Security

攻擊者不能導致線上(僅限觀看)錢包顯示惡意接收地址嗎?

  • March 14, 2014

如果我理解正確,使用確定性手錶錢包的主要好處之一是能夠生成新的接收地址而不與離線錢包同步,但這似乎容易受到攻擊。

例子:

  1. 為了防止攻擊者竊取她的資金,Alice 將她的私鑰保存在 Armory 離線錢包中。她使用 [online] 僅供觀看的錢包來生成接收地址,這似乎是 Armory 的頁面Using Our Wallet推薦的:

現在錢包已經設置好了,你可以像使用普通錢包一樣使用只看錢包,除了不能從它發送比特幣。 使用“接收比特幣”按鈕生成接收付款的地址,傳入的交易將顯示在分類帳中,顏色與您的其他錢包略有不同。

Electrum 教程頁面上的類似建議:

您現在有一個線上錢包,您可以在其中查看餘額並提供新地址,但您不能花費硬幣。因此,如果攻擊者能夠接管您的線上電腦,您的硬幣就不會失去。

  1. Eve 創建了一個修改版的 Armory,其中所有新的接收地址(當使用者按下“接收比特幣”時創建)都歸 Eve 而不是 Alice 所有。
  2. 夏娃可以訪問愛麗絲的線上電腦並種植修改版的軍械庫。現在,愛麗絲的新地址收到的任何付款實際上都在夏娃的控制之下,而她並不知情。

顯然,您可以在離線錢包上再次生成接收地址並驗證它們是否匹配,但這是否違背了目的?另外,不應該對此有警告嗎?

是的,這是可能的。然而,由於 Bob(實際上,在密碼學中,通常是攻擊者 Eve)顯然可以訪問 Alice 的電腦,他/她也可以用做同樣事情的比特幣應用程序替換。

此程序的目的是保護 Alice 現有的比特幣。它不做其他事情。

引用自:https://bitcoin.stackexchange.com/questions/23489