再强调一次“开源的目的是自证清白”,我们要做到安全,但开源的目的不是为了更安全。所以,当我们聊这个话题的时候,请只讨论“自证清白”这四个字。

OP代币在Optimism第二次空投奖励后下跌:金色财经报道,部分Optimism用户今天收到了一部分OP代币空投。据Optimism称,共有11,742,277.10个OP代币(2850万美元)被空投到307,965个唯一地址。

Optimism表示,OP代币分配旨在根据委托的OP数量奖励用户,并作为部分Gas费回扣。其中额外的奖励适用于某些账户,这些账户在快照时委托了超过20个OP,或者在一定天数内委托了54,367个OP。那些在网络上进行超过六个月的应用程序交易或花费超过20美元的Gas费的人也有资格获得乘数。[2023/2/10 11:58:11]

在自证清白这一点上,闭源是零分,没办法,先天逻辑决定了只能是零分,多一分都不行。不过呢,又有一些人会问了,“你怎么能证明固件和开源出来的代码一样呢?”,“我又不懂代码,我怎么验证你的代码没作恶呢?”

超过1万亿枚SHIB从未知地址转至Coinbase:金色财经报道,Etherscan数据显示,北京时间12月5日12:24:23,超过1,060,594,914,048.89枚Shiba Inu(SHIB)从0xaeb9ec开头地址转入0xcf3910开头地址。大约5分钟后,0xcf3910开头地址将这些SHIB转移至Coinbase 10地址。[2022/12/6 21:24:55]

关于这类的问题,从最初有人尝试做硬件钱包开始,再到Trezor做出第一个比较完善的硬件钱包方案,比特币社区内早就有过无数的讨论了,从第一代Trezor,再到今天的比特护盾、刀锋硬件钱包,一直都能做到开源、可验证。也就是说,你可以自己编译出你自己版本的固件,然后和官方固件对比内容,你会发现除了官方固件的签名不同外,其他地方一模一样。

安全团队:检测到一个伪造的1inch正在索赔代币:金色财经报道,CertiK发推表示,检测到一个伪造的1inch正在索赔代币,目前代币已分发到多个地址。CertiK 提醒用户unibonus[.]org 是一个钓鱼网站,请勿与此URL交互。[2022/11/28 21:07:41]

当然,你还可以把自己打包的固件刷到硬件钱包上,运行自己版本的固件,由于签名不同,硬件钱包上会显示非官方固件。除了固件以外,你要是有兴趣的话,甚至可以自己买芯片,自己弄电路板,自己做出一个硬件钱包,也就是说,你甚至可以什么都自己搞定,完全不依赖硬件钱包项目方,这就是开源的意义之所在。

对于那些看不懂代码的人也没关系,因为这世上毕竟还是有会看代码的人,他们会替你看的,不需要你自己看。我说完这句,一些人可能又要说了,“会看代码的人也不一定肯去看啊”。放心吧,会有人去看的,这世上有一种关系叫“竞争对手”,Ledger不就天天盯着Trezor的代码吗?要是有代码级别的漏洞,Ledger不得拿着大喇叭对着全世界喊啊...

Coinbase批评美国加密货币监管现状,为SEC提供相关建议:金色财经消息,Coinbase在提交给美国证券交易委员会(SEC)的一份文件中,批评了目前的加密货币监管状况。Coinbase首席政策官Faryar Shirzad对此解释称,如果没有有效的监管,美国将在数字资产创新方面落后。

在提交的文件中,Coinbase首席法务官Paul Grewal概述了与监管加密货币有关的主要挑战,包括对哪些数字资产是否构成证券缺乏明确的认识,以及相互矛盾或不必要的要求。Grewal还列出了SEC在创建监管框架、解决分类、发行、交易和托管方面需要考虑的一系列问题。(CoinDesk)[2022/7/22 2:30:03]

好了,说到这里,你应该能明白了,我为什么会说“开源就是为了自证清白”,而上面说的那些内容,闭源的连聊一下的资格都没有。

现在我们继续进一步讨论“自证清白”,针对于我们的上一篇文章,又有一些人跳出来说“安全芯片也可以做到部分开源,那不是也就能自证清白了吗?”

关于这一点,我的回答很简单,“说那么多废话干什么?那你倒是开啊!”。自己不开源,然后整天鼓吹“安全芯片以外的部分都开源之后就能自证清白”之类的干嘛呢?

所以,你倒是开源啊!

这里我可以给大家说说Ledger是怎么做的,Ledger的做法是用了双芯片,主芯片里是钱包功能,安全芯片只干密码学的活儿,然后主芯片里的固件是开源的,通过这种方式一定程度上做到了“自证清白”。也就是说,如果你有兴趣,也可以自己做一个,用相同的主芯片和相同的安全芯片,然后呢,用Ledger开源出来的主芯片代码,也能基本上做出个自己版本的硬件钱包。也就是说,使用这类方案,你至少可以做到不用完全信任硬件钱包厂商这个第三方,当然还得信任一个安全芯片厂商,由于的安全芯片可能要销售到很多行业,币圈只是其中的一部分而已,因此第三方信任的问题并没有想象中那么严重罢了。

说到这里,大家就明白了吧,一个硬件钱包厂商如果做不到100%开源,起码也应该要往“自证清白”这四个字上努力,做到基本上能自证清白。如果不能自证清白,不能解决需要信任第三方的问题,那把币存在你的硬件钱包里和把币存在交易所里,有啥区别?反正信谁不是信呢?

所以,如果你真的想跟我们争论“开源还是安全芯片”这个话题,至少,请麻烦你先做到Ledger程度的开源,否则真没啥好聊的,回答你的只有一句“你倒是开源啊!”

说完自证清白之后,我们再来聊聊“安全”。开源是硬件钱包的前提,那安全就是硬件钱包的重中之重。在这一点上,Bitcoin.org上的各类冷钱包做出过非常多的贡献,像Trezor贡献了首个完善的硬件钱包方案,比太发明了二维码冷钱包和极随机这一TRNG真随机数解决方案,Ledger则是创新的设计了双芯片架构,所有的这些贡献都在努力帮助用户更安全的保护资产。

在我们设计BITHD的过程中,也充分学习和借鉴了这些优秀的方案,为了能让用户在确保安全的情况下轻松使用硬件冷钱包,我们做了非常多有意义的优化,开发了非常多有价值的功能。

Trezor的方案从13年到现在已经有了近七年的时间,Bithd从诞生至今也有了三年多的安全史,在这些年里,这套架构到今天一直都没有出现过任何一次的安全事故,帮助无数用户保管了天量的数字货币资产,这才是真正的“安全”,而且,这么多年的安全史还都是在完全开源的情况下做到的,这才是真正意义上的无需信任的安全。

最后,欣闻业内某老牌兄弟企业也将开发一款新的硬件钱包,该钱包也将基于Trezor的架构二次开发,这就是开源除了“自证清白”以外的第二个意义了,这也是为什么Bithd官网上会专门感谢Trezor和币定行的原因。正是因为Trezor和币定行们的开源,我们才能更快更好的开发出更安全、更好体验、更多功能的Bithd硬件钱包,到今天,大家可以看看Bithd上原生支持了多少个币种和Token的多重签名功能,如果没有开源,我们是很难做到这些的。

再次感谢TREZOR、币定行以及整个开源社区。

开源会让生态更繁荣、让产品和服务更开放。

让开源来的更猛烈些吧!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

DAIBTCS:BTC大盘短时回撤,不改市场多头格局-ODAILY

大盘这两天冲击1万美金,却未能进一步拉升,反映出1万美金的重要关口,存在不弱的抛压盘。同时因为大盘回撤的原因,投资者因担心下跌而犹豫观望,买盘力量偏弱,BTC最终还是未能站稳1万美金,陷入了回调.

[0:15ms0-0:922ms