作者tcn1john (momo)
看板DigiCurrency
标题Re: [问题]面交比特币的一点问题
时间Fri Nov 10 10:13:27 2017
※ 引述《NoNameL (名无乚)》之铭言:
: ※ 引述《Rokund (....)》之铭言:
: : 1. 三方诈骗
: 用图解说一下
: A: 卖币方 B: 买币方 C: 诈骗者
: 中间的分隔线分别为A、B的视角
: 从全局看下去比较能清楚流程
: C:我想收购比特币∣C:我想卖比特币
: ∣
: A:我可以卖给你,价格20万一枚。 ∣ B:我想买两枚比特币,请问价格多少?
: 请问你想买多少枚? ∣
: ∣
: C:我想买两枚 ∣C:一枚20万,请问你确定要买吗?
: ∣
: A:好的,请先付款,我的帐户是 ∣ B:对,所以总共是40万
: 12345678,收到钱後给币。 ∣
: ∣
: C:我马上把钱汇过去 ∣C:OK,请把先把40万汇到12345678
: B 把40万汇到 12345678 (A的户头)
: C:我已经把钱汇过去了 ∣C: OK,请给我你的钱包地址
: 这是我的钱包地址abcdefg ∣
: ∣ B: 我的地址是hijklmnop
: A 把两枚比特币汇到 abcdefg (C的钱包)
: C拿了两枚比特币後落跑
: ∣ B: 在吗?
: ∣
: ∣ B: 你汇出比特币了吗?
: ∣
: ∣ B: 干! 我被骗了!! 报警
: ∣
: A: 干! 我的户头怎麽被冻结了!? ∣
: 咦? 有人按电铃说麦当劳欢乐送? ∣
: 我没叫啊.... ∣
: ∣
感谢N大详细解说
我的理解是,C基本上的角色只是一个桥梁,让A说的话直接传到B那边
只有在最後关键时刻C把比特币位置换掉,让A的比特币转帐进入进自己的口袋
这其实有点类似通讯的中间人攻击
解决方法之一就是加密
"
A要求C转帐一个随机数字,比方说四十万台币+自己的生日年分 (XD)
C在这个攻击中不想暴露自己的台币帐号(会被追踪),只能要求B直接转到A帐户内
这时候这个金额只有A和B知道,他们可以用来加密 (共同秘密)
当A收到款项,要求C给他比特币收款地址时,除了比特币的地址 (明文)
还要再加上用共同秘密 (A收到的金额=B汇出的金额) 把这个地址加密
ie. 加密pdf, 加密压缩档, AES256加密档...
这时候C就冏了,因为她不知道到底汇了多少$$
如果他随便用一个金额加密他的地址 (C的生日)
A无法解密 (用B的生日) 出一模一样的地址就不会汇出比特币
"
以上AB要先了解这个流程才能运作,可以由A来提供这种额外验证的选项
来声明自己不是恶意的C
以上AB要先了解这个流程才能运作,可以由A来提供这种额外验证的选项
来声明自己不是恶意的C
以上AB要先了解这个流程才能运作,可以由A来提供这种额外验证的选项
来声明自己不是恶意的C
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.194.201.195
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1510280010
1F:→ tcn1john: 也没有那麽麻烦啦~ 图可以修阿XD11/10 10:18
2F:→ tcn1john: A就多说两句话: 请你汇款不要汇整数,给我比特币地址11/10 10:29
3F:→ tcn1john: 以及用汇款金额加密後的比特币地址 这样11/10 10:30
4F:推 mithuang: C只要找理由跟B说,汇款不要汇整数,请汇四万零31元,然11/10 10:45
5F:→ mithuang: 後C把自己的地址用31加密给A就好11/10 10:45
6F:推 mithuang: 你的假设前提是A能直接跟B沟通,但其实没办法11/10 10:48
B如果汇指定金额给A,表示他只是一般交易方法,没有照着这个协定走。
7F:推 mithuang: 问题是你没办法确定B是否知道这个机制存在,B可能只是个11/10 11:13
8F:→ mithuang: 买虚宝的人。11/10 11:13
9F:→ mithuang: 不要忘了B是由C挑的,你没办法选择谁当你的B11/10 11:13
10F:→ mithuang: C可以在网路上任何平台找任何要买东西的人当B11/10 11:13
从A角度来看是这样没错,好像没有有效方法阻止C利用A的帐户。
但是B可以用这个方法防止被三方攻击,A可以用来让B增加对自己的信任。
11F:推 ptt80357: 同楼上,根本解决办法就是用公正第三方11/10 11:28
交易所什麽时候开啊,把USDT换台币XDD
※ 编辑: tcn1john (123.194.201.195), 11/10/2017 11:55:16
12F:推 st945306: 原Po的意思应该是A跟C说不要汇整数,但多汇多少交给C决 11/10 11:55
13F:→ st945306: 定。如果C真的老实这样跟B说,那最後的确可以解密验证, 11/10 11:55
14F:→ st945306: 因为实际的金额只有AB知道。可惜C也不是省油的灯,他可 11/10 11:55
15F:→ st945306: 以看穿之後找个理由叫B零头多汇多少,那ABC就都可以解开 11/10 11:55
16F:→ st945306: 了 11/10 11:55
我把前提复制三遍了~希望比较清楚一点
17F:推 NoNameL: 嗯,预防方式跟ssl一样了,要把凭证放在第三方。 11/10 11:59
18F:→ NoNameL: 也就是说要有个机制,以及公正的第三方介入。 11/10 12:01
※ 编辑: tcn1john (123.194.201.195), 11/10/2017 12:08:37
※ 编辑: tcn1john (123.194.201.195), 11/10/2017 12:19:09
19F:推 casko: 如果双方都开远端桌面 监控转帐'转币 不知道可不可行 11/10 13:25
20F:推 fire811: 这就是为什麽需要支付宝这种东西... 11/10 13:26
21F:→ fire811: 现在和你对话的人就是你的户头, 超级简单.. 11/10 13:26
22F:→ fire811: 再诈骗最盛行的国家,就会发展出最厉害的防治工具 11/10 13:27
23F:→ fire811: 不是说中国多厉害多棒,但是不知道法规还是怎样,台湾这块 11/10 13:27
24F:→ fire811: 就是跟不上对岸 11/10 13:28
25F:推 NoNameL: 是法规问题,台湾对第三方支付这种东西的规定很严格。 11/10 13:30