BugCheck7b 最近的时间轴更新 BugCheck7b 最近的时间轴更新 |
BugCheck7bV2EX 第 295987 号会员,加入于 2018-03-02 17:40:33 +08:00今日活跃度排名 4506 |
| 手游抽卡能不能做到 provably fair? 奇思妙想 • BugCheck7b • 2021-05-24 10:10:59 AM • 最后回复来自 ohooooo | 9 |
BugCheck7b 最近回复了
2 天前 回复了 wxmomomowx 创建的主题 › 加密货币 › 有口碑比较好的开源冷钱包吗? 想搞个玩玩 |
热端被黑是不是就能阻隔冷端防止其被传染我觉得也不好说。
比如 U 盘传递交易信息,众所周知 U 盘很容易传毒,不仅 Windows ,我记得 Linux 桌面都爆过类似漏洞,甚至都不需要点击触发: https://www.bitdefender.com/en-us/blog/hotforsecurity/uh-oh-how-just-inserting-a-usb-drive-can-pwn-a-linux-box
交易信息在冷热两端之间传递时,从应用层的钱包内部逻辑,到钱包接受书籍的接口,再到操作系统的网络栈,各种固件……用怀疑眼光去看其实每一个层次都可能存在逻辑 bug
比如 U 盘传递交易信息,众所周知 U 盘很容易传毒,不仅 Windows ,我记得 Linux 桌面都爆过类似漏洞,甚至都不需要点击触发: https://www.bitdefender.com/en-us/blog/hotforsecurity/uh-oh-how-just-inserting-a-usb-drive-can-pwn-a-linux-box
交易信息在冷热两端之间传递时,从应用层的钱包内部逻辑,到钱包接受书籍的接口,再到操作系统的网络栈,各种固件……用怀疑眼光去看其实每一个层次都可能存在逻辑 bug
2 天前 回复了 wxmomomowx 创建的主题 › 加密货币 › 有口碑比较好的开源冷钱包吗? 想搞个玩玩 |
我还稍微反思过这个体系到底安全不安全。目前的感觉是,没想象中那么安全,甚至有点鸡肋,但好像也不是一点提升没有。
(在冷端干净前提下)热机就算被黑也不能直接偷走助记词,无法一锅端。(但也有可能中招收款地址替换这种)
感觉搞冷热分离有点用,但也就上述这一点。
而且还得依赖冷端干净作为前提。
这个体系给人感觉好像“冷机不触网所以不可能黑”,但这完全是个错觉。
如果冷机最初就被做了手脚,从生成助记词时用假随机数,到在交易数据里夹带私货(甚至 btc 用的 ecdsa 签名本身就存在隐蔽的侧信道泄漏 kleptography 问题,可以把泄露的信息藏在交易签名数据本身里,外界看来毫无异样,而且还能只泄露给黑客一个人知道),能搞的事情还是太多了。根本没办法防。
(在冷端干净前提下)热机就算被黑也不能直接偷走助记词,无法一锅端。(但也有可能中招收款地址替换这种)
感觉搞冷热分离有点用,但也就上述这一点。
而且还得依赖冷端干净作为前提。
这个体系给人感觉好像“冷机不触网所以不可能黑”,但这完全是个错觉。
如果冷机最初就被做了手脚,从生成助记词时用假随机数,到在交易数据里夹带私货(甚至 btc 用的 ecdsa 签名本身就存在隐蔽的侧信道泄漏 kleptography 问题,可以把泄露的信息藏在交易签名数据本身里,外界看来毫无异样,而且还能只泄露给黑客一个人知道),能搞的事情还是太多了。根本没办法防。
2 天前 回复了 wxmomomowx 创建的主题 › 加密货币 › 有口碑比较好的开源冷钱包吗? 想搞个玩玩 |
@wxmomomowx
热机联网监控钱包余额,新收款地址是用 BIP32 HD 钱包原理生成的。(不过老实说我看到 gap limit 问题之后就感觉 BIP32 这设计远不如想象中那么神奇,蛮蛋疼)
热机写出未签名的新交易。
然后冷热机之间归根到底还是得有数据交互,不直接联网,也得二维码 蓝牙 U 盘 甚至好像还有音频 modem amodem (很多年前用过支付宝咻咻咻,不知道现在还有没有)
冷机作为一个比较固定的(不会跑乱七八糟软件),与外界隔绝的,干净安全的环境,所以可以再次审核一下交易内容,确认无误再签名,类似有屏幕的 U 盾。
签名好了,再用二维码等手段传出去,给热机广播,然后等进链确认。
你自己用 electrum 组一下体会一下就知道了……我记得还有 testnet 模式,不用真钱也可以。
热机联网监控钱包余额,新收款地址是用 BIP32 HD 钱包原理生成的。(不过老实说我看到 gap limit 问题之后就感觉 BIP32 这设计远不如想象中那么神奇,蛮蛋疼)
热机写出未签名的新交易。
然后冷热机之间归根到底还是得有数据交互,不直接联网,也得二维码 蓝牙 U 盘 甚至好像还有音频 modem amodem (很多年前用过支付宝咻咻咻,不知道现在还有没有)
冷机作为一个比较固定的(不会跑乱七八糟软件),与外界隔绝的,干净安全的环境,所以可以再次审核一下交易内容,确认无误再签名,类似有屏幕的 U 盾。
签名好了,再用二维码等手段传出去,给热机广播,然后等进链确认。
你自己用 electrum 组一下体会一下就知道了……我记得还有 testnet 模式,不用真钱也可以。
7 天前 回复了 wxmomomowx 创建的主题 › 加密货币 › 有口碑比较好的开源冷钱包吗? 想搞个玩玩 |
@wxmomomowx 冷热分离本来就是冷机永不触网,热机联网吖
2021-05-24 09:19:01 +08:00 回复了 BugCheck7b 创建的主题 › 奇思妙想 › 手游抽卡能不能做到 provably fair? |
@murmur 确实,刷初始可以获得比较好的开局,尤其是新账号可能会有免费抽卡的机会……
但是有些人即便脸黑,其实老账号里也积攒了一些资源了,一般这不至于反过来成为累赘吧。貌似有些时候被老玩家推荐“转生”也不是因为开局不够好,而纯粹是相信账号有玄学……
但是有些人即便脸黑,其实老账号里也积攒了一些资源了,一般这不至于反过来成为累赘吧。貌似有些时候被老玩家推荐“转生”也不是因为开局不够好,而纯粹是相信账号有玄学……
2021-05-24 09:15:01 +08:00 回复了 BugCheck7b 创建的主题 › 奇思妙想 › 手游抽卡能不能做到 provably fair? |
@ignor 因为验证的方式是重放交易吧,从相同的初始条件出发经过相同的过程算出相同的结果才算验证通过。
2021-05-24 08:59:40 +08:00 回复了 BugCheck7b 创建的主题 › 奇思妙想 › 手游抽卡能不能做到 provably fair? |
@murmur 我感觉哪怕是土豪,如果碰到特别特别脸黑的情况,可能也仍然不算实锤证据能证明或证伪自己被“杀熟”了……我看一些老玩家也经常出于玄学“改命”理由强烈推荐其他人开新号。
2021-05-23 23:05:44 +08:00 回复了 rv54ntjwfm3ug8 创建的主题 › 奇思妙想 › 想发明一种用声卡挖矿的币 |
挖矿的关键其实不在于挖吧,也就是说不仅是找到答案很费劲,还得保证挖出来的结果能快速验证,这样任何人都可以快速、独立地做出判断,知道谁挖出来了。
Select Language